Warakorn - Fotolia
SIEM : une clé pour réponse à incident plus efficace
Les systèmes de gestion des informations et des événements de sécurité permettent un reporting centralisé. Mais ce n’est que l’un des bénéfices qu’ils apportent. Il faut aussi compter avec l’accélération de la réponse à incident.
Les systèmes de gestion des informations et des événements de sécurité (SIEM) assurent la collecte des traces d’activité (logs) des hôtes de l’infrastructure et en stockent de manière centralisée les données pertinentes. En consolidant ainsi les données de logs, les SIEM ouvrent la porte à une analyse et un reporting centralisés sur les événements de sécurité de l’organisation.
L’un des apports des SIEM est la capacité à détecter des attaques passées inaperçues auprès d’autres systèmes. Certains SIEM peuvent également tenter de stopper des attaques – pour autant qu’elles soient encore en cours.
Les SIEM sont là depuis de nombreuses années. Mais les premiers d’entre eux ne s’adressaient qu’aux grandes organisations dotées de capacités de sécurité sophistiquées et de vastes équipes d’analystes. L’émergence de SIEM adaptés aux entreprises de taille plus modeste n’est que récente.
Les SIEM sont aujourd’hui accessibles sous la forme de logiciel à déployer en local, d’appliance physique ou virtuelle dédiée, ou encore de service en mode cloud. Chaque déploiement est motivé par ses objectifs spécifiques. Mais un SIEM apporte principalement trois bénéfices : l’industrialisation du reporting de conformité ; l’amélioration de la détection d’incidents ; et celle de l’efficacité de leur gestion.
Industrialiser le reporting de conformité
De nombreuses organisations déploient des SIEM pour ces seuls avantages, à commencer par la rationalisation du reporting de conformité. Chaque hôte dont les événements de sécurité doivent être intégrés au reporting transfère régulièrement ses données de journalisation à un serveur. Celui-ci reçoit les données de log de plusieurs hôtes et peut générer un seul rapport traitant de tous les événements de sécurité enregistrés sur ces hôtes.
Une organisation dépourvue de SIEM a peu de chances de disposer de solides capacités de journalisation permettant de créer de riches rapports personnalisés, tels que ceux qui sont nécessaires au reporting de conformité. Là, il peut être dès lors nécessaire de générer des rapports individuels pour chaque hôte ou de récupérer manuellement les données de chaque hôte périodiquement pour ensuite les rassembler en un point centralisé et enfin produire un unique rapport.
Mais cela peut être incroyablement difficile, notamment en raison de la diversité des approches propriétaires de journalisation des événements. La corrélation n’en est que plus difficile. La conversion de toutes ces informations dans un format commun peut nécessiter des efforts de développement et de personnalisation importants. En outre, les SIEM intègrent souvent un support natif des exigences liées au reporting de conformité.
En s’appuyant sur un SIEM, une organisation peut économiser beaucoup de temps et de ressources pour répondre à ses impératifs de reporting, surtout si elle évolue dans un domaine réglementé.
Détecter ce qui ne l’a pas été
Les SIEM sont capables de détecter des incidents non détectés par d’autres systèmes isolés. Un hôte qui observe une brèche de sécurité n’a pas nécessairement de capacités de détection des incidents. Il peut observer des événements et générer des entrées de journal pour eux, mais il n’est pas forcément en mesure de les analyser pour identifier des signes d'activité malveillante. Au mieux, ces hôtes, comme les postes de travail, pourraient être en mesure d'alerter quelqu'un lorsqu'un type particulier d'événement se produit.
Les SIEM offrent des capacités de détection accrues en corrélant les événements entre les hôtes. En rassemblant les événements d’hôtes différents à travers l'entreprise, un SIEM peut identifier des attaques qui s’étendent sur plusieurs points de l’environnement pour ensuite reconstruire la chaîne d'événements et déterminer la nature de l'attaque, mais également si elle a réussi ou non.
En d'autres termes, alors qu'un système de prévention des intrusions réseau (IPS) peut voir une partie d'une attaque et que le système d'exploitation d'un ordinateur portable peut en voir une autre, un SIEM peut corréler les données de journalisation de tous ces événements. De quoi aider à établir une chronologie d’attaque et à en évaluer l’étendue et les conséquences.
Mais si les SIEM présentent de nombreux avantages, ils ne doivent pas remplacer les contrôles de sécurité de l'entreprise pour la détection des attaques, tels que les systèmes de prévention des intrusions, les pare-feu et autres antivirus. Seul, un SIEM est inutile car il n'a pas la capacité de surveiller les événements de sécurité bruts tels qu'ils se produisent dans toute l'entreprise en temps réel. Les SIEM utilisent les données enregistrées par d'autres outils.
De nombreux SIEM ont également la capacité d'arrêter les attaques alors qu'elles sont encore en cours. L'outil n'arrête pas directement une attaque lui-même ; il communique avec d'autres contrôles de sécurité de l'entreprise, tels que les pare-feu, et les fournit les éléments nécessaires au blocage de l'activité malveillante.
Pour aller plus loin, il est possible de faire appel à son SIEM pour ingérer des données de renseignements sur les menaces provenant de sources externes fiables. Si le SIEM détecte une activité impliquant des hôtes malveillants connus, il peut alors mettre fin à ces connexions ou perturber d'une autre manière les interactions des hôtes malveillants avec les hôtes de l'organisation. Cela dépasse la détection et entre dans le domaine de la prévention.
Améliorer l'efficacité des activités de réponse aux incidents
Ainsi, un SIEM peut considérablement augmenter l'efficacité de la réponse à incident. De quoi économiser du temps et des ressources. De quoi, potentiellement, pouvoir gérer plus d’incidents, mais également accélérer leur confinement, et réduire l'ampleur des dommages.
Les gains d’efficacité proviennent notamment de l’apport d’une interface unique pour visualiser toutes les données du journal de sécurité de nombreux hôtes. Ainsi, un analyste peut identifier rapidement le parcours d'une attaque à travers l'entreprise, ou encore tous les hôtes qui ont été affectés. Et il peut profiter de mécanismes automatisés pour arrêter les attaques qui sont encore en cours et pour confiner les hôtes compromis.
Compte tenu de leurs apports pour l'automatisation du reporting de conformité, pour la détection des incidents et pour les activités de traitement de ceux-ci, les SIEM sont devenus une nécessité pour pratiquement toutes les organisations.