apinan - Fotolia
Histoire, évolution et état présent des SIEM
Les systèmes de gestion des informations et des événements de sécurité (SIEM) répondent au besoin d’un outil de sécurité permettant de découvrir les menaces en temps réel. Mais l’évolution de la menace les pousse à se transformer.
Il fut un temps où les services informatiques considéraient les pare-feu – qui filtrent le trafic en fonction du port, du protocole et des adresses IP – comme le meilleur moyen de maintenir la sécurité des appareils en réseau.
Mais à mesure que le trafic réseau augmentait – alimenté par une connectivité internet à l’usage toujours croissant – les pare-feu devenaient moins efficaces. Ils manquaient de visibilité sur le contenu et le contexte des données, ce qui signifiait qu'ils ne pouvaient pas classer adéquatement le trafic. Cela a créé une demande pour de meilleures technologies capables de surveiller l'accès aux systèmes pour contrer le nombre croissant et la sophistication des cyberattaques.
Au début des années 90, les systèmes de détection d'intrusion commerciaux (IDS) ont fait leur apparition. Ces systèmes pouvaient évaluer le trafic réseau par rapport à un ensemble de règles et d'attaques connues, générant une alerte si une attaque était identifiée. Avant l'IDS, l'analyse des journaux et des messages système était effectuée manuellement, et les administrateurs n'obtenaient qu'un succès limité dans la détection d'une intrusion active.
La nature variée des réseaux dans les années 90 et au début des années 2000 ont conduit les IDS à produire un grand nombre de faux positifs, gaspillant du temps et des ressources. Ils manquaient également de la capacité à centraliser et à corréler les données d'événements provenant de plusieurs systèmes.
L’émergence du SIEM
Ce dont l'industrie avait besoin, c'était d'une approche plus dynamique de la sécurité des réseaux, qui offrait une meilleure visibilité sur l'environnement opérationnel global. Cela a conduit les fournisseurs de sécurité à combiner davantage deux concepts : la gestion de l'information de sécurité (SIM) et la gestion des événements de sécurité (SEM). Le résultat a été la gestion de l'information et des événements de sécurité (SIEM), un terme que Gartner a inventé dans un rapport sur la sécurité informatique en 2005.
L'évolution du SIEM était basée sur le besoin d'un outil capable d'identifier les véritables menaces en temps réel en collectant et en priorisant plus efficacement les milliers d'alertes de sécurité générées par les pare-feu, les logiciels antivirus et les IDS. Les systèmes SIEM pouvaient identifier les risques de sécurité potentiels en centralisant, normalisant et analysant les données d'événements à travers tout un environnement informatique. Cela a permis aux équipes de sécurité de devenir plus efficaces et performantes alors qu'elles devaient gérer des volumes de trafic toujours croissants à travers des infrastructures informatiques complexes.
Mais malgré leurs avantages, les systèmes SIEM de première génération présentaient des faiblesses. Leurs tableaux de bord et rapports étaient basiques et leurs alertes manquaient de sophistication. Les premiers SIEM souffraient également d'une mauvaise évolutivité, chaque étape du processus – l'ingestion des données, la définition des politiques, des règles et des seuils, la revue des alertes, et l'analyse des anomalies – nécessitant une intervention manuelle.
Dans le même temps, les réseaux sont devenus accessibles par un groupe encore plus large d'utilisateurs – parmi eux des travailleurs à distance, des clients et des tiers. Les attaquants ont rapidement pu opérer sans être détectés en contournant les déclencheurs basés sur des règles.
Et le SIEM se fait plus analytique
L'arrivée de solutions de stockage évolutives et à faible coût, telles que Apache Hadoop et Amazon S3, a porté l’étape suivante de l'histoire du SIEM. Elles ont rendu possible pour les systèmes SIEM d'utiliser des analyses de big data pour améliorer la corrélation et l'interprétation des données en direct et historiques, bien que les seuils d'alerte soient principalement préconfigurés manuellement.
Vers 2015, l'intégration de l'apprentissage automatique et de l'IA dans les outils SIEM les a rendus encore plus efficaces pour orchestrer les données de sécurité et gérer les menaces en constante évolution. Cela signifiait que les systèmes SIEM pouvaient déclencher des alertes concernant des menaces et des schémas d'attaque inédits, en plus des menaces connues. La précision et l'utilité des alertes SIEM ont été encore améliorées après que les SIEM ont commencé à ingérer des données de journalisation provenant d'infrastructures déployées en mode cloud, d'applications SaaS et d'autres sources de données non standard, parmi lesquelles des flux d'informations sur les menaces de tiers qui contenaient des indicateurs de compromission glanés à partir de multiples sources.
La détection d'anomalies plus puissante a été une pierre angulaire de l'évolution du SIEM. L'ajout d'un profilage automatisé et de la création de règles alimentés par l'IA a ajouté une couche dynamique de capacités de détection. L'analyse du comportement des utilisateurs et des entités (UEBA) a donné un nouvel élan au SIEM. L'UEBA s'appuie sur les informations d'événements, l'apprentissage automatique et l'analyse statistique pour générer une base de comportement normal, lui permettant de détecter des activités en dehors des plages acceptées qui pourraient résulter en une véritable menace. Prenons l'exemple d'un hacker malveillant utilisant les identifiants volés d'un administrateur. Il pourrait être en mesure d'accéder à des systèmes sensibles, mais il lui serait presque impossible de reproduire les actions de l'administrateur. Car un SIEM utilisant l'UEBA pourrait détecter, signaler et stopper l'accès.
Le SIEM évolue avec les menaces
Les SIEM continuent d'évoluer à mesure que le nombre et la complexité des cyberattaques augmentent. Les fournisseurs commercialisent de nouveaux concepts pour différencier leurs produits avec de nouvelles fonctionnalités ou des fonctionnalités supplémentaires. L'orchestration de la sécurité, l'automatisation et la réponse (SOAR) en est un bon exemple. Le SOAR utilise des API pour intégrer les systèmes SIEM avec d'autres outils de sécurité. Cela permet aux équipes de sécurité d'améliorer leur capacité à détecter des menaces complexes et des mouvements latéraux en exécutant automatiquement des actions préplanifiées en réponse à des incidents spécifiques.
Les SIEM sont devenus une partie intégrante de la plupart des centres d'opérations de sécurité (SOC) dans les organisations de toutes tailles et de tous secteurs. Ils sont déployés de diverses manières, parmi lesquelles des appareils, des logiciels et des services de sécurité managé. Bien que les systèmes SIEM soient principalement utilisés pour surveiller et détecter les menaces en mode cloud et sur les ressources locales, leur télémétrie en temps réel permet également aux équipes opérationnelles d'analyser et de résoudre les problèmes de réseau. Les équipes de réponse aux incidents utilisent leurs journaux pour l'examen médico-légal des événements de sécurité historiques et pour collecter des preuves pour les enquêtes des forces de l'ordre. Les équipes de conformité peuvent également utiliser les données des SIEM pour satisfaire aux exigences de surveillance, d'audit et de reporting spécifiées dans des réglementations telles que le RGPD, la HIPAA et la PCI DSS.
Les SIEM sont disponibles auprès de tous les grands fournisseurs, mais les coûts de mise en œuvre et d'intégration ne sont qu'une partie de l'équation. Les entreprises ont besoin d'au moins trois à quatre membres du personnel formés pour gérer et surveiller un outil SIEM et pour enquêter sur les alertes qu'il génère. Les organisations plus grandes nécessiteront encore plus de personnel. C'est l’une des raisons pour lesquelles les organisations aux ressources limitées pourraient utiliser un fournisseur de services de sécurité managés (MSSP).
Vers de la proactivité
L'évolution du SIEM signifie qu'il a mûri pour devenir bien plus que la somme de ses deux parties initiales –SIM et SEM. Toute forme de technologie conçue pour détecter et prévenir les menaces a le SIEM en son cœur. La capacité de cet outil à collecter et analyser les données enregistrées par les appareils et les logiciels sur le réseau est le seul moyen d'obtenir une visibilité sur les infrastructures larges et complexes.
Les outils de sécurité basés sur le SIEM jouent un rôle vital dans la sécurité des données et quelle que soit la forme que les produits et services SIEM finissent par prendre, l'objectif sera toujours le même : identifier les menaces pour les hôtes, prioriser celles présentant le plus grand risque et atténuer automatiquement ce risque en temps réel.
C'est la seule manière dont les équipes de sécurité peuvent réagir assez rapidement pour empêcher que les attaques ne se transforment en violations de données à part entière. Les outils SIEM continueront de s'améliorer, leur permettant de traiter des milliards d'événements. Mais les avancées les plus importantes toucheront à la manière dont le SIEM transforme ces données en informations exploitables et comment ces actions peuvent être automatisées pour accélérer les processus d'investigation et de réponse aux incidents de sécurité.
Quelle que soit la manière dont ces outils de nouvelle génération sont rebaptisés – les dernières versions étant TDIR, pour la détection des menaces, l'investigation et la réponse, et XDR, pour la détection et la réponse étendues – le SIEM jouera un rôle clé.
L'apprentissage automatique et l'IA commencent à améliorer notre compréhension de ce qui se passe sur un réseau, mais la véritable percée du SIEM arrivera lorsque les alertes pourront être prédictives ainsi que réactives. Ce sera le moment où le SIEM deviendra un véritable système de détection et de prévention des intrusions, bloquant non seulement l'activité malveillante connue mais arrêtant une cyberattaque sur ses traces avant qu'elle ne puisse être finalisée – sans perturber les opérations et activités quotidiennes. Lorsque ce jour arrivera, le SIEM aura besoin d'un nouveau nom et d'un nouvel acronyme.