Les bonnes pratiques du SIEM pour la détection des attaques avancées
Les systèmes de gestion des informations et des événements de sécurité posent de nombreuses difficultés. Mais ils sont essentiels à la détection des attaques avancées.
Les systèmes de gestion des informations et événements de sécurité (SIEM) font régulièrement l’objet de critiques acerbes. Complexité, besoins importants en ressources de conseil externes… de nombreuses entreprises ont été déçues par leur expérience du SIEM pour l’implémentation de la supervision de la sécurité.
Mais la technologie n’est plus, désormais, la raison pour laquelle des entreprises peinent à réussir leurs implémentations de SIEM. Les principales plateformes de SIEM ont reçu de véritables transplantations cérébrales, se transformant en entrepôts de données taillés sur mesure pour fournir les performances et l’élasticité requises. Les connecteurs système et les aggrégateurs de logs, autrefois complexes et peu fiables, sont aujourd’hui efficaces, rendant la collecte de données relativement simple.
Mais il y a une limite au SIEM, comme à toute technologie s’appuyant sur des règles : le SIEM doit savoir ce qu’il doit chercher. Aucun boîtier SIEM ne pourra identifier automatiquement, comme par magie, une attaque tirant profit d’une méthode ou d’une vulnérabilité inédite.
Le SIEM joue un rôle important dans la détection d’attaques. Mais pour qu’il puisse détecter les attaques connues et inconnues, l’entreprise qui le déploie doit construire des ensembles de règles qui lui permettront d’identifier des conditions d’attaques et des indicateurs spécifiques à son environnement. Et le tout de manière cohérente. Comment donc construire ces règles ?
Tout collecter
Sans disposer de suffisamment de données collectées, le SIEM n’a pas grand chose à analyser. Mais la première étape est de collecter les bonnes données. Et celles-ci sont notamment les logs des équipements réseau, de sécurité et des serveurs. Ces données sont nombreuses et faciles à obtenir. Ensuite, il faut s’intéresser aux logs de l’infrastructure applicative (bases de données, applications). Les experts du SIEM ajoutent à cela les données remontées par de nombreuses autres sources, comme celles des systèmes de gestion des identités et des accès, les flux réseau, les résultats des scans de vulnérabilités et les données de configurations.
Avec les SIEM, plus il y a de données collectées, mieux c’est. Si possible, autant tout collecter. S’il est nécessaire de définir des priorités, alors mieux vaut se concentrer sur les actifs technologiques critiques, à commencer par les équipements installés dans les environnements sensibles et ceux manipulant des données soumises à régulation, ou encore ceux touchant à la propriété intellectuelle.
Construire les règles
Construire une règle pour SIEM est un processus itératif. Cela signifie qu’il est relativement lent et qu’il doit être affiné, précisé au fil du temps. De nombreuses personnes sont atteintes de la « paralysie de l’analyste » en début de processus, parce qu’il existe des millions de règles pouvant être définies. Ainsi, Securosis conseille de se concentrer sur les menaces les plus pressentes pour déterminer les règles à définir en premier.
Dans le cadre du processus de modélisation, il convient de commencer par un actif important. Pour cela, il faut adopter le point de vue de l’attaquant et chercher ce que l’on pourrait vouloir voler.
Modéliser la menace. Il faut se mettre à la place de l’attaquant et imaginer comment entrer et voler les données. C’est la modélisation de l’attaque, avec énumération de chaque vecteur avec le SIEM. Et il convient de ne pas oublier l’exfiltration car sa modélisation offre une opportunité supplémentaire de détecter l’attaque avant que les données ne se soient envolées. Dans ce processus, il s’agit d’adopter des attentes réalistes car le modèle d’attaque ne peut pas par essence être parfait ni complet. Mais il convient toutefois d’engager le processus de modélisation. Et il n’y a pas de mauvais point de départ.
Affiner les règles. Il convient ensuite de lancer l’attaque contre le SI, telle que modélisée. Les outils pour cela ne manque pas. C’est l’occasion de suivre ce que fait le SIEM. Déclenche-t-il les bonnes alertes ? Au bon moment ? L’alerte fournit-elle suffisamment d’informations pour assister les personnes chargées de la réaction ? Si l’alerte n’est pas adéquate, il convient de revoir le modèle et d’ajuster les règles.
Optimiser les seuils. Avec le temps, il deviendra de plus en plus clair que certaines alertes surviennent trop souvent, et d’autres pas assez. Dès lors, il convient d’ajuster finement les seuils de déclenchement. C’est toujours une question d’équilibre… un équilibre délicat.
Laver, rincer, recommencer. Une fois l’ensemble initial de règles pour ce modèle d’attaque spécifique implémenté et optimisé, il convient de passer au vecteur d’attaque suivant, et ainsi de suite, en répétant le processus en modélisant chaque menace.
Ce processus ne s’arrête jamais. Il y a constamment de nouvelles attaques à modéliser et de nouveaux indicateurs à surveiller. Il est toujours important de suivre les informations de sécurité pour savoir quelles attaques sont en vogue. Les rapports tels que celui de Mandiant sur le groupe APT1 intègrent désormais des indicateurs clairs que chaque organisation peut surveiller avec son SIEM. Armé de ces renseignements sur les menaces et d’un environnement de collecte de données complet, il n’y a plus d’excuse : il est temps de commencer à chercher les attaques avancées qui continuent d’émerger.
Mais avec le temps, il sera nécessaire d’ajouter de nouveaux types de données au SIEM, ce qui impliquera de revoir toutes les règles. Par exemple, le trafic réseau, s’il est capturé et transmis au SIEM, fournira quantité de nouvelles informations à étudier. Mais comment ce regard sur le trafic réseau sera-t-il susceptible d’affecter la manière dont certaines attaques sont traitées ? Quelles autres règles faudrait-il ajouter pour détecter l’attaque plus vite ? Ce ne sont pas des questions triviales : il convient de revoir les règles du SIEM chaque fois qu’est ajoutée une nouvelle source de données (ou retirer, le cas échéant) ; cela peut faire la différence sur la rapidité avec laquelle une attaque est détectée… si elle l’est.
Le plus important aspect de ce processus est la cohérence. Le SIEM n’est pas une technologie du type « installe et oublie ». Il requiert du temps, de l’attention, et d’être alimenté, tout au long de sa vie opérationnelle.
Adapté de l’anglais.