IMPLÉMENTATION D'UNE ARCHITECTURE ANALYTIQUE DE SÉCURITÉ

Transcription

1 IMPLÉMENTATION D'UNE ARCHITECTURE ANALYTIQUE DE SÉCURITÉ Solution Brief

2 SYNTHÈSE Les nouvelles menaces exigent de rénover l'approche traditionnelle de la gestion de la sécurité. Les équipes qui en sont chargées doivent en effet disposer d'une architecture analytique capable de gérer des volumétries et un périmètre de données bien plus étendus qu actuellement et d'outils adaptés pour localiser plus rapidement les problèmes critiques. Elles doivent également bénéficier d'une intelligence des menaces (derniers outils, techniques et procédures utilisées pour les attaques) et d'outils pour superviser les réponses initiées après l'identification d'un problème. Dans 99 % des cas les données sont compromises en seulement quelques heures ou jours alors même qu'il faut dans 85 % des cas plusieurs semaines pour les détecter. Verizon 2012 (Data Breach Investigations report) DES APPROCHES TRADITIONNELLES DEVENUES IMPUISSANTES Selon le rapport «Data Breach Investigations» conduit en 2012 par Verizon, dans 99 % des cas, les données sont compromises en quelques heures ou jours alors même qu'il faut, dans 85 % des cas, plusieurs semaines pour les détecter. Ce décalage est révélateur des difficultés auxquelles sont confrontées les équipes de sécurité lorsque les attaquants ont une telle avance pour dérober des données et causer des dommages. Il s'explique principalement par l'incapacité des outils de sécurité actuels à contrecarrer les attaques les plus sophistiquées en raison de leur focalisation sur trois domaines : les signatures, consistant à rechercher des séquences «connues», identifiées lors d'attaques antérieures ; la protection périmétrique, concentrée sur la détection et la prévention des menaces «pénétrantes» ; la conformité, consistant à satisfaire aux exigences des auditeurs ou des réglementations légales spécifiques, plutôt qu'à analyser l'ensemble du panorama du risque. Dans le même temps, les menaces ont atteint des niveaux incomparables de sophistication et sont caractérisées par : leur agilité d'anticipation des mesures de protection et d'adaptation des techniques pour échapper aux outils de détection et de prévention les plus communs ; leur ciblage sur des objectifs très précis (un département ou sous-département) ; leur intelligence liée à la mise en oeuvre de technologies d'ingénierie sociale et d'outils sophistiqués pour prendre pied dans un environnement sans être détectés. Ce constat exige des entreprises de rénover leur portefeuille d'outils et technologies de défense. Des menaces en constante évolution Criminals Petty criminals Unsophisticated Organized crime Organized, sophisticated supply chains (PII, financial services, retail) Nation State Actors PII, government, defense industrial base, IP rich organizations Non-state Actors Terrorists PII, government, critical infrastructure Anti-establishment vigilantes Hacktivists, targets of opportunity page 2

3 SIEM UN BON POINT DE DÉPART RSA est depuis longtemps un leader des plates-formes SIEM (Security Information and Event Management) qui restent indispensables pour : produire des rapports sur l'activité système offrant la visibilité requise des activités critiques (qui, quoi, quand, où) ; générer des alertes en cas de séquences connues identifiées par des règles de corrélation mettant en lumière des modes suspects d'utilisation des ressources informatiques ; démontrer la conformité aux auditeurs internes et externes à travers des rapport réguliers, générés automatiquement (sans intervention manuelle à chaque audit) ; disposer d'une vision centralisée de sources d'événements hétérogènes afin d'accélérer les prises de décisions à partir de données multisources. Les équipes de sécurité doivent avant tout identifier les attaques plus rapidement pour ne pas laisser le moindre «temps libre» aux malfaiteurs et pour prendre les mesures nécessaires pour empêcher qu'elles ne se reproduisent. Cependant, la nouvelle sophistication des menaces exige d'autres outils pour déjouer des attaques qui ne proviennent plus de pirates isolés ou d'amateurs mais bien d'entreprises criminelles organisées voire d'autres états. Ces attaques emploient en effet des technologies sophistiquées pour dissimuler leurs traces dans les journaux de log ou réduire le nombre d «événements auditables» face auxquelles les platesformes SIEM traditionnelles s'avèrent insuffisantes et exigent d'adopter une nouvelle approche de défense. EXIGENCE DE SOLUTIONS PLUS EFFICACES DE GESTION DE LA SÉCURITÉ Face à des menaces si avancées, les équipes de sécurité doivent avant tout identifier les attaques plus rapidement pour ne pas laisser le moindre «temps libre» aux malfaiteurs et prendre les mesures nécessaires pour empêcher qu'elles ne se reproduisent. Selon l'analyse réalisée par RSA, cette nouvelle plate-forme de défense doit intégrer les constats suivants : Les menaces avancées exigent une visibilité intégrale du trafic réseau et des événements journalisés dans la mesure où il est impossible de déjouer les attaques en les analysant isolément. La sécurité est aujourd'hui une problématique «Big Data» pour les analystes du SOC (Security Operation Center) qui ne peuvent identifier les menaces sophistiquées qu'en prenant en compte une considérable volumétrie de données dynamiques exigeant de fusionner des sources d'intelligence internes et externes. Conformité et gestion de la sécurité page 3

4 Les compromis sont inévitables et il serait illusoire de tenter de résister à toutes les attaques ; il s'agit plutôt de minimiser les dommages et impacts métier en réagissant aussi vite que possible. Pour solutionner ces nouvelles problématiques, des experts de la sécurité se sont tournés vers RSA pour les aider à : Collecter tout ce qui se produit dans l'infrastructure. L'approche traditionnelle consistait à se documenter sur les menaces connues pour déterminer quelles informations événementielles collecter. Elle est aujourd'hui dépassée face à des menaces agiles et avancées qui ne peuvent plus être anticipées et qui exigent une collecte intégrale des événements se produisant dans l'environnement. Identifier les cibles et menaces potentielles. Dans les infrastructures complexes, il est difficile de garder trace des activités de chaque système et d'envisager ses vulnérabilités spécifiques. Cette visibilité exige des outils de collaboration entre équipes sécurité et métier pour identifier les informations, processus et ressources critiques pour rationaliser les mesures de défense. Enquêter et prioriser les incidents. Dans les systèmes d'information étendus, la multiplication des incidents exige que les équipes de sécurité soient guidées pour identifier les plus problématiques. Pour cela, elles doivent disposer d'informations sur leur contexte métier et sur la criticité des processus et systèmes affectés. Gérer les incidents. Le processus de gestion des incidents est en effet complexe : évaluation des dommages, communication, correction, nettoyage, etc. Il exige de coordonner de multiples ressources et équipes transversales informatiques et métier. Les équipes de sécurité doivent désormais s'appuyer sur une structure réactive pour coordonner ces activités et minimiser les dommages métier. LA VISIBILITÉ RÉSEAU EST UN MUST Les menaces les plus avancées sont extrêmement complexes à détecter si ce n'est pas leur «empreinte» réseau lorsqu'elles pénètrent l'environnement avant de s'y propager et d'exfiltrer les données vers la destination prévue. Un système intégral de capture des paquets réseau est indispensable pour : Identifier les logiciels malveillants entrants et prioriser les actions de défense. Les «malware» les plus avancés se présentent comme n'importe quel fichier et seul un système de capture intégrale de paquets permet d'isoler et reconstruire un fichier exécutable et d'automatiser les analyses d'identification des signes d'une activité malveillante. Ce système est également précieux pour prioriser les réponses. Contrôler les mouvements «latéraux» des attaques après intrusion. Après avoir pris pied dans les systèmes d'une entreprise, les attaques tendent à se propager latéralement (d'un point de terminaison à l'autre) en collectant les informations utiles à la phase suivante. L'administration de ces points de terminaison étant rarement centralisée, un système intégral de capture des paquets réseau est indispensable pour superviser de telles propagations latérales. Prouver le déroulement des opérations et identifier les données exfiltrées. Les attaques avancées sont souvent indétectables avant d'avoir commencé ou pire, sont détectées à posteriori. A ce stade, les équipes doivent au moins pouvoir reconstituer leur déroulement pour en évaluer les dommages, identifier les données exfiltrées, connaître leur niveau de cryptage, etc. RSA LA GESTION DE LA SÉCURITÉ DE BOUT EN BOUT La méthodologie de gestion de la sécurité proposée par RSA, repose sur quatre composants clés (voir figure) : Approche «Big Data». Grâce à l'architecture distribuée des solutions RSA, les données de sécurité peuvent être collectées et analysées sur une échelle et avec une volumétrie de changement sans précédent. page 4

5 Unification des analyses de sécurité. RSA propose une gamme commune d'outils d'analyse des événements prenant en charge l'ensemble des activités analytiques : alerte, reporting, analyse des logiciels malveillants, etc. Couche de gouvernance reliant les analyse de sécurité aux exigences métier. Les solutions exclusives de RSA rationalisent le processus de collecte d'informations métier sur la criticité des processus et systèmes et sur leurs exigences de protection. Actualisation continue des informations d'intelligence des menaces. RSA diffuse constamment des informations actualisées et exploitables sur l'environnement de menaces permettant à ses clients de les anticiper et de les corréler à leur propre environnement. Analytics & Reporting Investigations RSA Security Analytics Data Collection Full packet data collection Archiving Short term archive logs and packets Security reporting and alerting Malware analytics Log data collection Long term archive logs Compliance reporting & forensic analysis Threat Intelligence L'approche globale prônée par RSA présente les avantages suivants : Visibilité intégrale. Le portefeuille de solutions RSA offre une visibilité panoramique de tous les événements se produisant dans l'infrastructure. Capacité illimitée de collecte. Collecte de données de sécurité multitypes et multisources. Visibilité unifiée des réseaux et données de log. Centralisation des données sur les menaces avancées et l'activité utilisateur collectées directement sur les réseaux et systèmes clés. Agilité analytique. Les outils RSA présentent aux enquêteurs des informations détaillées sous un format simple et intelligible. Plate-forme d'investigation accélérée. Des outils intuitifs accélèrent les analyses grâce aux fonctions de zoom et à l'intégration du contexte métier pour une meilleure qualité d information décisionnelle. Reproduction des sessions et analyse hors signature. Ces outils se focalisent sur les utilisateurs et points de terminaison les plus suspects ou névralgiques de connexion à l'infrastructure pour détecter les signes révélateurs d'activités malveillantes. Ils permettent également de restituer et recréer exactement le déroulement des opérations. Intelligence exploitable. L'actualisation constante de l'intelligence des menaces permet aux analystes de sécurité d'optimiser le fonctionnement de leurs solutions RSA en y intégrant des flux de mise à jour permanents. Corrélation entre intelligence des menaces et données collectées. Les outils RSA intègrent des informations propriétaires d'experts de la sécurité à leurs règles, rapports et listes de surveillance pour anticiper les menaces en analysant les données collectées. page 5

6 Priorisation des actions en fonction du contexte métier. L'intégration d'informations démontrant les relations entre systèmes et fonctions permet de prioriser les réactions. Gestion optimisée des processus. Les produits RSA aident les équipes de sécurité à rationaliser les activités de préparation et de réponse. Technologies et services de gestion du cycle de vie de sécurité et conformité. Ce système de workflow permet de planifier et activer les processus de réponse, de suivre l'état des incidents ouverts et d intégrer les compétences acquises ; il est sous-tendu par des services professionnels de préparation, détection et réaction aux incidents. À PROPOS DE RSA RSA est le premier éditeur de solutions de sécurité, de gestion du risque et de la conformité. En aidant les entreprises à relever leurs défis les plus complexes et les plus critiques en matière de sécurité, RSA contribue au succès des plus grandes entreprises mondiales. Ces défis incluent la gestion des risques opérationnels, la protection des accès mobiles et de la collaboration, la preuve de conformité et la sécurisation des environnements virtuels et cloud. Combinant des contrôles critiques métiers dans la gestion des identités, la prévention des pertes de données, le chiffrement et la tokenisation, la protection contre la fraude, ainsi que le SIEM à des fonctions de GRC et des services de consulting, RSA apporte la visibilité et la confiance à des millions d identités utilisateurs, aux transactions qu elles réalisent et aux données générées Pour plus d informations, veuillez consulter et Système intégré de gestion de la sécurité et de la conformité. L'intégration de produits tiers au portefeuille RSA favorise les échanges d'informations avec les différents outils nécessaires pour identifier les incidents, les traiter et rationaliser la conformité. POURQUOI CHOISIR RSA? RSA dispose d'un positionnement unique pour vous aider à atteindre vos objectifs critiques de sécurité : RSA dispose d'un portefeuille incomparable pour solutionner les problèmes causés par les menaces les plus avancées La plate-forme de supervision réseau RSA NetWitness est la seule plate-forme offrant une visibilité complète des sessions réseau et des données de log de toute l'entreprise. RSA NetWitness est la seule plate-forme unifiée d'investigation en temps réel avec détection automatisée des menaces avancées et analyse «jour zéro». La fiabilité de la plate-forme RSA offre une connaissance situationnelle à l échelle de l entreprise à 7 des 10 premières organisations du classement Fortune et à 70 % des agences fédérales américaines. RSA intègre constamment des informations propriétaires exploitables d'intelligence des menaces avancées RSA est un acteur majeur de la recherche sur les dernières menaces et supervise les activités underground d'éventuels pirates. Les équipes de recherche RSA NetWitness Live suivent les activités de plus de cinq millions d'adresses IP et domaines et des centaines de sources d'informations réservées. RSA distribue et actualise dynamiquement toutes les heures sa bibliothèque de contenus via RSA NetWitness Live. RSA solutionne les problématiques de sécurité et de conformité au niveau des hommes, des processus et des technologies. RSA est un leader des services professionnels d'assistance en préparation, réponse et traitement des incidents. RSA offre la seule solution pour prendre simultanément en charge les problématiques informatiques et métier de gestion de la sécurité notamment grâce à son intégration transparente à la plate-forme RSA Archer egrc. La plate-forme unifiée de RSA prend en charge : la gestion de conformité, le traitement des menaces, le suivi des incidents et la continuité métier. EMC 2, EMC, le logo d'emc, RSA, NetWitness et le logo de RSA sont des marques ou marques déposées d'emc Corporation aux Etats-Unis et dans d autres pays. Tous les autres produits et services sont des marques appartenant à leurs détenteurs respectifs. Copyright 2012 EMC Corporation. Tous droits réservés. Imprimé aux États-Unis.