SIEM un acronyme qui en rassemble tant d’autres : LMS, SLM/SEM, SIM, SEM, SEC
La numérisation, la prolifération d’applications, la conteneurisation, le cloud, le mobile et l’IoT ont multiplié la surface d’exposition aux risques de sécurité. De plus, les attaques d’hier ont été remplacées par des attaques avancées en plusieurs étapes qui échappent à la détection par des outils basés sur les signatures.
Pendant ce temps, les initiatives DevOps et de transformation digitale ont bousculé les codes liés à l’infrastructure, exigeants des changements plus rapides et réduisant du même coup les fenêtres de détection des menaces
Face à ces nouveaux défis, les équipes informatiques doivent s’appuyer sur des outils capables de détecter les nouvelles menaces de sécurité moderne, de suivre leur rythme et sophistication.
La définition du SIEM selon Wiki est aisée : Les SIEM (Security Event Information Management, « Gestion de l’information des événements de sécurité ») peuvent se connecter à plusieurs types de sources de données pour collecter, agréger, nettoyer et enrichir vos données avant de les intégrer à vos analyses de sécurité. Les SIEM prennent en entrée les événements collectés du SI, les journaux système des équipements : pare-feux, routeurs, serveurs, bases de données, web proxy… et permettent de prendre en compte différents formats (syslog, Traps SNMP, fichiers plats, OPSEC, formats propriétaires, etc.)
En structurant vos données, le SIEM les rend à la fois plus utiles et plus économiques. Il sait être également évolutif, de sorte que vous n’avez pas à vous préoccuper de la croissance des données.
Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.
Quelle information est utile dans mes logs ?
Nous pouvons penser que les solutions de sécurité contiennent toutes les informations dont nous avons besoin pour être protégés, mais elles ne contiennent souvent que les choses qu’elles ont détectées – il n’y a pas de contexte « avant et après l’événement » en leur sein.
Ce contexte est généralement vital pour séparer le faux positif de la vraie détection ou l’attaque réelle d’un système simplement mal configuré.
Les attaques système réussies ressemblent rarement à de vraies attaques, sauf avec le recul. Si ce n’était pas le cas, nous pourrions automatiser toutes les défenses de sécurité sans jamais avoir besoin d’employer des analystes humains.
Les attaquants tenteront de supprimer et de falsifier les entrées dans les logs (journal) pour couvrir leurs traces. Disposer d’une source fiable d’informations de vos logs est essentiel pour comprendre les problèmes pouvant survenir en cas d’utilisation abusive du système d’information.
Les logs contiennent les informations dont vous avez besoin pour répondre « Qui nous attaque aujourd’hui? » et « Comment ont-ils eu accès à nos systèmes? »
Le SIEM consiste à regarder ce qui se passe sur votre réseau à travers une lentille plus large que celle qui peut être fournie via une solution de sécurité ou une source d’information :
- Votre détection d’intrusion ne comprend que les paquets, les protocoles et les adresses IP,
- La protection de vos endpoint voit les fichiers, les noms d’utilisateur et les services sur le poste de travail.
- Les logs routeurs, pare-feux … affichent les connexions utilisateurs, l’activité du service et les modifications de configuration,
- Votre système de gestion métier détecte les applications, les processus métier et les échanges entre les applications,
- Etc….
Aucun de ceux-ci ne peut à lui seul vous dire ce qui se passe pour assurer la continuité de vos processus métier et de votre entreprise… Mais ensemble, ils le peuvent.
Le SIEM n’est essentiellement rien de plus qu’une couche de gestion au-dessus de vos systèmes et contrôles de sécurité existant.
Il connecte et unifie les informations contenues dans vos systèmes existants, leur permettant d’être analysés et corrélés à partir d’une seule interface.
Le SIEM est un exemple parfait du principe informatique «garbage in, garbage out»: le SIEM n’est aussi utile que les informations que vous y mettez.
Plus les informations décrivant votre réseau, vos systèmes et les comportements sont valides, plus le SIEM sera compétent pour vous aider à effectuer des détections, des analyses et des réponses efficaces dans la sécurité de vos opérations.
L'importance du contexte
La collecte de logs est le cœur et l’âme d’un SIEM. Plus il y a de sources qui envoient des informations valides au SIEM, plus le SIEM pourra accomplir des tâches à valeur ajoutée.
Et les logs à eux seuls contiennent rarement les informations nécessaires pour comprendre leur contenu dans le contexte de votre entreprise. Par exemple, avec uniquement les logs, tout ce qu’un analyste voit est «connexion de l’hôte A à l’hôte B.»
Pourtant, pour l’administrateur système, cela devient «un transfert d’activité quotidienne du point de vente aux comptes clients». L’analyste de sécurité a besoin de ces informations pour procéder à une évaluation raisonnée de toute alerte de sécurité impliquant cette connexion.
Pourtant il est difficile pour les analystes de sécurité de se familiariser avec tous les systèmes dont dépend les opérations informatiques de votre entreprise, mais la vraie valeur est dans la corrélation de logs pour obtenir des informations exploitables.
Le pouvoir de la corrélation
La corrélation est le processus de mise en correspondance des événements de différents systèmes (hosts, périphériques réseau, contrôles de sécurité … tout ce qui envoie des logs au SIEM).
Les événements provenant de différentes sources peuvent être combinés et comparés les uns aux autres pour identifier des modèles de comportement invisibles pour les appareils individuels.
Ils peuvent également être comparés aux informations spécifiques à votre entreprise.
La corrélation vous permet d’automatiser la détection des choses qui ne devraient pas se produire sur votre réseau.
Votre réseau génère de vastes quantités de données de log. L’infrastructure d’une entreprise peut générer des centaines de GB de données en texte brut par mois sans se fatiguer.
Vous ne pouvez pas embaucher suffisamment de personnes pour lire chaque ligne de ces journaux à la recherche des menaces. Soyons sérieux, n’essayez même pas. Même si vous réussissiez, vous vous ennuieriez tellement que vous n’auriez jamais rien repéré, même si c’était juste devant vous.
La corrélation vous permet de localiser les endroits intéressants dans vos logs, et c’est là que les analystes commencent à enquêter. Et ils vont trouver des éléments d’information qui mènent à d’autres informations au fur et à mesure que la piste des preuves est accablante.
Être capable de rechercher cette menace qu’ils soupçonnent dans l’ensemble des logs et savoir où elle réside est l’une des autres fonctions clés d’un SIEM.
Finalement, c’est une bonne chose qu’un SIEM soit une énorme base de données de vos logs.
Ainsi, lorsque vous voyez un produit SIEM qui parle du «nombre d’équipements qu’il prend en charge», il indique le nombre d’équipements à partir desquels il peut analyser les logs.
Décomposer les entrées de log en leurs composants, les normaliser, est-ce qui vous permettra de rechercher dans les logs de plusieurs équipements et de corréler les événements entre eux.
Une fois que nous avons normalisé les journaux dans une table de base de données, nous pouvons effectuer des recherches de type base de données.
C’est ce qui nous permet de faire une corrélation automatisée et faire correspondre les champs entre les événements de log, à travers les périodes et entre les types d’équipements.
Comme avec n’importe quelle base de données, la normalisation des événements permet la création de récapitulatifs de rapport des informations contenues dans les logs. Et présenter des dashboards avec des informations telles que :
Quels comptes d’utilisateurs ont accédé au plus grand nombre d’hôtes distincts au cours du dernier mois? Quel sous-réseau génère le plus grand nombre d’échecs de connexion par jour, en moyenne sur 6 mois?
Pour conclure que vous apporte un SIEM moderne :
Les solutions modernes de gestion des informations et des événements de sécurité (SIEM) vont au-delà de la collecte, de l’analyse et de la normalisation automatiques des journaux. Ils appliquent une corrélation et des analyses avancées pour détecter automatiquement les menaces, évaluer leur gravité et filtrer le bruit pour vous alerter des événements critiques. Ils tirent parti de l’automatisation et de l’intelligence intégrées pour vous protéger, tout en libérant du temps pour vous concentrer sur la correction et la restauration.
Nos clients en parlent: ‘…Notre équipe de sécurité voit plusieurs centaines d’événements de sécurité par jour, et cela consomme beaucoup de temps et d’intéractions avec les autres équipes…’
En plus des logs système, un SIEM examine également les différentes données du SI entreprise (des serveurs au endpoint, en incluant les flux réseau), l’utilisation du cloud et le comportement des utilisateurs. En combinant ces différents aspects de l’activité, vous pouvez obtenir une image complète de ce qui se passe dans votre environnement, comprendre ce qui est normal et utiliser cette base de référence pour identifier automatiquement les écarts pouvant signaler une menace.
Nos clients en parlent: ‘…Les informations réseau vous aident à suivre les attaquants là où ils ne peuvent plus se cacher…’
Les utilisateurs compromis ou malveillants présenteront des comportements différents des autres. Le repérage précoce de ces valeurs aberrantes peut vous aider à éviter les dommages. Pour ce faire, vous devez comprendre ce qui est normal pour les utilisateurs de votre entreprise et utiliser cette base de référence pour identifier les anomalies susceptibles de signaler une menace. Les analyses du comportement des utilisateurs, au travers d’outil de Machine Learning, peuvent être utiles pour faire évoluer la détection des anomalies à l’échelle de l’entreprise. Le SIEM vous aide à découvrir les activités anormales des utilisateurs et vous concentrer sur les utilisateurs à haut risque capables de vous occasionner le plus de dommages.
Nos clients en parlent: ‘…60% des détections d’attaques ont été effectuées par des employés – souvent par inadvertance ou de façon plus rare de manière malveillante…’
Couplé à vos solutions de sécurité, le SIEM vous offre une cartographie, une évaluation de votre sécurité et de l’état de santé du réseau de votre entreprise. Il devrait vous permettre de définir vos actifs, segments de réseau et services cloud les plus sensibles et tirer parti d’analyses robustes qui personnalisent les alertes en fonction des risques dans votre environnement unique. Une solution SIEM permet d’automatiser les processus de détection, de hiérarchisation et d’investigation des menaces.
Nos clients en parlent: ‘…Avant nous avions besoin en moyenne de 191 jours pour détecter une violation. Encore 66 pour la contenir…’
L’écosytème de SIEM devrait offrir des intégrations validées et ‘out-of-the-box’ avec des systèmes d’intervention afin d’accélérer davantage les processus de confinement, d’assainissement et de récupération. Et également avec des solutions complémentaires, telles que les flux de renseignements sur les menaces, les scanners de vulnérabilité, les outils d’orchestration des interventions d’incident et les systèmes de gestion de cas, entre autres choses. Un écosystème intégré aux applications tierces peut vous aider à rester à jour et à réagir rapidement aux nouvelles menaces. Plus il y a d’intégrations ‘out-of-the-box’, moins il faut d’heures-personnes pour booster la valeur de votre SIEM.
Nos clients en parlent:‘..En moyenne notre entreprise utilise des dizaines de produits de sécurité pour sécuriser nos données, nos applications, nos utilisateurs… tout ce qui est notre patrimoine entreprise,…Et tous ces produits de sécurité ont besoin de travailler ensemble…’