Renseignement de sécurité : résoudre le casse-tête pour obtenir des informations exploitables

Transcription

1 Renseignement de sécurité : résoudre le casse-tête pour obtenir des informations exploitables réduire le temps de détection et remédier à des cyber-attaques perfectionnées auteur Fran Howarth

2 Synthèse analytique T L'étendue des incidents et des violations de sécurité constatées aujourd'hui est si importante et répandue qu'aucune organisation ne peut s'en tenir à l'autosuffisance. Au lieu de cela, elles doivent se concentrer sur l'idée qu'elles ont déjà été victimes de violations de sécurité. En général, beaucoup de technologies de sécurité se concentrent sur la prévention des intrusions de menaces potentielles dans les réseaux. Cependant de tels outils ne suffisent plus face à des pirates dotés en ressources et pragmatiques qui ont la possibilité de cibler des individus ou des organisations en particulier avec des outils sur mesure et de contourner ces défenses grâce à des moyens de plus en plus sophistiqués. La prévention à elle seule ne suffit pas. L'aptitude à se défendre contre des cyber-menaces et violations perfectionnées bien réelles dans le paysage actuel des menaces nécessite une combinaison de trois capacités : prévention, détection et solution. La détection constitue un nouvel impératif, mais la découverte des incidents et les violations de sécurité prend encore plus de temps qu'auparavant. Ce n'est qu'en détectant les menaces rapidement que nous pouvons être en mesure de contenir les dommages qui s'ensuivent de façon efficace. Remédier à ces événements est un autre domaine dans lequel de nombreuses organisations souffrent de lacunes, car ces dernières s'appuient sur des efforts manuels en raison de leur réticence à prendre des mesures qui pourraient engendrer des menaces supplémentaires. Ces lacunes sont en partie expliquées par un manque de visibilité complète sur les événements qui se produisent au sein des réseaux. Une nouvelle génération de plateformes de renseignement de sécurité permet d'obtenir la visibilité indispensable pour faire face à toutes les menaces et incidents relatifs aux réseaux et fournit le contexte nécessaire pour déterminer quels sont les événements qui ont des conséquences sur les réseaux et leurs effets potentiels. À partir des informations fournies par de telles plateformes, les organisations peuvent obtenir des informations exploitables favorisant des prises de décision plus avisées. Les informations exploitables peuvent être définies comme la capacité à analyser de grandes quantités de données en vue de déterminer des modèles de comportement de personnes et d'équipements pour permettre une automatisation des processus opérationnels exploitant pleinement ces informations et destinée à remplacer ce qui fut pendant longtemps Quelques faits Recueil et gestion des journaux, notamment recueil de volumes de journaux très importants auprès de l'ensemble d'un réseau, normalisation et agrégation centralisée de ces derniers, conservation sécurisée sur le long terme, recherche efficace et capacités de production de rapports. Analyses approfondies : les capacités sont notamment la corrélation des journaux d'événements, la classification et la réalisation d'analyses en utilisant des techniques d'analyse statistiques et comportementales basées sur des capacités d'apprentissage automatique des comportements normaux attendus. L'analyse doit indiquer le contexte de tous les événements afin que leur impact réel puisse être évalué et que des priorités en matière d'actions correctives soient établies. Suivi continu de toutes les activités sur l'ensemble des réseaux ainsi que des hôtes, utilisateurs, terminaux et applications qui s'y connectent en temps réel. Résolution automatisée permettant de faire face automatiquement aux alertes en temps réel et incluant un processus manuel d'approbation facultatif des action de résolution qui permet de garantir un examen préalable au lancement de la réponse. Investigations légales : possibilité de creuser dans des volumes très importants de données historiques et de parcourir les informations rapidement pour discerner des modèles pertinents destinés à accélérer les investigations et à trouver l'origine des incidents Gestion centralisée : un répertoire central concernant toutes les tâches de gestion et administratives doit être mis en place et constituer un point central de gestion et d'application de politiques. Cela permet également d'effectuer les audits et les rapports requis pour améliorer l'ensemble de la situation de sécurité et répondre aux obligations réglementaires.

3 effectué manuellement. Dans un contexte de sécurité, la prise de mesures adéquates nécessite une capacité à recueillir et à analyser de gros volumes de données portant sur des événements et provenant de l'ensemble d'un réseau ainsi que de tous les appareils, utilisateurs et applications qui s'y connectent en temps réel. Les plateformes de renseignement de sécurité trouvent leurs origines dans les systèmes de gestion des renseignements de sécurité, des événements et des journaux, mais vont désormais au-delà des capacités traditionnelles en incluant de nombreuses possibilités supplémentaires permettant d'améliorer la puissance de ces systèmes à des fins de détection efficace d'événements et d'incidents en temps réel et de prise de mesures automatisée favorisant l'application rapide d'actions correctives. Il s'agit d'outils essentiels pour toute organisation souhaitant optimiser la gestion de l'ensemble des risques opérationnels et de sécurité. Ils sont indispensables pour se défendre contre des menaces perfectionnées et pour assurer la conformité. L'essentiel Sans une vue d'ensemble de la façon dont les événements et les incidents liés à la sécurité affectent l'ensemble d'un réseau, les organisations rencontrent non seulement des difficultés à détecter les événements mais aussi à les résoudre de manière adéquate en se basant sur des renseignements réels concernant leur importance relative. Cela rend les organisations vulnérables à l'égard d'incidents et de violations préjudiciables de sécurité car elles n'ont pas la possibilité de connaître la nature des vulnérabilités et s'appuient uniquement sur des procédures manuelles existantes ou des solutions partiellement automatisées. Lier des bouts d'informations provenant de différents systèmes et contrôles de sécurité représente un défi trop important pour de nombreuses organisations, à moins que ces Ce document s'adresse à toute organisation souhaitant améliorer à moindre coût leur situation de sécurité et leurs capacités en matière de gestion des risques à l'échelle de l'entreprise. Il comporte des preuves statistiques concernant les défis auxquels les organisations sont confrontées et démontre la façon dont les plateformes de renseignement de sécurité peuvent y remédier en fournissant des informations exploitables sur des situations réelles afin que des actions correctives puissent être entreprises pour assurer la sécurité des réseaux. De telles plateformes permettent non seulement aux organisations d'engager les actions nécessaires pour faire face aux menaces, mais aussi de discerner des modèles basés sur les événements qui se sont produits grâce à des analyses détaillées. dernières n'aient mis les contrôles de sécurité adéquats en place. Les plateformes de renseignement de sécurité assurent ce type de contrôles en reliant une grande quantité d'informations relatives à la sécurité provenant de l'ensemble des réseaux et en les mettant en corrélation tout en les analysant afin de produire des informations exploitables sur la façon dont une organisation est affectée et sur les meilleures actions correctives à mettre en place. Ces plateformes ont maintenant atteint suffisamment de maturité pour assurer une automatisation complète permettant des prises de décision avisées et intégrant de nombreux contrôles supplémentaires qui augment leur efficacité de façon considérable. Toute organisation qui adopte ce type de plateforme bénéficiera d'un avantage compétitif considérable par rapport à celles qui restent dans le flou.

4 La prévention à elle seule ne suffit pas Tout incident de sécurité peut A avoir des effets négatifs obligeant une organisation à mobiliser des ressources destinées à corriger les problèmes et à tout remettre en en service. Cependant, lorsque ce type d'incident a pour conséquence une violation qui expose ou qui divulgue des données à un tiers non autorisé, plus particulièrement lorsqu'il s'agit de renseignements personnels identifiables relatifs à des personnes tels que des employés ou des clients, les enjeux deviennent bien plus importants. Le diagramme 1 montre les conséquences les plus graves de violations de données causées par des actions malveillantes. À l'occasion d'une étude récente, le Ponemon Institute a établi que 68% des organisations ont connu une violation ou un incident de sécurité au cours des deux dernières années, tout en indiquant que de nombreux professionnels de sécurité ont des difficultés à suivre le contexte des menaces et ne sont mêmes pas sûrs d'avoir été victimes d'attaques. Les statistiques produits par PwC estiment que le problème est encore plus important, avec 81% de grandes organisations ayant connu une violation de sécurité au cours de l'année précédente. Les violations de sécurité sont monnaie courante, mais le rapport précise que ce que nous connaissons n'est que la partie émergée de l'iceberg, car il indique que 70% des organisations ne dévoilent pas les violations de sécurité les plus graves dont elles ont été victimes. Le même rapport indique également que bien que le nombre moyen des violations de sécurité subies par chaque organisation soit en baisse, le coût de chacune d'entre elles a doublé au cours de l'année précédente pour atteindre un montant moyen de , pouvant atteindre 1,15 millions de dans les cas les plus graves. Cela est dû en grande partie au fait que les attaques deviennent plus menaçantes et utilisent des techniques plus insidieuses et plus ciblées que jamais sur des organisations spécifiques ainsi que sur les individus qui en font partie. Les technologies traditionnelles telles que les anti-virus ne sont plus efficaces contre de telles attaques, qui utilisent des logiciels malveillants jamais rencontrés auparavant et souvent spécialement conçus pour une attaque en Diagramme 1. Impact des violations de données malveillantes.

5 particulier avant de disparaître. D'après FireEye, 70% des logiciels malveillants ne sont rencontrés qu'une seule fois et 82% d'entre eux disparaissent dans l'heure. Les anti-virus traditionnels ne sont pas en mesure de détecter de telles menaces car ils sont basés sur des contre-mesures constituées de signatures de logiciels malveillants qui ont déjà été rencontrés. Un cadre dirigeant de Symantec a récemment fait l'objet de critiques pour avoir annoncé que de tels outils, qui sont pourtant vendus par son entreprise, ont un taux de réussite de 45% seulement. Imperva va même plus loin et affirme que de tels outils permettent un taux de détection de 5% seulement en cas de virus récemment créé. Il existe de nouvelles technologies qui utilisent des techniques plus perfectionnées et qui permettent d'obtenir un taux de réussite bien plus élevé, même pour des menaces de type «zéro jour» jamais rencontrées auparavant. Néanmoins, les logiciels malveillants ne constituent pas l'unique moyen de pénétrer un réseau. Des individus en particulier sont de plus en plus visés par des techniques inhérentes aux réseaux sociaux, bien que cela se produise la plupart du temps en combinaison avec des logiciels malveillants. Le «Data Breach Investigations Report (DBIR)» indique que 76% des intrusions dans les réseaux utilisent des identifiants d'utilisateurs faibles ou volés. Les méthodes utilisées sont notamment la technique d'hameçonnage qui a pour but de tromper l'utilisateur en le poussant à fournir ses identifiants, l'anticipation de ses mots de passe par force brutale et les attaques au niveau des applications, telles qu'une injection SQL destinée à récupérer les identifiants ou à contourner les systèmes d'identification. Une fois que les pirates parviennent à infiltrer un réseau, ils cherchent souvent à mettre la main sur des identifiants donnant accès à des privilèges et des droit de haut niveau afin de parcourir le réseau à la recherche d'informations de grande valeur. L'utilisation d'identifiants volés a joué un rôle essentiel dans la violation récente dont ebay a été victime (voir l'encadré). Cependant, aucune technologie de prévention ne constitue une panacée, même les technologies modernes permettant une protection contre les menaces de type «zéro jour», car il existe énormément de facteurs de menace sous la forme d'appareils mobiles, d'applications basées sur le cloud, de clés USB et autres. Par ailleurs, le nombre de ces menace augmente tous les jours et les utilisateurs sont loin d'être infaillibles. Comme le montrent les chiffres, la plus grande majorité des organisations sont victimes de violations et tout le monde doit se considérer comme une cible potentielle, même les petites entreprises car ces dernières peuvent être utilisées comme porte d'entrée vers de plus grandes organisations, comme cela s'est produit lors de la récente violation ciblée impliquant un fournisseur de HVAC. Comme le dit le nouveau mantra : «Il ne s'agit plus de l'éventualité, mais du moment» auquel un organisation sera victime d'une violation. La prévention à elle seule ne suffit pas. La violation subie par ebay en 2014 Entre fin février et début mars 2014, des pirates ont réussi à violer la sécurité d'ebay en dérobant les identifiants de connexion d'un petit nombre d'employés de l'entreprise. À partir de là, ils ont pu voler des informations portant notamment sur le nom des clients, les mots de passe cryptés, les adresses et postales, les numéros de téléphone et les dates d'anniversaire. Au final, 145 millions de clients aurait pu potentiellement subir les conséquences de ces attaques. Du fait que les identifiants en question appartenaient à des employés réels, les pirates ont pu agir discrètement et se servir. Si l'entreprise ebay avait utilisé des outils d'analyse de comportement automatisés, elle aurait été en mesure de détecter des anomalies au niveau du comportement des utilisateurs, ce qui lui aurait permis d'identifier les identifiants altérés et de réinitialiser les comptes des utilisateurs affectés avant que le mal ne soit fait. Néanmoins, l'attaque est passée inaperçue jusque début mai, période à laquelle ebay a fait appel à des spécialistes, parmi lesquels se trouvaient des représentant des forces de l'ordre, afin d'utiliser des techniques d'investigation légale pour découvrir ce qui s'était passé. Cela, combiné au fait que les clients n'aient été informés de la violation en question que trois semaines plus tard, a causé la baisse du prix des actions ainsi que du nombre d'enchères et a terni la réputation de l'entreprise. Cette dernière doit également faire face aux investigations ordonnées par trois états américains et l'«information Commissioner s Office» au Royaume-Uni.

6 La détection est le nouvel impératif PUISQU'IL EST PRESQUE ÉVIDENT que S toutes les organisations subiront une violation un jour ou l'autre, leur capacité à y faire face de manière rapide et efficace est essentielle pour contenir l'incident et peut faire la différence entre un incident de sécurité aux effets limités et une situation qui causerait un incident majeur. Néanmoins, de nombreuses organisations ne disposent pas actuellement des capacités nécessaires pour détecter les violations suffisamment rapidement. Comme indiqué dans le diagramme 3, près d'un tiers des violations ne sont détectées que des mois, voire des années après. D'après Mandiant, le temps moyen de détection de groupes de menaces par les organisations sur leurs réseaux est de 229 jours, soit presque 8 mois. Une grande variété de données indiquant que de nombreuses violations sont découvertes par des prestataires extérieurs et non par les organisations elles-même démontre plus avant l'incapacité de ces dernières à détecter les violations de manière autonome. De nombreuses sources affirment que la majorité des violations sont découvertes par des tiers, notamment le «Data Breach Investigations Report (DBIR)» qui affirme que cela concerne 85% de organisations et Mandiant, qui estime ce taux à 67%. Comme illustré par le Diagramme 4 les organisations qui sont en mesure de détecter les violations ellesmêmes agissent non-seulement plus rapidement, mais sont aussi beaucoup plus à même de résoudre le problème que des prestataires extérieurs. Diagramme 4. Temps écoulé entre la détection et la neutralisation en jours Diagramme 3 Délais de découverte des violations malveillantes

7 L'une des raisons pour lesquelles les violations sont difficiles et longues à découvrir est que les pirates utilisent de plus en plus des techniques d'évitement et ont tendance à agir latéralement, puis à rester cachés pendant de longues périodes sur les réseaux afin de recueillir des ensembles d'informations sensibles au fil du temps. Cela signifie qu'il existe peu de signes évidents d'une violation, à moins que le pirate ne se fasse repérer, souvent en essayant d'exfiltrer des données qui lui permettront de commander et de contrôler les serveurs qui s'y rapportent, ou lorsque des données sont découvertes dans un emplacement inattendu. Plus la détection prend de temps, plus le coût consécutif à l'attaque est élevé en terme de données volées et de difficulté à résoudre le problème du fait que le pirate est désormais profondément ancré. Comme illustré par le Diagramme 5 les organisations sont non-seulement confrontées au défi consistant à détecter les violations, mais aussi à la difficulté de les résoudre, bien souvent parce que les pirates sont déjà profondément ancrés dans le réseau. La détection est le nouvel impératif. Diagramme 5 Temps passé à résoudre une violation Lorsque les résolutions échouent... Une fois qu'une violation a été détectée, les organisations doivent déterminer les actions correctives à entreprendre. Pour un grand nombre d'organisations, cela nécessite beaucoup de travail manuel afin de fouiller dans les journaux et les rapports d'événements pour examiner la situation et déterminer les actions qui doivent être mises en œuvre ainsi que la priorité des événements. Le manque d'automatisation étouffe ce processus exigeant en matière de main-d'œuvre. Néanmoins, beaucoup d'organisations restent réticentes quant à l'automatisation complète des processus de résolution, car elles craignent qu'une application ou qu'un système essentiel ne soit arrêté par erreur et cause ainsi des perturbations dans l'activité de l'entreprise ou que l'accès d'une personne ne soit annulé et que cette dernière ne soit plus en mesure d'effectuer des tâches capitales. Dans de nombreux cas, c'est parce qu'elles manquent de visibilité sur l'ensemble de leurs réseaux pour évaluer les conséquences de leurs actions. Selon le Ponemon Institute, 59% des organisations ne disposent pas de renseignements adéquats concernant l'état de leur réseau ou n'ont pas conscience du nombre de tentatives d'attaques et de leur impact. Sans ces informations, le processus d'investigation de l'événement, de restauration du service et de vérification peut prendre des mois, même après la découverte d'un incident.

8 Raisons pour lesquelles les analyses et le renseignement sont utiles I POUR DÉTECTER EFFICACEMENT les incidents et les résoudre, la technologie propose des plateformes de renseignement de sécurité qui offrent une meilleure visibilité de tous les événements qui se produisent sur un réseau et qui permettent aux organisations de détecter et de répondre de manière efficace aux événements imprévus ou anormaux. De telles plateformes donnent aux organisations la capacité de mettre les informations en corrélation et de les analyser afin d'obtenir des informations exploitables sur la gravité relative des événements, en vue d'établir des priorités les concernant et de prendre les décisions correctives adéquates qui permettront d'obtenir des résultats efficaces. Les plateformes de renseignement de sécurité donnent aux organisations la capacité de savoir exactement quels appareils, quels utilisateurs et quelles applications sont affectés par les événements relatifs à la sécurité afin que la résolution s'appuie sur des renseignements en temps réel et que les actions mises en œuvre soient mesurées, efficaces et ne soient pas le fruit de décisions impulsives qui pourraient engendrer des problèmes supplémentaires comme par exemple l'arrêt du système. Être en mesure de donner des priorités aux actions permet aux organisations de réduire le temps de réponse de façon considérable et de s'assurer qu'elles aient la capacité de neutraliser toutes les menaces de sécurité, y compris les plus graves. La technologie qui permet d'obtenir une visibilité sur l'ensemble des réseaux, des appareils, des applications et des utilisateurs ayant accès au réseau permet nonseulement aux organisations de mettre immédiatement en œuvre des actions destinées à contrer les menaces dès qu'elles se présentent, mais aussi d'analyser les événements de manière détaillée afin de déterminer des modèles de comportement qui permettront d'établir des contrôles et des politiques ayant pour objet d'empêcher que ces mêmes événements ne se reproduisent. Dans cette optique, les plateformes de renseignement de sécurité disposent de capacités d'intelligence prédictive qui leur permettent d'anticiper les événements avant qu'ils se produisent. Avec de telles informations à portée de main, les organisations sont plus à même d'améliorer leur sécurité d'ensemble et d'atteindre leurs objectifs en matière de conformité, de gouvernance et d'assurance. En plus de cela, elles sont en mesure de réaliser des économies dans leurs efforts destinés à lutter contre la cybercriminalité. Comme illustré dans le Diagramme 6, les systèmes de renseignement de sécurité sont ceux qui permettent de réaliser le plus d'économies parmi sept catégories d'outils concernés par une étude récente du Ponemon Institute. Cette étude démontre également que l'utilisation de telles plateformes permet aux organisations d'obtenir le meilleur retour sur investissement, à 21%. Diagramme 6. Économies réalisées grâce à l'utilisation des outils de sécurité en $ U.S

9 Échantillons de cas d'utilisation des plateformes de renseignement de sécurité Gestion évoluée des menaces Bloque les moyens d'entrée des pirates Supprime automatiquement les logiciels malveillants Détecte les violation avant la perte de données ou le cyber crime Met les identifiants suspects en évidence Neutralise les violations grâce à la capacité de visualiser la série d'événements qui, au fil du temps, ont mené à l'extraction de données sensibles Enquête sur le cycle de vie complet d'une attaque à partir de la mise en danger initiale en traversant le réseau jusqu'au serveur de commande et de contrôle d'où les données ont été extraites Gestion de la conformité Assure la conformité avec les exigences réglementaires concernant le recueil, l'examen ainsi que l'archivage des journaux d'événements et établit des rapports Recherche et retrouve des journaux d'événements à des fins d'analyses et d'investigations légales Assure le suivi et la gestion des utilisateurs privilégiés Contrôle l'intégrité des fichiers Suivi continu Prend en charge la stratégie globale des opérations et de la gestion des risques relatifs à la sécurité Les réglementations exigent un suivi de plus en plus constant Fournit des informations exploitables en temps réel et permettant des prises de décisions plus avisées Valide les contrôles de sécurité Investigation légale Fournit les preuves nécessaires aux investigations Prend en charge l'établissement de preuves électroniques Reconstitue des séries d'événements pour déterminer la cause d'origine Détection des fraudes Détecte et met en évidence les fraudes parvenant à contourner la technologie de détection des fraudes en discernant des activités au sein des journaux d'événements, comme par exemple des retraits bancaires provenant de plusieurs lieux différents Prend des décisions de résolution en temps réel, comme par exemple la désactivation des comptes affectés Analyse les modèles de comportement afin de détecter toute activité suspecte Détecte les activités internes frauduleuses Détection des menaces internes Assure le suivi des utilisateurs privilégiés Fournit des informations contextuelles détaillées pour isoler et neutraliser une menace Empêche, détecte et résout les menaces internes Empêche la fuite de données, le sabotage informatique et la fraude Suivi des infrastructures distantes et essentielles Assure le suivi de l'automatisation industrielle, des systèmes SCADA et des installations à distance telles que les sous-stations électriques donc beaucoup n'ont pas de pilote Détecte les changements effectués à distance en contournant les commandes physiques telles que les claviers Met des actions correctives en œuvre pour annuler les modifications Détection des comportements suspects du réseau Détecte les modèles de communication indiquant des attaques de robots sur un serveur de commande ou de contrôle Empêche l'extraction de données Améliore les performances des autres systèmes de contrôle en place sur le réseau, comme par exemple les systèmes de prévention des intrusions, pour mieux identifier et contrôles les menaces Prise en charge d'emplacements multiples Permet un contrôle centralisé de plusieurs succursales et emplacements à distance pour un coût très inférieur à celui des systèmes séparés Permet d'obtenir une visibilité sur l'ensemble des opérations d'une entreprise Facilite la conformité avec les réglementations en vigueur dans l'ensemble d'une entreprise Défense des applications Web Détecte, identifie et empêche les violations Bannit automatiquement les URL et les applications Web malveillantes Empêche les attaques de cibler les serveurs Web

10 Quels sont les composants techniques nécessaires? S LES OUTILS DE RENSEIGNEMENT DE SÉCURITÉ ont évolué depuis la mise en place des systèmes de gestion d'information et d'événements de sécurité (SIEM) et des systèmes de gestion des journaux d'événements. Le terme SIEM a commencé à être utilisé il y a dix ans et désigne la technologie qui fournit les capacités d'analyse en temps réel et légale de tous les événements provenant des alertes et des journaux générés par tous les appareils connectés au réseau et des applications qui fonctionnent avec. Les systèmes SIEM donnent la possibilité d'enregistrer tous les événements d'un réseau, puis de mettre en corrélation et d'analyser toutes les informations afin de repérer tout comportement suspect indiquant des risques de sécurité, des menaces ou des incidents, transformant ainsi les données relatives à un événement en informations exploitables. Au fil des années, certains prestataires ont fait évoluer les systèmes SIEM et ceux de gestion des événements vers des plateformes de renseignement de sécurité fournissant des outils très complets qui permettent d'obtenir une pleine visibilité sur les événements de l'ensemble de la pile de réseau. Ces capacités complémentaires incluent notamment le suivi de l'intégrité des fichiers, de la configuration, du réseau et des utilisateurs et permettent d'effectuer des analyses légales sur les réseaux. Elles fournissent des informations contextuelles sur les réseaux grâce à des fonctions telles que la géolocalisation (pour savoir où se trouve un utilisateur) et l'identification des droits accordés à une personne ainsi que des appareils qu'elle utilise afin que tout élément ciblé ou suspect puisse être identifié et les menaces traitées. Les composants suivants sont requis par les plateformes de renseignement de sécurité afin d'obtenir les informations exploitables nécessaires à des fins de gestion efficace de la sécurité et des risques : Gestion et analyse des journaux d'événements La gestion des journaux est définie par l'approche NIST (National Institute of Standards and Technology) qui concerne le traitement de gros volumes de messages de journaux (également connus sous le nom d'enregistrements de vérification, de pistes de vérification et de journaux des événements). Les journaux sont des enregistrement vérifiables des événements se produisant sur un réseau et fournissent des preuves d'activités telles que les tentatives de connexion ayant échouées ou l'évolution des privilèges et des droits. La gestion des journaux implique leur recueil ainsi que leur agrégation centralisée, leur rétention à long terme, leur analyse en temps réel et en vrac après stockage ainsi que leur recherche et les rapports qui en découlent. Pour assurer une efficacité sans faille, les journaux d'événements provenant de tous les emplacements du réseau, des appareils connexes ainsi que des applications et des commandes qui y sont exécutées doivent être prises en compte. Ces sources proviennent notamment des applications anti-logiciels malveillants, des systèmes de détection des intrusions et de prévention, des systèmes de fichiers, des pare-feu, des routeurs, des serveurs et des commutateurs. Pour faire face aux défis relatifs à la diversité des sources et des formats des registres électroniques, toutes les données recueillies doivent être normalisées afin de produire une vue unifiée des événements.

11 Pour des questions de sécurité et de conformité, les journaux des événements doivent être conservés dans une zone de stockage hautement sécurisée et centralisée afin que tous les enregistrements puissent être archivés à des fins d'investigation légale et de conformité. Le système doit fournir des capacités de recherche intuitives et rapides parmi tous les journaux, avec en plus la possibilité de retrouver tout enregistrement requis. Analyses évoluées Une fois les journaux collectés et normalisés, ils doivent être mis en corrélation pour retrouver tous ceux qui se rapportent à un événement spécifique afin que les modèles puissent être reconnus, que le tableau complet puisse être évalué et que les événements puissent être classifiés. Les techniques d'analyse évoluée sont notamment la mise en correspondance des modèles statistiques et de comportement, rendue possible par un apprentissage automatisé portant sur ce qui constitue un comportement normal et basé sur un contexte relatif aux utilisateurs, aux applications, aux appareils et aux configurations. Il est essentiel que le système soit en mesure d'analyser d'importants volumes de données, aussi appelés masses importantes de données, en raison de l'abondance d'informations générées sur l'ensemble des réseaux d'aujourd'hui et de la vitesses à laquelle ces volumes augmentent alors que les réseaux s'étendent vers une une gamme sans cesse croissante d'appareils, de terminaux et d'applications. Les capacités d'analyse évoluée doivent permettre de mettre le contexte relatif à l'identité des utilisateurs en parallèle avec les journaux d'événements afin d'assurer des analyses légales et des résolutions d'incidents plus efficaces. La possibilité de déterminer l'identité des utilisateurs est essentielle pour détecter et résoudre les utilisations d'identifiants altérés, les mauvaises utilisations de comptes dotés de privilèges, les vols internes, l'exfiltration des données et les violations à l'égard de la conformité. Cette possibilité permet également de déterminer les mesures les plus efficaces à mettre en place lorsque des comportement suspects sont détectés. Pour fournir le contexte requis concernant l'identités des utilisateurs, le système doit communiquer avec les systèmes d'authentification et de contrôle d'accès. Suivi continu Pour que toutes les activités de l'ensemble du réseau, des hôtes, des utilisateurs et des terminaux puissent être enregistrées en temps réel afin d'obtenir une visibilité et une connaissance complète de tous les événements qui se produisent, il est nécessaire que la plateforme de renseignement de sécurité soit en mesure d'assurer un suivi continu portant sur le réseau, les hôtes, les activités des utilisateurs, l'intégrité des fichiers et les configurations. Le suivi continu permet non-seulement de s'assurer que l'organisation soit au courant de tous les événements en temps réel mais devient aussi une exigence réglementaire de plus en plus fréquente ainsi qu'une norme en matière de bonnes pratiques. En terme de suivi des activités des hôtes et des réseaux, le système doit permettre d'effectuer des enregistrements complets des paquets de données d'une session afin de fournir un historique exhaustif de l'activité d'un réseau pour assurer une défense en temps réel contre les menaces et assister les investigations légales. Les événements qui doivent être enregistrés au niveau d'un réseau et d'un hôte sont notamment ceux relatifs aux processus et aux activités d'entretien, aux connexions au réseau, aux terminaux, aux activités liées aux médias amovibles et au suivi des activités de tout utilisateur ou processus qui s'authentifie sur le réseau. Ce suivi donne aux organisations la capacité de détecter les activités et les comportements anormaux, nonautorisés ou suspects et d'empêcher la perte de données par exfiltration ou par média amovible et autres terminaux. Les activités des utilisateurs disposant de privilèges doivent tout particulièrement être surveillées afin de limiter les menaces internes. Le suivi de l'intégrité des fichiers constitue un élément essentiel pour empêcher les accès inadéquats aux données, pour endiguer les transferts de données et pour bloquer les violations en indiquant la date à laquelle les fichiers sensibles sont créés, consultés ou modifiés d'une quelconque façon en fonction des différents utilisateurs ou groupes qui y ont accès. Il peut également être utilisé pour mettre en évidence des comportements d'applications anormaux afin

12 d'empêcher l'exploitation des vulnérabilités. Le suivi de la configuration permet de s'assurer qu'aucune erreur ou vulnérabilité ne soit générée par des changements inadéquats apportés aux configurations ou qu'aucune faute ne soit commise dans une optique de renforcement de la configuration et de modification des systèmes de contrôle. Résolution automatisée Les capacités de résolution automatisées permettent aux organisations de remédier automatiquement et immédiatement aux alertes provenant des activités d'analyse en temps réel et signalant que des comportements anormaux ont été détectés ou qu'une politique a été violée, ce qui réduit la nécessité d'interventions manuelles. Il est essentiel que les résolutions soient automatisées, étant donné le volume exceptionnellement élevé de menaces et d'incidents auxquels les organisations doivent faire face et le nombre d'alertes générées qui est bien trop important pour garantir l'efficacité des processus de résolution manuels, par ailleurs exigeants en matière de maind'œuvre et de temps. L'automatisation permet la mise en place immédiate de mesures adéquates, comme par exemple le blocage des adresse IP suspectes, la mise en quarantaine d'utilisateurs ou d'appareils malveillants ou l'interruption de l'exécution de processus spécifiques Néanmoins, il est essentiel que la plateforme de renseignement de sécurité n'implique pas de risques supplémentaires découlant de l'automatisation des processus de résolution, comme par exemple l'arrêt de systèmes essentiels. Cela représente une inquiétude qui empêche un grand nombre d'organisations d'automatiser de tels processus. C'est pourquoi des systèmes de vérification intégrés comportant plusieurs étapes d'autorisation à passer avant que des actions correctives puissent être mises en œuvre sont essentiels afin de s'assurer du caractère adéquat de ces dernières et qu'aucune conséquence non souhaitée ne se produise. Pour favoriser la prise de décision en matière de résolution, il est également souhaitable que la plateforme de renseignement de sécurité fournisse des règles prédéterminées prenant en compte les modèles de comportement associés à une violation, notamment les outils, les techniques et les procédures utilisées par des pirates dans des situations antérieures. Ces éléments sont désignés comme indicateurs d'altération et peuvent permettre aux organisations de mieux déterminer l'action automatisée alternative qui représente la meilleure solution à adopter. Investigations légales Les systèmes de renseignement de sécurité doivent nonseulement permettre d'enquêter sur les événements en temps réel mais aussi de creuser dans les données historiques pour discerner des modèles et trouver des preuves relatives aux événements qui se sont produits, en reliant des activités aux comportements démontrés par des individus en particulier. Pour cela, les enregistrements de journaux et d'événements couvrant les activités au niveau du réseau et de l'hôte doivent être stockés dans un répertoire hautement sécurisé et inviolable et des capacités de recherche efficaces parmi les données structurées et non structurées sont nécessaires. Pour garantir les meilleurs résultats, le système doit assurer des capacités de visualisation permettant a l'organisation de naviguer entre les données et de creuser dans les détails. Gestion centralisée Pour s'assurer qu'une organisation puisse bénéficier d'une visibilité sur l'ensemble du réseau, une plateforme de renseignement de sécurité doit permettre une gestion centralisée afin que tous les journaux d'événements puissent être recueillis, stockés et analysés dans un seul et même emplacement, en vue d'obtenir une visualisation unique de tous les événements liés à la sécurité. Cela permet l'établissement et la gestion de politiques à partir d'un point d'exécution unique afin que toutes les alertes de violation de ces dernières puissent être déclenchées et traitées à partir d'un seul et même point de gestion et envoyées à tout le personnel concerné, puis que toutes les actions entreprises soient enregistrées par la console de gestion. Cela permet d'établir la piste de vérification nécessaire à la création de rapports de gestion, à la conformité à l'égard de la réglementation en vigueur, à l'établissement de directives de bonnes pratiques et aux besoins de gouvernance internes. Il est utile que des modèles de rapports pré-conçus basés sur les exigences de réglementations spécifiques concernant l'organisation soient inclus dans le cadre de l'automatisation des preuves de conformité.

13 Synthèse S LES PLATEFORMES DE RENSEIGNEMENT DE SÉCURITÉ permettent d'obtenir une visibilité sur l'ensemble du réseau, des hôtes, des utilisateurs, des appareils et des applications qui s'y connectent, sur tous les événements liés à la sécurité et ayant des conséquences sur l'organisation ainsi que sur le contexte nécessaire à des prises de décision et de mesures efficaces et rapides. Le recueil et l'analyse d'informations provenant de l'ensemble du réseau et de tous les systèmes de contrôle de sécurité en service par ces plateformes permettent aux organisations de s'assurer qu'aucun détail n'est laissé au hasard dans leurs efforts destinés à détecter, neutraliser et résoudre les menaces de sécurité auxquelles elles doivent faire face. Les organisations qui déploient des plateformes de renseignement de sécurité s'assurent qu'elles disposent de toutes les informations exploitables dont elles ont besoin pour attribuer des priorités à toutes les actions et pour conserver leurs données sensibles hors de portée des pirates. Elles se protègent également contre l'attention hostile des organismes de réglementation et d'une dégradation de leur image face au public. Et maintenant? Bloor dispose d'une page technique contenant des informations supplémentaires concernant les analyses de sécurité sur son site Web. L'auteur de cet ebook est Fran Howarth, analyste principal en matière de sécurité chez Bloor. La page Web de Fran illustre son expérience et vous pouvez y consulter d'autres articles écrits par ellemême

14 ème étage St John Street LONDON EC1V 4PY Royaume-Uni Tél : +44 (0) Site Web : info@bloorresearch.com