SIEM (Security Information Event Management): pour le long terme

Auteur: Eugene Taylor
Date De Création: 9 Août 2021
Date De Mise À Jour: 12 Peut 2024
Anonim
Security Information and Event Management - SY0-601 CompTIA Security+ : 1.7
Vidéo: Security Information and Event Management - SY0-601 CompTIA Security+ : 1.7

Contenu


Source: Cuteimage / Dreamstime.com

À emporter:

La gestion des informations et des événements de sécurité est en train de devenir un outil très puissant pour la sécurité des systèmes.

Pour la plupart des organisations à l'échelle de l'entreprise, le nombre croissant d'incidents de violation de données et la gravité paralysante de ces dernières années ont entraîné une forte augmentation de leurs coûts de cybersécurité.

Face à la volonté d'investir le plus rapidement possible dans les technologies les plus sophistiquées, il est devenu de plus en plus important de comprendre quelles solutions existent et si elles conviennent parfaitement.

Les outils d’analyse du comportement des utilisateurs, tels que le système de gestion des informations de sécurité et des événements (SIEM), collectent les données des journaux d’événements et d’authentification pour établir une base de référence de l’activité normale, puis utilisent cette base pour détecter le comportement des utilisateurs malveillants et autres anomalies. (Pour en savoir plus sur la sécurité, voir Au-delà de la gouvernance et de la conformité: Pourquoi le risque de sécurité informatique est-il ce qui compte?)


Si les analogies vous aident, pensez à un moniteur de soins intensifs où l'observation continue à partir d'un écran central permet d'identifier les anomalies qui, à leur tour, déclenchent des alertes, puis initient immédiatement une action corrective. Et comme pour le placement des électrodes sur la peau du patient afin de créer un conduit pour la sortie cardiaque, les agents sont utilisés comme middleware pour établir une connexion avec le serveur et créer un chemin pour la transmission de données à un collecteur de journaux virtuels (VLC).

Pour les entreprises qui en avaient les moyens, les nouvelles de cette technologie étaient comme un dieu dans les années 90, où le tsunami de bûches fouetté par des systèmes de détection des intrusions et de prévention créait un vide énorme pour les systèmes de gestion des bûches. Aujourd'hui, toutefois, les outils SIEM ont beaucoup évolué par rapport aux systèmes centrés sur le journal, principalement destinés à la gestion des journaux, de même que leurs coûts de mise en œuvre.


Ces dernières années, la technologie SIEM est devenue plus avancée avec des fonctionnalités telles que la saisie de données par paquets brutes et des méthodologies d'apprentissage automatique, telles que la corrélation d'événements, pour aider à repérer les menaces qui contournent généralement les contrôles préventifs. «S'acheminer vers une détection continue des attaques et une protection appropriée est un processus, et SIEM est un élément clé dans ce processus», a déclaré Lalit Ahluwalia, responsable de la sécurité pour le secteur public en Amérique du Nord chez Accenture.

Pour que toute entreprise puisse déployer SIEM, elle devrait passer par une phase exhaustive de collecte des exigences dans laquelle tous les chemins de journal des événements liés à la sécurité produits par ses appliances critiques, notamment les appliances réseau, VoIP, de sécurité et d’administration des systèmes, seraient documentés. .

Une fois ces opérations terminées, les agents middleware sont ensuite configurés pour enregistrer ces journaux dans un VLC, qui capture et transfère les paquets de données brutes vers un hôte de cybermenaces facilitant la détection et la prévention des menaces à l'aide d'algorithmes d'analyse du comportement et d'un système de surveillance des alertes.

Pas de bugs, pas de stress - Votre guide étape par étape pour créer un logiciel qui change la vie sans vous détruire

Vous ne pouvez pas améliorer vos compétences en programmation lorsque personne ne se soucie de la qualité des logiciels.

Cependant, les coûts de mise en œuvre et de préparation ne représentent qu'une partie de l'équation. La surveillance continue est l'autre partie.

La deuxième moitié

La société cliente aura besoin de personnel dédié, tel que des ingénieurs et des architectes de la sécurité de l'information, pour s'assurer que les nouveaux journaux sont envoyés à l'agent, que les filtres sont mis à jour pour réduire le nombre de faux positifs, que les performances sont constamment ajustées, que l'espace disque est surveillé et que la charge est équilibrée. les solutions sont mises en œuvre lorsque le réseau commence à réclamer davantage de bande passante.

Perspectives Cloud

L’un des principaux facteurs qui déterminent le coût d’une entreprise pour la mise en œuvre d’un SIEM est de savoir si elle choisit d’utiliser un service cloud (SIEMaaS). À mesure que de plus en plus de sociétés se tournent vers IaaS, SaaS et PaaS, il devient plus logique d’avoir une technologie qui s’intègre à celle-ci, ou du moins la possibilité, le cas échéant.

Lorsqu'une solution devient plus évolutive, sa mise en œuvre deviendra probablement moins chère et plus rapide que la solution de remplacement. Cependant, en comparaison avec une solution sur site, la connectivité à d'autres appliances peut ne pas être aussi simple.

Bien que dépendant du plan de sauvegarde du fournisseur de services, SIEMaaS fournira probablement une sécurité de sauvegarde plus fiable en cas de basculement, car un service cloud accessible a de meilleures chances de rester en place pendant la panne d’un centre de données isolé. D'autre part, si la panne est causée par le fournisseur de services cloud, la société cliente pourrait se retrouver avec beaucoup d'anarchie technique sur ses mains.

Certains experts estiment que l’exposition de SIEM au nuage pourrait augmenter la surface d’attaque de l’organisation, à mesure que leur plate-forme réseau s’isolerait moins. Cependant, Rahim Karmali, architecte de solutions de sécurité pour Hewlett Packard Enterprises, estime que rien ne pourrait être plus éloigné de la vérité. "Ce sont les points d'entrée dont vous devez vous soucier - votre téléphone portable, tablette, ordinateur portable, etc. Très souvent, ces appareils flottent sur des réseaux qui ne sont peut-être pas sécurisés."

Pros (SIEM en général)

Mis à part les perspectives dans le cloud, il est évident qu'une organisation est mieux avec un SIEM que sans un. De nombreuses exigences standard en matière de rapports de conformité, telles que celles de la loi HIPAA (Health and Insurance Portability and Accountability Act), de la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) et de la loi Sarbanes-Oxley (SOX), sont satisfaites grâce à une collecte centralisée des journaux.

La gestion des incidents devient beaucoup plus efficace, car personne ne consulte manuellement les journaux pour trouver la route de l'attaquant via le réseau ou tous les hôtes et serveurs du vecteur d'attaque. Au lieu de cela, le système SIEM identifie et met en corrélation ces événements, à partir d’une vue à vol d'oiseau, puis reconstruit la séquence d'événements pour déterminer la nature de l'attaque.

«Il s'agit d'un outil d'alerte permettant d'identifier avec précision les événements suspects en mettant en corrélation les informations de journalisation provenant d'applications, de bases de données, de systèmes d'exploitation, de réseaux et de dispositifs de sécurité», explique M. Ahluwalia.

Les attaques graves ne sont plus isolées et les événements peuvent être répartis sur plusieurs systèmes pour éviter toute détection. Sans SIEM en place, des événements malveillants peuvent se propager comme une traînée de poudre.

Certains produits SIEM permettent également d’arrêter les attaques en envoyant des alertes à d’autres contrôles de sécurité, tels que des pare-feu et des systèmes de prévention des intrusions. «Les entreprises ne peuvent plus adopter une approche réactive face à des logiciels malveillants ou ransomwares, par exemple, explique Karmali. «Ils ont besoin d'un système fournissant des informations décisionnelles.» (Pour plus d'informations sur la sécurité, voir Le cryptage ne suffit pas: 3 vérités critiques sur la sécurité des données.)

Inconvénients (SIEM en général)

SIEM automatise de nombreuses activités pour lesquelles une entreprise consacrerait des heures de travail manuel, mais elle a également besoin de nouvelles compétences pour maintenir son efficacité. Une entreprise cliente aurait besoin de la participation active de tous les départements pour garantir l’envoi des journaux corrects à l’agent, car les moteurs de corrélation fonctionnent plus efficacement s’ils ne filtrent pas des données non pertinentes ou des faux positifs. Plus l'organisation est grande, plus ses journaux ont tendance à submerger le système SIEM.

De plus, bien que la technologie SIEM ait fait d’énormes progrès depuis sa création en 1996, ce n’est pas un système autonome. Cela nécessite une combinaison de «personnes, processus et technologie», dit Karmali.

Une efficacité optimale est généralement atteinte lorsque les systèmes SIEM s’associent à des pare-feu, des systèmes de détection / prévention des intrusions, des applications de protection contre les programmes malveillants et d’autres contrôles.

Conclusion

La plupart des organisations à l'échelle de l'entreprise sont plus sécurisées avec un système SIEM fonctionnel et efficace en place; Cependant, le choix du système SIEM le mieux adapté peut s'avérer difficile. Les petites entreprises, par exemple, ont intérêt à utiliser une solution cloud qui pourrait être plus évolutive et plus rapide à mettre en œuvre. Pour les grandes entreprises, il serait intéressant d'investir dans ce qui pourrait être une solution hybride plus coûteuse, où le cloud et les locaux fournissent tous deux leurs propres économies d'échelle.

Quoi qu'il en soit, pour les organisations de toutes tailles, l'efficacité optimale et un retour sur investissement élevé sont assurés par la présence d'un personnel dédié à la surveillance et à la maintenance continues du système.

De nombreuses entreprises mettent en œuvre un système SIEM pour des raisons de conformité et, s’ils ne disposent pas de suffisamment de ressources pour gérer, entretenir et ajuster le système, ils risquent de se retrouver avec un collecteur de journaux très coûteux et inefficace.