Warakorn - Fotolia
Choisir un SIEM commence par la définition de ses besoins
Le choix d’un système de gestion des informations et des événements de sécurité n’a rien de trivial, d’autant plus que les SIEM modernes ont considérablement évolué au cours des récentes années.
Le déploiement d’un système de gestion des informations et des événements de sécurité (SIEM) n’est pas chose triviale. Début 2016, une étude réalisée par Netwrix faisait ressortir de grands espoirs souvent douchés par la complexité et les coûts. Une surprise ? Pas vraiment. Car le SIEM est avant tout un outil au service d’un centre opérationnel de sécurité (SOC). Le Club de la sécurité d’information français (Clusif) ne disait d’ailleurs pas autre chose, dans les conclusions de son groupe de travail consacré à la mise en place d’un SOC, soulignant que ce centre est une organisation opérationnelle à part entière, « s’appuyant sur des processus documents […], des ressources humaines, et des ressources techniques ». En somme, penser SIEM avant de se pencher sur tout ce qui va autour, c’est un peu mettre la charrue avant les bœufs… Mais pour le SOC, choisir le SIEM n’est pas forcément une mince affaire non plus. Anton Chuvakin et Augusto Barros, de Gartner, se sont encore une fois penché sur le sujet cette année, pour produire un exhaustif guide à destination des clients du cabinet.
Un coût non négligeable
D’emblée, les deux analystes insistent : utiliser un SIEM, ce n’est pas acheter un logiciel ou une appliance, et il convient de se concentrer sur l’intégration de l’outil avec les opérations de sécurité. Dès lors, la première étape du choix d’un SIEM consiste à documenter tous les cas d’usage et à tenir compte du travail que nécessitera le déploiement, en continu, au-delà de la mise en route initiale.
Et il y a une bonne raison pour préparer avec soin, en amont, le choix de son SIEM : le coût. Selon Gartner, l’investissement initial peut se compter en centaines de milliers de dollars – « et parfois en dizaines de millions », même si ces cas « ne sont pas courants ». Après, il faut s’attendre à débourser un cinquième de cette somme, chaque année, pour le seul support.
A cela viennent s’ajouter les coûts de personnel… « Après coup, pour un investissement initial de 500 000 $, le SIEM peut nécessiter plusieurs analystes à 100 000 $ par an pour fonctionner efficacement ». En somme, pour Anton Chuvakin et Augusto Barros « le SIEM peut être un démultiplicateur de force, mais il nécessaire que l’entreprise ait de la force à multiplier »…
Pour justifier de tels investissements et dépenses de fonctionnement, les motivations relèvent essentiellement de deux catégories : la recherche de menaces et plus généralement de visibilité sous l’angle de la sécurité ; et la pression réglementaire. Et lorsque les besoins évoqués relèvent de la première, la seconde n’est jamais bien loin : « au moins, la plupart des nouveaux clients SIEM demandent comment utiliser leurs outils pour détecter des menaces – même si la motivation première est la conformité ».
A noter toutefois que « de nombreux déploiements SIEM motivés par la conformité évoluent pour couvrir tant les questions réglementaires que de sécurité identifiées comme importantes ».
Un vaste éventail de fonctionnalités
Mais le rôle du SIEM, c’est de permettre de détecter des anomalies, des incidents potentiels, qui devront ensuite être analysés et traités.
Dans cette perspective, ce système doit être connecté à une multitude de sources de données d’activité, dont les logs. Mais ce n’est pas tout.
Anton Chuvakin et Augusto Barros estiment ainsi qu’un SIEM moderne doit pouvoir s’alimenter auprès de sources telles que les logs des passerelles d’accès Cloud sécurisé (CASB), ainsi que ceux de services externes tels qu’AWS ou Office 365. Mais il faut aussi intégrer à cela les données sur le réseau et les hôtes de l’infrastructure générées par les systèmes d’analyse du trafic (NTA) et de détection et réponse sur les points de terminaison (EDR), sans oublier des sources de renseignement sur les menaces.
Pour aider à la détection des anomalies, un SIEM moderne doit être doté de capacités d’analyse comportementale (UEBA). Là, les éditeurs de SIEM n’ont pas attendu pour sauter le pas, que ce soit Splunk, RSA avec NetWitness, ou encore IBM avec QRadar, LogRhythm, et LogPoint, depuis peu. ArcSight, de Micro Focus, peut quant à lui profiter de l’intégration avec Securonix.
Mais encore faut-il pouvoir jongler avec de vastes volumes de données… Pour cela, les analystes de Gartner recommandent de choisir un SIEM supportant des systèmes de collecte à grande échelle, comme Apache Kafka, mais également des systèmes de recherche tels qu’Elasticsearch.
Les SIEM modernes ont également commencé à embarquer des capacités de workflow pour les analystes du SOC. Mais pour Anton Chuvakin et Augusto Barros, celles-ci restent limitées par rapport ce que peuvent offrir des outils dédiés dits de SOAR, à savoir orchestration, automatisation et réponse en sécurité. Une catégorie d’outils émergente à laquelle ils prévoient de consacrer une étude d’ici la fin de l’année.
De l’illusion au réalisme
Historiquement, le déploiement d’un SIEM dans une perspective de sécurité, vise la détection, en temps réel, d’activité malicieuses, et l’accompagnement des équipes de réponse à incident. Et l’éventail fonctionnel croissant peut donner à espérer. Mais attention aux illusions et aux fausses promesses.
Pour les analystes de Gartner, « la gestion des menaces est souvent vue comme une capacité temps réel des SIEM, mais alors que les menaces se font plus furtives et se concentrent sur la compromission persistante de l’environnement, elles ne peuvent plus être toujours détectées immédiatement ». Une vraie difficulté qui peut se transformer en écueil.
Car pour que l’investissement donne toute sa valeur, « les processus de tri des alertes et d’investigation doivent être maîtrisés avant la mise en œuvre de la supervision en temps réel ». Et là, justement, « beaucoup d’organisations n’ont pas les effectifs [nécessaires] même si elles ont défini les processus ».
Surtout, un SIEM ne vaut en fait que par « les contenus qu’il traite, les règles de corrélation, les définitions de rapports, les données contextuelles, et les workflows ». Dès lors, « les processus et les personnes chargées de développer et de maintenir le contenu du SIEM sont essentiels ».
Des alternatives
Dans la pratique, Gartner indique qu’IBM QRadar, Splunk et LogRhythm sont les noms qui reviennent le plus dans shortlists qu’il consulte. Les deux premiers seraient aussi les plus à l’aise avec les volumes élevés d’événements à traiter par seconde (EPS). Mais compte tenu des coûts non négligeables évoqués plus haut – et là, Splunk est régulièrement pointé du doigt –, il peut être intéressant pour certaines organisations de se tourner vers d’autres solutions que des SIEM pour couvrir leurs besoins.
Anton Chuvakin et Augusto Barros évoquent ainsi les outils de consolidation de logs, pour répondre aux besoins de reporting de conformité réglementaire. Pour la détection d’anomalies dans le trafic réseau, ils mentionnent les outils d’analyse de ce trafic (NTA, comme en proposent Darktrace et Vectra Networks), un segment de l’UEBA. Et cette dernière peut justement aussi répondre à des besoins de réponse à incident, de détection de menaces liées à des comptes utilisateurs légitimes. Et il faut aussi compter avec l’EDR (Endpoint Detection and Remediation) pour détection de comportements malicieux sur des postes de travail, ou encore de réponse à incident.
Mais c’est sans compter, aussi, avec les offres de SIEM en mode SaaS. Celles-ci peuvent permettre de laisser à tiers certains aspects de l’exploitation de l’outil, mais également de disposer d’un meilleur support des journaux d’activité de services Cloud. C’est l’objet d’un autre guide d’Anton Chuvakin et d’Augusto Barros.