Comparer les outils analytiques de sécurité

L’expert Dan Sullivan se penche sur les principaux outils analytiques de sécurité pour aider à déterminer ceux qui sont le mieux susceptibles de convenir à différents profils d’organisations.

Les outils analytiques de sécurité collectent, filtrent, intègrent et lient différents types de données d’événements de sécurité afin de fournir une vision plus complète de la sécurité de l’infrastructure d’une organisation. Presque toutes les organisations disposant d’un nombre élevé d’appareils connectés – qu’ils s’agisse de postes de travail comme de serveurs, routeurs ou encore smartphones et imprimantes – peut retirer des bénéfices de l’analytique de sécurité.

Ce marché évolue toutefois rapidement. Les fournisseurs fusionnent, les développeurs ajoutent de nouvelles fonctionnalités, et les outils autrefois déployés exclusivement en interne peuvent désormais être exploités sous la forme de services Cloud. Mais malgré tous ces changements, les entreprises conservent des besoins relativement constants, à commencer par la capacité à analyser les logs, à corréler les événements et à générer des alertes.

Il n’a pas d’unique taxonomie pour les cas d’usage de l’analytique de sécurité qui organise au mieux tous les besoins, mais les typologies de besoins classiques sont les suivants : analytique de base avec une surcharge minimale ; cas d’usage pour grandes entreprises ; focus sur les menaces avancées persistantes ; focus sur l’investigation ; et compléter un ensemble d’outils et de services de sécurité.

Ces catégories soulignent la diversité des besoins pour des fonctionnalités clés telles que les modèles de déploiement, la modularité, le périmètre et la profondeur d’analyse, l’investigation, la supervision, le reporting et la visualisation.

Plusieurs produits sont ici évoqués, dont Blue Coart Security Analytics Plateforme, Lancope Stealth Watch system, Juniper Networks JSA Series Scure Analytics, EMc RSA Security Analytics NetWitness, FireEye Threat Analytics Platform, Arbord Networks Security Analytics, Click Security Click Commander, et le service cloud de Sumo Logics.

L’analytique de base avec une surcharge minimale

Les petites et moyennes organisations constituent souvent des cibles tentantes pour les attaquants. Elles n’ont pas forcément des données aussi alléchantes que les grandes entreprises, mais elles présentent souvent moins d’obstacles pour réussir l’attaque. Les entreprises sujettes à des réglementations sectorielles, comme PCI DSS, doivent avoir en place des contrôles pour protéger les données personnelles identifiables ou les données de santé, par exemple. Les outils analytiques de sécurité peuvent aider à réduire le risque de brèche de sécurité, mais ils doivent répondre à plusieurs critères liés aux contraintes spécifiques aux petites et moyennes organisations.

Les modèles de déploiement doivent ainsi notamment limiter la surcharge administration. Appliances et services Cloud répondent typiquement à ce critère, mais les déploiements par appliances virtuelles peuvent également permettre des déploiements à surcharge restreinte.

Le service Cloud de Sumo Logic constitue un bon exemple de service conçu pour les PME. Ce service d’analyse de logs offre un tableau de bord d’administration centralisée pour superviser les applications, les serveurs et les ressources réseau. Puisqu’il s’agit d’un service Cloud, il n’y a ni matériel ni logiciel à maintenir. Le service inclut des rapports prédéfinis et s’avère donc adapté à différents besoins réglementaires, qu’il s’agisse de PCI DSS, de Sarbanes-Oxley, d’ISO ou de Cobit. Des algorithmes de type Machine Learning peuvent en outre être utilisés pour la détection d’événements, éliminant ainsi le besoin de création manuelle de règles. Et des indicateurs de performances multidimensionnels sont suivis dans le tableau de bord d’administration.

Comme pour les autres services Cloud, la tarification de Sumo Logic est basée sur le nombre d’utilisateurs et sur le volume de données analysées.

Les Pme qui préfèrent exploiter leur outil analytique de sécurité en local peuvent se tourner vers Blue Coat Security Analytics Platform. Celle-ci est disponible sous la forme de machine virtuelle ou d’appliance pré-configurée. Elle dispose d’une architecture modulaire permettant aux clients de choisir les modules dont ils ont besoin, appelés blades.

Le cas des grandes entreprises

A l’autre bout du spectre de la taille des organisations, les grandes entreprises ont besoin de prendre en compte les capacités d’élasticité, de profondeur et d’étendue d’analyse, d’investigation, et de surveillance des plateformes analytiques de sécurité. Une surcharge administrative limitée sera sûrement appréciée, mais cela reste secondaire. La complétude fonctionnelle est ici prioritaire.

Juniper Networks JSA Series Secure Analytics est disponible dans différentes versions pour s’adapter aux niveaux de demande des entreprises. L’appliance JSA 5800, par exemple, est conçue pour les entreprises de taille moyenne à grande, tandis que la JSA 7500 est destinée aux multinationales. Les entreprises de taille plus modeste anticipant une forte croissance peuvent commencer avec la JSA 3800 ou l’appliance virtuelle JSA, avant de passer à des modèles plus puissants par la suite. Pour l’appliance virtuelle, un serveur exécutant VMware ESX 5.0 ou 5.1, avec 4 CPU et 12 Go de mémoire vive est nécessaire.

La plateforme EMC RSA Security Analytics NetWitness comprote deux ensembles de modules. Le premier fournit le support de l’infrastructure et le second assure les services analytiques. Les modules sont déployés dans différentes configurations pour répondre aux besoins liés au volume de données et aux besoins analytiques.

RSA Security Analytics Decoder est l’un des composants d’infrastructure. Le décodeur est une appliance réseau conçue pour collecter les données de packets et de logs en temps réel. Elle supporte un vaste éventail de types de logs. De multiples décodeurs peuvent être déployés sur le réseau pour assurer disponibilité et élasticité. RSA Security Analytics Concentrator est un autre composant d’infrastructure chargé lui de l’agrégation des données collectées par les décodeurs. Les analystes de sécurité et les administrateurs utilisent quant à eux RSA Security Analytics Broker et Analytic Server pour interroger les données collectées et agrégées.

La plateforme distribuée RSA Security Analytics est bien adaptée aux grands réseaux. Les composants d’infrastructure peuvent être ajouter à mesure que croissent le trafic réseau et les volumes de logs. Mais comme tout système distribué, il est plus complexe à administrer et à configurer. Les organisations devraient alors prévoir d’investir suffisamment de ressources d’administration pour superviser la plateforme.

Les composants analytiques de la plateforme fournissent une analyse en temps réel du réseau, des logs et des terminaux pour détecter des événements. Un outil d’archivage est également disponible pour stocker les données et produire des rapports sur les informations collectées avec le temps.

Focus sur les menaces avancées persistantes

La taille de l’organisation n’est qu’une dimension de catégorisation des cas d’usage de l’analytique de sécurité. Parfois, il est plus approprié de considérer les fonctionnalités les plus importantes compte tenu de ses besoins. Par exemple, si une entreprise dispose déjà de bonnes protections pour les terminaux et de bonnes capacités de collecte des données, elle peut vouloir se concentrer sur la détection des menaces avancées persistantes. Dans ce cas, un système analytique de sécurité doté de capacités d’analyse étendues et d’investigation peut être particulièrement approprié.

Arbor Pravail Security Analytics emploie de multiples techniques pour détecter les menaces avancées persistantes en temps réel. Cette plateforme analytique de sécurité utilise la capture complète des paquets pour collecter de vaste quantités de données brutes qui aident à identifier la présence de multiples vecteurs d’attaque utilisés contre l’organisation. Les données du trafic réseau sont stockées et ré-analysées à chaque fois que de nouvelles données arrivent. Par exemple, lorsqu’un nouveau type de menace est détecté par les service de renseignement sur les menaces de l’équipementier, de nouvelles techniques de détection peuvent être développées et déployées. Ces techniques peuvent alors analyser d’anciennes données afin de déterminer si une attaque est en cours.

Certains attaquants vont compromettre un réseau puis stopper leurs activités pour des semaines. Cette période de silence peut agir en faveur de l’attaquant : une activité réduite peut s’avérer plus difficile à détecter qu’une attaque en cours générant des comportements reconnaissables. En conservant l’historique du trafic réseau et en l’analysant à la recherche de signes d’attaques passées, les organisations peuvent réduire l’avantage acquis préalablement par l’attaquant.

En plus d’analyser des données historiques, l’analyse du flux du trafic est également une méthode clé pour découvrir des menaces avancées persistantes. Lancope Stealth Watch System utilise les enregistrements de flux réseau pour détecter les étapes d’attaques avancées. Le système intègre un agrégateur de données qui consolide des données disparates en une source unique de données d’événements réseau et terminaux analysable. Une console fournit des données et des alertes actualisées sur les événements significatifs dans le cadre d’une attaque avancée.

De son côté, Click Commander de Click Security est bien adapté à l’analyse de comportement d’attaquants, établissant des profils d’activité aux différentes étapes de la chaîne de compromission, et émettant des alertes et autres notifications personnalisables. Il intègre des outils de visualisation qui créent des graphiques des activités tout en fournissant des profils d’acteurs et des données contextuelles pour analyser les événements décrits par les graphiques.

Focus sur l’investigation

Il y a une certaine redondance entre certains usages centrés sur les menaces avancées persistantes et ceux relatifs à l’investigation. Arbor Pravail Security Analytics et Lancope Stealth Watch System sont bien adaptés à l’investigation. Mais d’autres systèmes qui collectent et intègrent des données et fournissent des capacités analytiques complètes peuvent également répondre aux besoins d’investigation.

La plateforme Blue Coat Security Analytique est par exemple bien intégrée, avec des outils de sécurité tels que les pare-feu, les systèmes de prévention des fuites de données (DLP), les IPS et IDS, ou encore les anti-virus. Elle supporte également les données générées ou délivrées par des outils et des appareils signés Dell, HP, McAfee, Palo Alto Networks et Splunk.

Un ensemble complet d’outils et de services

Certaines organisations ont besoin de combiner des contrôles de sécurité existants avec une nouvelle plateforme analytique de sécurité. Là, le meilleur produit est probablement celui qui permet de déployer un système s’intégrant à l’infrastructure existante et combler ses manques fonctionnels. Dans ce cas, une offre modulaire peut s’avérer tout indiquée.

La plateforme Blue Coat Security Analytics, par exemple, permet d’intégrer différents modules, des blades, suivant les besoins. La diversité de ses modèles de déploiement – entre appliances physiques et virtuelles – permet en outre de déployer un outil analytique de sécurité avec le niveau de fonctionnalité et d’élasticité souhaité.

Mais la priorité est au reporting analytique, les rapports préconfigurés de Sumo Logic peuvent suffire. Quant à EMC RSA Security Analytics NetWitness, il conviendra bien aux organisations ayant besoin d‘archivage des données de sécurité à long terme.

Conclusions

Les outils analytiques de sécurité répondent à des problèmes courants : comment utiliser les données disponibles sur les événements au sein de l’infrastructure pour identifier menaces et attaques, analyser les méthodes d’attaque, et alerter les administrateurs et les exploitants en cas d’activité malicieuse. Les organisations de toutes tailles sont concernées.

Les petites organisations peuvent être tentées de considérer qu’elles n’intéressent pas les attaquants les plus sophistiqués, mais ce n’est pas le cas. Elles sont susceptibles de figure dans la chaîne de valeur qui conduit à des cibles plus importantes, comme des multinationales ou de grandes administrations. L’analytique de sécurité n’est pas la première ligne de défense des entreprises, mais c’en est une de plus en plus importante.

Les professionnels de l’IT chargés de recommander, évaluer, et acquérir une plateforme analytique de sécurité devraient évaluer précisément leurs besoins en tenant compte des contrôles et applications de sécurité déjà présentes, pour éviter les redondances.

Adapté de l’anglais.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)