Un pourcentage considérable de fournisseurs SIEM partagent une vision sur la manière d’aider les centres d’opérations de sécurité à faire face au volume élevé et à la complexité des attaques de sécurité. Ces fournisseurs intègrent les solutions SOAR acquises ou développent nativement des capacités SOAR pour créer une plate-forme unifiée pour les analystes de sécurité.
Une solution combinée SIEM et SOAR constituera la majeure partie de l’ensemble d’outils quotidiens de l’analyste SOC et réaffectera ses capacités cérébrales de la réalisation de tâches répétitives d’analyse et de réponse à l’investigation uniquement des incidents présentant un intérêt et une importance significatifs.
Le cœur de cette offre permet donc au SOC de répondre au plus gros frein des analystes : le volume. Au lieu de gérer des attaques à volume élevé et peu complexes, les entreprises peuvent consacrer leurs analystes aux attaques véritablement importantes, telles que les attaques inconnues ou les attaques zero-day.
Nous pouvons définir cet ensemble d’outils combinés SIEM et SOAR comme des « solutions SOC autonomes » car, avec des configurations adéquates, le nombre d’analystes ne sera plus le seul moyen pour une entreprise d’étendre ses opérations de sécurité pour faire face à davantage de menaces. J’en ai parlé dans le prochain rapport sur les critères clés.
J’ai déjà écrit sur le perspectives positives pour SOAR autonome, je tiens donc à commencer par dire que je ne suis pas du genre à faire de grandes prédictions. Mon rôle en tant qu’analyste du secteur est d’observer les décisions stratégiques des fournisseurs et leurs réponses aux demandes des clients, ce qui constitue l’une de ces tendances. Nous disposons d’un large échantillon de fournisseurs SIEM, ayant identifié environ 40 solutions. Parmi eux, pas moins de 16 fournisseurs sont entrés dans l’arène des SOC autonomes.
Entre les 16 fournisseurs que nous avons identifiés pour fournir ces solutions SOC autonomes et les 20+ fournisseurs SIEM pur-play restants, je ne peux que classer cela comme une situation de type « vont-ils-ne-vont-ils pas » quant à savoir si SIEM et SOAR resteront distincts. ou fusionner.
Des développements discrets plutôt que des acquisitions bruyantes
Les acquisitions de sécurité font beaucoup de bruit sur le marché, et les acquisitions SOAR ont été parmi les plus bruyantes. Google a acquis Siemplify, Devo a acquis LogicHub, Fortinet a acquis CyberSponse, Palo Alto Networks a acquis Demisto, Splunk a acquis Phantom et a été acquis par Cisco, Sumo Logic a acquis DFLabs et Micro Focus a acquis Atar Labs, qui, à son tour, a été acquis par OpenText.
Dans cette optique, la plupart des observateurs s’attendraient à ce que la majorité des fournisseurs proposant des solutions SOC autonomes aient acquis et intégré une solution SOAR. Cependant, si nous éliminons les fournisseurs SIEM qui ont acquis des solutions SOAR mais ne les ont pas intégrées dans une solution unifiée (comme Google, IBM, Fortinet et Splunk), nous constatons rapidement que la majorité des fournisseurs présentés dans le rapport Radar pour Les solutions SOC autonomes ont en fait développé leurs solutions en interne.
Ainsi, dans le compartiment acquérir puis intégrer, nous avons Devo, LogPoint, Sumo Logic et OpenText.
Dans la catégorie de développement SOAR en interne, le nombre de fournisseurs a triplé, notamment Elastic, Exabeam, Hunters, Huntsman, Logrhythm, NetWitness, Palo Alto Networks, Securonix, Logsign, ManageEngine, Microsoft et Rapid7.
Des solutions coexistantes
Le SIEM a jusqu’à présent résisté à l’épreuve du temps. Il est donc peu probable que les organisations remplacent leurs solutions existantes à moins d’avoir une raison impérieuse de le faire. SIEM est également une case à cocher importante pour de nombreuses réglementations. Comme mon estimé collègue Chris Ray souligne que tant que les normes de sécurité auront l’acronyme SIEM dans la liste des exigences, la solution et son nom resteront une constante, quelle que soit son évolution d’un point de vue technique. SOAR a également un mandat fort pour exister en tant que solution autonome, que nous explorons plus en détail. ici.
Ainsi, même si nous aimons mettre les choses dans des cases, la réalité est que SIEM, SOAR et les solutions combinant les deux coexisteront dans un avenir prévisible. La seule force qui validera le marché des SOC autonomes est de savoir si les clients sont prêts à investir de l’argent dans des solutions combinées, en remplaçant ou en augmentant les parties individuelles des outils existants.
Cependant, il serait désavantageux pour les fournisseurs proposant une solution combinée de se positionner sur le même marché que les concurrents purement SIEM. Les recadrer simplement comme un « SIEM de nouvelle génération » ne rend pas compte de la grande différence entre un SIEM et une solution SOC autonome. Ainsi, même si nous devons utiliser le SIEM comme condition de conformité, ces fournisseurs doivent distinguer leurs solutions sur un marché SIEM très encombré.
