La prochaine génération de SIEM devrait renforcer la visibilité sur le réseau
Les entreprises utilisent principalement les systèmes de gestion informations et des événements de sécurité (SIEM) pour établir des rapports de conformité PCI DSS ou dans le cadre d’enquêtes après incident. Mais les fournisseurs d'infrastructure essaient de développer une nouvelle génération de plates-formes SIEM puissantes, permettant aux équipes informatiques d'appliquer des analyses aux données des systèmes.
La croissance des réseaux a progressivement augmenté la surface d'attaque du SI des entreprises pour les cybercriminels et, à son tour, déclenché une évolution des technologies de détection et de corrélation des menaces. Si les premiers SIEM déployés étaient conçus pour collecter des logs de quelques appareils, ils ont évolué pour supporter un vaste éventail d’équipements réseau, relève John Kindervag, analyste principal chez Forrester. Mais si les équipementiers misent aujourd’hui sur des plates-formes SIEM robustes, la question pour Kindervag est encore de savoir si les entreprises ont ou non l'argent et l'expertise nécessaires pour effectuer les corrélations avancées entre incidents de sécurité, nécessaires à la compréhension des menaces.
Selon une enquête de Forrester impliquant des décideurs IT de 157 organisations, les SIEM sont principalement utilisés - 80 % - pour l’établissement de rapports de de conformité. Moins de 40 % des répondants ont déclaré que leurs organisations utilisent leurs capacités de corrélation des événements.
"Le SIEM est un outil de reporting dont le succès est tiré par le standard PCI et il n'existerait probablement pas si PCI n'était pas sorti», estime Kindervag. «Les gens sont séduits par la corrélation des événements, mais ce n'est pas ainsi que cela fonctionne dans les déploiements du monde réel."
L'enquête, menée pour LogLogic, a montré que les rapports générés par les SIEM sont actuellement utilisés par les auditeurs de systèmes d’informateur, les DSI et autres cadres supérieurs. Mais le rapport conclut que les SIEM vont servir de fondations à des systèmes complets d’analyse des données du système d’information.
Brendan Hannigan, Pdg de Q1 Labs, fait le pari que ses clients voudront retirer plus de bénéfices de leurs déploiements SIEM. Hannigan, dont l’entreprise a été acquise par IBM récemment, va être à l’origine d’une nouvelle division qui regroupe l'ensemble des offres de sécurité d'IBM. Avec la plate-forme SIEM de Q1 comme fondation, IBM prévoit de coordonner sécurité des bases de données, gestion de terminaux, sécurité réseau et sécurité applicative, et de renforcer l’ensemble avec des capacités analytiques pour retirer de ces systèmes des données plus exploitables à titre opérationnel.
"On constate un changement fondamental dans le monde de la sécurité, où l'accent se déplace de produits individuels, isolés, conçus pour résoudre une tâche particulière vers quelque chose de plus étendu», explique Hannigan.
Les pare-feu, les appliances de prévention d’intrusion (IPS) et les serveurs de bases de données et d'applications génèrent des volumes de données considérables qui peuvent aider les organisations à mieux comprendre les menaces concernant leur réseau et, finalement, fournir aux RSSI la capacité de prendre des décisions de sécurité plus avisées. C'est le besoin d'un moteur d'analytique puissant, permettant de retirer de la valeur de toutes ces données, qui pousse les fournisseurs d'infrastructure tels qu’IBM et HP à acquérir des systèmes SIEM, selon les analystes.
La question de la montée en puissance
HP est si optimiste sur la technologie qu’il a déboursé 1,5 Md$ pour racheter ArcSight en 2010. RSA, la division sécurité d'EMC, est, quant à elle, en train de fusionner ses systèmes de SIEM EnVision avec sa plateforme NetWitness de surveillance réseau, combinant ainsi contexte réseau et analyse des données SIEM.
Les analystes conviennent que de nombreux éditeurs SIEM historiques risquent de pas être capables de gérer la puissance de traitement nécessaire pour appliquer des analyses sur de multiples sources de données. L'évolutivité est en passe de devenir l'une des caractéristiques les plus importantes des systèmes SIEM, selon Mark Nicolett, vice-président et analyste chez Gartner. Pour lui, les plateformes SIEM capables de supporter des sources d'événements hétérogènes à grande échelle ont une plus grande probabilité de réussir à maintenir une présence forte sur le marché.
Gartner estime que les systèmes SIEM doivent être capables de collecter efficacement les logs et disposer de capacités de surveillance en temps réel. "Un fournisseur qui ne propose pas les deux finira par être marginalisé sur le marché", estime Nicolett.
Les systèmes SIEM sont bons pour la collecte des données, mais ils ont besoin d'outils qui aident les analystes à manipuler les données pour découvrir les différents aspects d'un incident ou trouver des anomalies suspectes, relève Amit Yoran, vice-président senior et directeur général de la gestion de la sécurité et la conformité d'entreprise de RSA. «Avec des attaques complexes et des menaces avancées, l’évaluation du risque ne peut pas être limitée au trafic réseau visible à un moment donné", indique-t-il. "Une action peut ne pas déclencher d'alarme quand elle est prise de manière isolée. Mais replacée dans son contexte, elle devient beaucoup plus intéressante."
L’ancien PDG de NetWitness supervise l'intégration de la technologie dans le le SIEM enVision de RSA. Selon lui, EnVision a vraiment brillé en raison de sa capacité à consolider effectivement d’importants volumes de données et à comprendre différents formats et protocoles de log. Mais cela ne l’empêche pas d’avoir une approche pratique de l'utilité des systèmes SIEM au sein d’une organisation : «je ne croit pas en la possibilité de construire un référentiel unique qui recueille toutes les données critiques pertinentes à l'analyse de la sécurité [...] Cette approche "one size fits all" où l'on bâtit un gros système, ne me semble pas être un moyen pratique de fonctionner pour les grandes entreprises."
La conformité comme point de départ
Les entreprises peuvent commencer avec leurs impératifs de conformité à l'esprit. Mais s’il faut faire le choix entre l'achat d'un système SIEM seulement fort dans la gestion de journaux ou un système conçu pour la gestion des journaux et la surveillance en temps réel, la plupart des organisations seront sensibles à la valeur ajoutée de la surveillance - sauf s'il y a un surcoût énorme. Nicollet estime qu’il faut suivre de près HP ArcSight. HP a, en effet, laissé intactes les équipes de développement ArcSight, ce qui selon lui, permet au fournisseur de livrer rapidement de nouvelles fonctionnalités. Sous la direction d'HP, ArcSight a été bien meilleur pour accompagner les grands déploiements, constate-t-il.
Tom Reilly, vice-président de HP Enterprise Security et ancien PDG de ArcSight, estime que le SIEM devrait être la plate-forme d'intégration sur laquelle repose la stratégie de sécurité d'une entreprise. Comme RSA et IBM, HP développe aussi des outils conçus pour fournir à l'entreprise un meilleur regard sur les menaces réseau, en renforçant les capacités analytiques de la plate-forme SIEM d’ArcSight. C'est une question de connaissance du réseau, estime-t-il. "Si vous partez du principe selon lequel chaque entreprise doit gagner en visibilité sur la sécurité de son système d’information, toutes ont besoin d'investir dans un SIEM", estime Reilly. "J'entends ces critiques autour de la complexité et du coût. Mais j’entends encore plus parler d’implémentations réussies."
HP s'efforce de fournir de façon clés-en-main l'IPS et la collecte des logs, explique Reilly. L'objectif est de cibler les entreprises avec un personnel informatique et une expertise réduits en fournissant des interfaces prédéfinies pour l'intégration.
C’est cette même quête de l’intégration clés-en-main qui a poussé McAfee à racheter NitroSecurity, ce mois-ci, et de commencer à fusionner la famille de produits NitroView dans la suite ePolicy Orchestrator. McAfee entretenait déjà une relation étroite avec NitroSecurity. L’occasion pour l’éditeur de découvrir ses bases de données propriétaires, qui fournissent les capacités de corrélation et de profilage, et d’y voir un différenciateur fort par rapport aux autres fournisseurs de solution SIEM, explique Martin Ward, directeur senior des risques et de la conformité de McAfee. «Avec NitroSecurity, c’est très rapide», explique Ward. "La production de rapports avec des SIEM concurrents peut prendre des heures et des heures. Avec Nitro, c’est l’affaire de quelques minutes."
Le SIEM à l’heure de l’analytique
L'avenir du SIEM semble être à des technologies couplant le data warehouse avec de puissants outils analytiques à même d'aider les équipes informatiques à traiter des quantités massives de données, estime Kindervag, de Forrester : "il s'agit vraiment de prendre de meilleures décisions à partir de faits, non pas de conjecture. Si les départements informatiques peuvent obtenir des données sur un incident dans leurs systèmes et les mettre à profit, nous pourrions voir plus de décisions cohérentes avec les besoins métiers pour traiter les menaces en fonction du risque qu’elles représentent."
Adapté de l'anglais par la rédaction