James Thew - Fotolia
Trois bénéfices à retirer d’un SIEM
L’experte Karen Scarfone explique comment presque toutes les organisations peuvent tirer profit des informations fournies par les systèmes de gestion des informations et des événements de sécurité.
Les systèmes de gestion des informations et des événements de sécurité (SIEM) sont conçus pour collecter les logs des événements de sécurité rencontrés par de nombreux hôtes au sein de l’infrastructure IT de l’entreprise, et stocker les données pertinentes de manière centralisée. En rassemblant toutes ces données, les SIEM permettent leur analyse et la production de rapport sur les événements de sécurité rencontrés par l’organisation.
Cette analyse peut déboucher sur la détection d’attaques qui n’auraient pas été trouvées autrement, et certains SIEM disposent même des capacités nécessaires pour tenter d’arrêter des attaques en cours.
Les produits de SIEM sont disponibles depuis de nombreuses années. Mais les premiers d’entre eux étaient conçus pour les grands groupes dotés de systèmes de sécurité avancés et d’importantes équipes d’analyse des incidents. Ce n’est que récemment que des SIEMS adaptés aux besoins des PME sont apparus.
Les architectures SIEM disponibles aujourd’hui sont variées : logiciel à installer sur un serveur local, appliance physique, appliance virtuelle, ou service SIEM en mode cloud.
Les entreprises utilisent les SIEM à des fins différentes. Les bénéfices de ces systèmes varient donc d’une organisation à l’autre. Mais les SIEM offrent typiquement trois bénéfices : industrialisation du reporting de conformité réglementaire ; détection d’incidents susceptibles de passer autrement inaperçus ; et amélioration des activités de gestion des incidents.
Industrialiser la production de rapports de conformité
De nombreuses organisations déploient des SIEM pour ce seul bénéfice : l’industrialisation de leurs efforts de production de rapports à des fins de conformité réglementaire. Chaque hôte qui a besoin que ses événements de sécurité soient intégrés au rapport transfère régulièrement ses données de log au serveur SIEM. Un unique SIEM reçoit les données de nombreux hôtes et peut générer un unique rapport traitant tous les événements de sécurité pertinents rencontrés par ces hôtes.
Sans SIEM, il est peut probable qu’une organisation dispose d’une capacité de gestion des logs centralisée et robuste, capable de produire des rapports personnalisés étoffés, tels que ceux nécessaire pour la plupart des exigences de conformité réglementaire.
Dans un tel environnement, il peut être nécessaire de générer des rapports individuels pour chaque hôte, ou de collecter les données manuellement, périodiquement, à partir de chaque hôte, et de les rassembler pour générer un seul rapport. Cette dernière opération peut s’avérer extraordinairement difficile, notamment parce que les différents systèmes d’exploitations, les applications et les autres composants logiciels enregistrent probablement leurs logs sous différentes formes propriétaires. Convertir toutes ces informations dans un format unique peut nécessiter d’importants efforts de production de code et/ou de personnalisation.
Mais les SIEM s’avèrent également si utiles pour la conformité réglementaire parce qu’ils offrent généralement un support natif des types de reporting requis dans le cadre des efforts de conformité : HIPAA, PCI DSS, ou encore SOX, notamment. En s’appuyant sur un SIEM, une organisation peut économiser des ressources et un temps considérable pour produire ses rapports de conformité, en particulier lorsqu’elle est sujette à plusieurs réglementations.
Détecter des incidents furtifs
Les SIEM permettent de détecter des incidents de sécurité susceptibles autrement de passer inaperçus. Et il y a deux raisons principales à cela. La première, et la plus simple, est que de nombreux hôtes produisant des logs d’événements de sécurité n’ont pas de capacités natives de détection des incidents. Ces hôtes peuvent donc observer des incidents et en enregistrer une trace, mais ils n’ont pas la capacité d’analyser ces traces et d’identifier les signes d’une activité malicieuse. Tout au plus ces hôtes, comme les postes de travail des utilisateurs, peuvent-ils être capables d’alerter quelqu’un lorsqu’un incident d’un type prédéfini survient.
Mais les SIEM sont surtout capables de corréler les événements entre hôtes. En collectant les événements de sécurité des tous les hôtes de l’entreprise, un SIEM peut voire une attaque affectant plusieurs hôtes, et dès reconstruire une série d’événements pour déterminer la nature de l’attaque et sa réussite, ou non.
En d’autres termes, si un système de prévention des intrusion (IPS) est susceptible de voir une partie de l’attaque, ou que le système d’exploitation d’un ordinateur portable peut en voir une autre, le SIEM peut examiner les données de log de tous ces événements et déterminer si l’ordinateur portable a été infecté par un logiciel malveillant l’ayant intégré à un botnet avant d’étendre ses efforts à d’autres hôtes de l’infrastructure.
Il est important de comprendre que les SIEM ne replacent pas les systèmes de détection des attaques tels que les IPS/IDS, les pare-feu ou encore les anti-virus. Un SIEM seul est inutile parce qu’il ne dispose d’aucune capacité de supervision des événements de sécurité survenant dans l’entreprise : les SIEM ont besoin des logs, des traces d’activités générés par les hôtes de l’infrastructure.
De nombreux SIEM disposent également de capacités pour tenter de stopper une attaque en cours lorsqu’ils la détectent : ils communiquent avec les autres systèmes de sécurité de l’entreprise, tels que les pare-feu, et les poussent à modifier leur configuration pour bloquer les activités malicieuses. Cela permet au SIEM d’empêcher la réussite d’une attaque susceptible de ne pas avoir été détectée ailleurs dans l’infrastructure.
Pour aller un peu plus loin, il est possible d’alimenter en plus son SIEM avec des flux de renseignement sur les menaces : s’il détecte des activités impliquant des hôtes connus pour être malicieux, il peut agir pour couper ces connexions ou perturber les interactions de ces hôtes avec les hôtes internes pour prévenir, par anticipation, la réussite d’une attaque. Et l’on passe dépasse là le domaine de la détection pour entrer dans celui de la prévention.
Améliorer l’efficacité de réponse aux incidents
Mais les SIEM apportent également d’importants bénéfices dans la réaction aux incidents : ils permettent notamment de réduire le délai de réaction et la quantité de ressources nécessaires pour cela. De quoi limiter les dégâts induits par un incident.
Ce gain d’efficacité est principalement lié à la visibilité étendue qu’offre un SIEM sur les incidents.
Ainsi, un tel système permet d’identifier rapidement le cheminement d’une attaque au sein de l’infrastructure, ou encore de repérer tout aussi vite l’ensemble des hôtes affectés ; voire d’automatiser les efforts de confinement d’une attaque en cours.
Plus généralement, les SIEM permettent aux entreprises de disposer d’une vue d’ensemble de leurs événements de sécurité, en intégrant les données reçues des équipements de sécurité, des systèmes d’exploitation, des applications, et autres composants logiciels.
L’analyse de ces vastes volumes de données permet d’identifier les attaques et les compromissions. Un SIEM est souvent capable d’identifier les activités malveillantes qu’aucun système isolé ne pourrait identifier. Parce que le SIEM est le seul, dans l’entreprise, à avoir une véritable vue d’ensemble.
Adapté de l’anglais.