Livre blanc. 7 aspects à considérer pour évaluer une solution SIEM



Documents pareils
CA ARCserve Backup. Avantages. Vue d'ensemble. Pourquoi choisir CA

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

ManageEngine IT360 : Gestion de l'informatique de l'entreprise

DOSSIER SOLUTION : CA RECOVERY MANAGEMENT

IMPLÉMENTATION D'UNE ARCHITECTURE ANALYTIQUE DE SÉCURITÉ

CA ARCserve Backup r12

portnox pour un contrôle amélioré des accès réseau Copyright 2008 Access Layers. Tous droits réservés.

Sécurité et «Cloud computing»

SafeNet La protection

Managing the Lifecycle of. Encryption Keys with RSA. Rationaliser les opérations de. sécurité avec les solutions. Data Loss Prevention et

Découverte et investigation des menaces avancées PRÉSENTATION

L'évolution de VISUAL MESSAGE CENTER Architecture et intégration

DOSSIER SOLUTION : CA ARCserve r16. Recours au Cloud pour la continuité d'activité et la reprise après sinistre

IBM CloudBurst. Créer rapidement et gérer un environnement de Cloud privé

Stratégies gagnantes pour la fabrication industrielle : le cloud computing vu par les dirigeants Dossier à l attention des dirigeants

Simplifier la gestion de l'entreprise

Comment mettre en oeuvre une gestion de portefeuille de projets efficace et rentable en 4 semaines?

Symantec Control Compliance Suite 8.6

Solutions McAfee pour la sécurité des serveurs

ÉTAT DES LIEUX DE LA GESTION DE LA SÉCURITÉ ET DU BIG DATA

Les entreprises qui adoptent les communications unifiées et la collaboration constatent de réels bénéfices

Garantir une meilleure prestation de services et une expérience utilisateur optimale

Tableau Online Sécurité dans le cloud

Chapitre 1 : Introduction aux bases de données

En synthèse. HVR pour garantir les échanges sensibles de l'entreprise

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec

L'ensemble de ces tendances présente de nouveaux challenges pour les départements IT de l'entreprise. Plus précisément :

Faire le grand saut de la virtualisation

FICHE TECHNIQUE DE RÉDUCTION DES COÛTS AVEC LES COMMUNICATIONS UNIFIÉES

DÉVELOPPEMENT INFONUAGIQUE - meilleures pratiques

1 JBoss Entreprise Middleware

Spécifications de l'offre Surveillance d'infrastructure à distance

Enterprise Intégration

RSA SECURITY MANAGEMENT. Une approche intégrée de la gestion du risque, des opérations et des incidents. Fiche solution

PUISSANCE ET SIMPLICITE. Business Suite

Économies d'échelle Aide à l'intégration Mises à niveau Infrastructure et sécurité de niveau international... 7

Sage 50 Comptabilité. Solutions logicielles en nuage, sur place et hybrides : Qu'est-ce qui convient le mieux à votre petite entreprise?

Optimisation de la gestion de la sécurité avec McAfee epolicy Orchestrator

Symantec Network Access Control

CA ARCserve Backup Option NAS (Network Attached Storage) NDMP (Network Data Management Protocol)

Gestion des données de test à des fins de sécurité et de conformité

Virtualisation des postes de travail

Business et contrôle d'accès Web

L entreprise prête pour l informatique en nuage Élaborer un plan et relever les principaux défis

Service d'installation et de démarrage de la solution de stockage réseau HP StoreEasy 1000/3000

Suite IBM Tivoli IT Service Management : comment gérer le système d information comme une véritable entreprise

Utilisation de ClarityTM pour la gestion du portefeuille d applications

ORACLE TUNING PACK 11G

Une protection antivirus pour des applications destinées aux dispositifs médicaux

KASPERSKY DDOS PROTECTION. Découvrez comment Kaspersky Lab défend les entreprises contre les attaques DDoS

IBM CommonStore for SAP V8.4 fournit un nouveau support complet pour ILM à partir de la gestion de la rétention des données SAP

Accélérez le projet de Cloud privé de votre entreprise

Optimisation WAN de classe Centre de Données

Total Protection for Compliance : audit unifié des stratégies informatiques

BYOD Smart Solution. Mettre à disposition une solution qui peut être adaptée à des utilisateurs et appareils divers, à tout moment et en tout lieu

Tirez plus vite profit du cloud computing avec IBM

ORACLE DIAGNOSTIC PACK 11G

Fiche technique: Archivage Symantec Enterprise Vault Stocker, gérer et rechercher les informations stratégiques de l'entreprise

Optimisez vos processus informatiques, maximisez le taux de rendement de vos actifs et améliorez les niveaux de service

S e r v i r l e s clients actuels de maniè r e e f f ic a ce grâce a u «Co n s u m er Insight»

Comprendre ITIL 2011

Présentation. NOUVEAU Prise en charge des derniers environnements virtuels VMware ESX 3.5, Microsoft Hyper-V et Citrix XenServer 4.

Altiris Asset Management Suite 7.1 from Symantec

IBM Security Systems Les nouveaux enjeux de la sécurité Serge Richard - CISSP - Senior Security Architect. serge.richard@fr.ibm.

Le rôle croissant de la mobilité au travail

Accélérez la virtualisation de vos applications stratégiques en toute confiance avec Symantec

JOURNÉE THÉMATIQUE SUR LES RISQUES

NOUVEAUTES de Microsoft Dynamics CRM 2011 REF FR 80342A

IBM Tivoli Compliance Insight Manager

ITIL V3. Exploitation des services : Les fonctions

Fiche technique: Archivage Symantec Enterprise Vault Stocker, gérer et rechercher les informations stratégiques de l'entreprise

De nouveaux horizons pour votre Datacenter

Avantages de l'archivage des s

Tarification comparative pour l'industrie des assurances

Examen professionnel. Informatique, système d information. Réseaux et télécommunications

Présentation d'un Réseau Eole +

Vous avez des problèmes d'impression réseau? UniPrint. est la solution qu'il vous faut. Aperçu du produit

Collecter les 54 milliards d'euros de bénéfices issus des nouveaux usages de la donnée

FAMILLE EMC RECOVERPOINT

Le rôle Serveur NPS et Protection d accès réseau

Configuration Et Résolution Des Problèmes Des Services De Domaine Active Directory Windows Server Référence Cours : 6238B

InfraCenter Introduction

Service de réplication des données HP pour la gamme de disques Continuous Access P9000 XP

Chapitre 9 : Informatique décisionnelle

Stratégies gagnantes pour les prestataires de services : le cloud computing vu par les dirigeants Dossier à l attention des dirigeants

État Réalisé En cours Planifié

Guide d'inscription pour obtenir un certificat ssl thawte

Symantec Endpoint Protection Fiche technique

Accélérateur de votre RÉUSSITE

Les 10 grands principes de l utilisation du data mining pour une gestion de la relation client réussie

En savoir plus pour bâtir le Système d'information de votre Entreprise

Renforcez la flexibilité et la réactivité de votre entreprise Dotez votre entreprise d'un système de gestion des données de référence éprouvé

La haute disponibilité de la CHAINE DE

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

Concepts et définitions

Clients XProtect Accédez à votre vidéosurveillance

Annexe 5. Kaspersky Security For SharePoint Servers. Consulting Team

Gestion des journaux Comment élaborer la bonne stratégie en matière d activités et de conformité

Présentation du déploiement des serveurs

Transcription:

Livre blanc 7 aspects à considérer pour évaluer une solution SIEM

L'objectif d'une solution SIEM est de maximiser la productivité des acteurs chargés de la sécurité. Les solutions de gestion des informations et événements de sécurité (SIEM) sont en passe de devenir l'un des éléments incontournables de l'infrastructure de sécurité de toute entreprise, jouant un rôle important dans la détection des menaces, la réponse aux incidents, l'investigation numérique légale (forensics) et la conformité aux standards de sécurité. Fort de son expérience avec plus de 1 300 déploiements SIEM effectués avec succès à ce jour dans des entreprises de toutes tailles, RSA propose aux acheteurs potentiels sept critères d'évaluation des solutions proposées sur le marché. Quelle que soit l'abréviation retenue (SIEM, SEM ou SIM), la gestion des informations et événements de sécurité est une préoccupation clé pour beaucoup d'entreprises (voir la brève description «Sécurité et solutions SIEM» en page 2). Selon Forrester Research 1, à la fin du premier semestre 2008, plus d'un tiers des entreprises étaient déjà dans une phase d'adoption de la technologie SIM. Sur les 259 décideurs sécurité d'entreprises européennes et nord américaines interrogés par Forrester, 32 % évoquent l'optimisation du reporting et de la conformité comme raison principale du déploiement d'une solution SIM et l'identification des incidents de sécurité arrive en deuxième position avec 20 % des réponses. Une solution SIEM a pour vocation de surveiller le moindre élément de l'entreprise et toucher l'ensemble de votre infrastructure : c'est pourquoi le choix d'un fournisseur est un engagement à long terme ayant un impact extrêmement important. En outre, les technologies, fonctionnalités et coûts totaux d'exploitation varient considérablement en fonction des solutions - rendant le choix d'autant plus complexe. Il est vrai que les entreprises ayant «eu des remords» après avoir choisi une solution qui n'était pas parfaitement adaptée à leurs besoins sont légion Lorsque vous comparez les solutions, ne vous polarisez pas trop sur des fonctions très spécifiques comme l'interface utilisateur ou même les règles de corrélation. Au contraire, comme nous le proposons dans les sept recommandations que nous présentons ci-dessous, élargissez votre champ d'investigation en examinant l'offre de chaque fournisseur dans sa globalité, et notamment, l'envergure de la collecte des données événementielles et le degré d'intégration de la solution, à la fois interne et avec l'infrastructure environnante. Évaluez également la facilité de déploiement, l'évolutivité du produit et ses coûts totaux d'exploitation pour votre entreprise. Sans oublier bien entendu les points forts du fournisseur, et notamment son expertise dans le domaine de la sécurité, sa fiabilité financière, son implication dans la R&D et son degré d'indépendance par rapport aux fournisseurs et aux plates-formes. En choisissant une solution qui réponde à vos besoins selon les critères évoqués ci-dessus, vous augmentez grandement les chances d'être satisfait sur le long terme. Recommandation n 1 : Définir votre modèle actuel de sécurité opérationnelle et l'utiliser pour déterminer vos exigences solution Les entreprises utilisent des modèles de sécurité opérationnelle extrêmement divergents, et dans l'évaluation d'une solution SIEM, il est important de connaître clairement votre modèle afin de choisir une solution qui corresponde exactement à vos besoins (et au budget) actuels tout en offrant suffisamment de flexibilité pour une évolution future. Certaines entreprises parmi les plus évoluées disposent d'un SOC (Security Office Center) centralisé où travaillent de nombreux analystes de sécurité, chacun ayant un secteur de responsabilité bien particulier (événements serveur, par exemple). Mais il est beaucoup plus courant d'avoir un petit groupe d'analystes, dont les rôles sont en premier lieu les opérations réseau ou informatiques de l'entreprise, et qui se partagent les responsabilités en matière d'opérations de sécurité. Il existe également un troisième modèle, le «SOC virtuel» dans lequel les membres sont géographiquement dispersés. 1 «Il faut s'attendre à de grands bouleversements dans le secteur des solutions SIM», Paul Stamp, Forrester Research, 27.02.08

Quel que soit le modèle employé au sein de votre organisation, l'objectif d'une solution SIEM n'est pas de remplacer des hommes par des technologies, mais de rendre ces derniers plus productifs et efficaces pour remplir leur mission. La sélection de la bonne solution ne peut se faire sans une compréhension approfondie des responsabilités et des processus de workflow à l'œuvre dans l'entreprise. Comment sont réparties les responsabilités et les tâches dans l'entreprise? Comment sont priorisées les alertes et sont-elles soumises à un système de réponse 24 x7? Quelle largeur de bande passante peut être dédiée à la collecte d'éléments d'investigation numérique légale (forensics)? Comprendre ce qui fonctionne mal - et pourquoi Il est très important de comprendre ce qui ne fonctionne pas bien dans votre environnement actuel et qui limite peut-être la productivité de vos collaborateurs. Par exemple: Si votre équipe passe trop de temps à la poursuite de faux positifs ou d'alertes à basse priorité, cela peut être dû au manque de précision des règles de corrélation ou bien au fait que ces règles ne prennent pas en compte d'autres données telles que les ressources et les vulnérabilités, résultant ainsi sur de nombreuses fausses alertes. Si les investigations numériques légales (forensics) sont lentes ou peu concluantes, cela peut s'expliquer par le fait qu'il est impossible d'extraire aisément et rapidement les données historiques d'événements à partir d'une source unique et fiable. Ou peut-être que les données n'ont même jamais été capturées par le système SIEM et ne peuvent par conséquent pas du tout être extraites. Si les événements critiques ne sont pas résolus rapidement, cela peut être dû à des processus de workflow inadéquats ou fragmentés. Souvent, ces problèmes sont dus à des défauts structurels de la solution SIEM - ou parce que la fonctionnalité intégrée serait trop coûteuse à mettre en place dans votre environnement réel. L'objectif d'une solution SIEM n'est pas de remplacer vos équipes par des technologies, mais de les rendre plus productives et efficaces pour remplir leur mission. Recommandation n 2 : Prendre en considération les éléments suivants, critiques pour les opérations de sécurité Trois attributs solution sont essentiels pour répondre aux défauts des systèmes SIEM les plus couramment rencontrés en ce qui concerne le support des opérations de sécurité. Il s'agit de la capacité à capturer et analyser en temps réel les données, à collecter tous les événements (qu'ils soient de sécurité ou d'opérations sur l'ensemble du réseau), et enfin à disposer d'outils d'investigation efficaces. Puissance des fonctions d'acquisition et d'analyse Toute solution SIEM doit être en mesure d'effectuer avec la même efficacité les deux fonctions clés suivantes : En temps-réel capturer et analyser les données de journalisation entrantes afin de supporter la détection des menaces et leur résolution en temps réel. Rapidité pour consulter et produire des rapports sur des données précédemment capturées afin qu'elles puissent être aisément analysées «sous toutes les coutures» pour les besoins d'investigation numérique légale, d'opérations réseau, de conformité ou de découvertes juridiques. La plupart des solutions peuvent être optimisées afin d'accomplir l'une ou l'autre de ces deux tâches parfaitement, mais jamais les deux à la fois, ce qui oblige le fournisseur à favoriser l'une des fonctions par rapport à l'autre. En revanche, la plate-forme RSA envision est Livre Blanc RSA 1

SIEM pour la sécurité : Brève présentation Malgré la diversité des architectures, des fonctionnalités et des options intégrées dans les plates-formes SIEM, toutes répondent au même objectif. Selon le cabinet Gartner «les utilisateurs finaux ont besoin d'analyser les données d'événements de sécurité en temps réel (pour la gestion des menaces, commençant par les événements réseau) et de produire des analyses et des rapports sur les données journalisées (pour surveiller la conformité avec la politique de sécurité, avec un premier focus sur les événements des applications et sites hôtes)». Les solutions SIEM automatisent et rationalisent le processus de collecte des logs d'événements - y compris mais non limités aux événements de sécurité - depuis diverses sources à travers le réseau. Ces produits ont recours à des techniques d'agrégation de données et de corrélation d'événements pour analyser les données afin d'identifier les menaces de sécurité connues et de déceler les comportements anormaux susceptibles d'indiquer un problème. En déclenchant des alertes, une solution SIEM peut activer des processus automatiques ou manuels afin de rechercher et maîtriser toute attaque suspecte ou reconnue. En outre, les solutions SIEM facilitent les investigations numériques légales (forensics) et simplifient le processus de réponse aux requêtes d'audit. Ces platesformes incluent également de plus en plus couramment des fonctions de gestion et d'archivage de logs, ce qui facilite la conformité aux dispositions légales de rétention des données à long terme. La plupart des plates-formes SIEM se présentent sous forme de solutions logicielles ou d'appliances optimisées pour simplifier le déploiement ; c'est sur ce dernier modèle qu'est basée la plate-forme envision de RSA. En général, les produits incluent un logiciel serveur, une console de gestion centralisée en mode web, et dans la plupart des cas, un logiciel agent qui doit être déployé sur les dispositifs à surveiller ou à côté d'eux. De nombreuses solutions incluent des capacités de stockage additionnelles et des référentiels de données servant à stocker et gérer les données d'événements. Les solutions SIEM ne peuvent, par elles-mêmes, empêcher ni minimiser les attaques, et les clients qui s'attendent à ce qu'elles le fassent risquent d'être déçus. Toutefois, lorsqu'elles sont déployées dans un écosystème de sécurité complet qui supporte le travail des analystes de sécurité, les solutions SIEM jouent un rôle capital dans la détection et l'analyse des menaces, les mesures correctives, les investigations et les rapports de conformité. conçue de manière à répondre de façon équilibrée à ces besoins, avec des fonctions de collecte, d'analyse et de requête étroitement imbriquées les unes aux autres dans une technologie de base de données orientée objet qui assure flexibilité et performances optimales. Accéder à Toutes les données La plupart des solutions n'analysent pas les données d'événements brutes lors de leur acquisition parce que cela se traduirait par un ralentissement considérable et inacceptable des performances. Au contraire, en normalisant et prétraitant les données, elles les réduisent à un sous ensemble d'exceptions qui seront les seules à être analysées. Pire, certaines solutions suppriment même toutes les autres données restantes, empêchant alors toute possibilité d'utilisation ultérieure pour des actions d'investigation, d'audit ou de reporting. D'autres solutions choisissent de conserver les données événementielles brutes, mais dans un référentiel séparé - mal intégré aux fonctions de requête et de reporting. Cela peut entraver considérablement les tâches d'analyse et de reporting des données historiques de journalisation. Assurez-vous que la solution que vous choisissez élimine ce problème en collectant et conservant toutes les données d'événements pour une utilisation ultérieure. Ainsi chaque fois que vous écrirez de nouvelles règles de corrélation pour répondre à de nouvelles menaces, ou à de nouveaux besoins de reporting ou d'audit, ces règles seront immédiatement opérationnelles sur toutes les données concernées, optimisant la précision des alertes et vous permettant de ré-analyser des événements antérieurs. Robustesse des outils d'investigation et des workflows Les outils d'investigation et de workflow jouent un rôle critique pour maximiser la productivité des équipes en charge des opérations de sécurité. Ils permettent la résolution d'un plus grand nombre d'incidents et réduisent le temps moyen imparti aux investigations et aux résolutions. Des outils d'investigation robustes et ergonomiques offriront à vos analystes la visibilité, la flexibilité et la puissance de traitement dont ils ont besoin pour «rejouer» les événements auxquels ils s'intéressent, pour filtrer les données événementielles selon diverses variables et pour reconstruire les événements opérationnels et de sécurité de bout en bout. 2 Ibid. 2 Livre Blanc RSA

Les outils de workflow doivent être suffisamment flexibles pour prendre en charge et simplifier les processus d'investigation actuels de vos équipes. Ils doivent en même temps, permettre de gérer aisément les modifications imprévues des processus qui pourraient être implémentées dans le futur. Les fonctions de workflow doivent englober l'intégralité du cycle de vie des investigations - depuis l'identification et l'investigation initiale, en passant par le routage vers les membres de l'équipe les plus à même de traiter le problème, l'escalade automatique des incidents de haute priorité ou difficile à résoudre, et jusqu'à la résolution, la fermeture et l'archivage. Une intégration directe avec les principaux systèmes de génération de tickets d'incidents - tels que Peregrine et Remedy - permet de transférer en toute transparence les incidents actifs et toute l'investigation conséquente au «système d'enregistrement» corporate pour le suivi des événements et tickets d'incidents. Recommandation n 3 : Intégrer les exigences stratégiques au processus de sélection De plus en plus, l'efficacité des professionnels de la sécurité est déterminée par leur capacité à évoluer vers un nouveau rôle, c'est-à-dire de passer de protecteurs des ressources informationnelles de l'entreprise en initiateurs d'innovation et de réussite. Le choix d'une solution SIEM nécessite donc non seulement de répondre aux exigences immédiates mais aussi de s'aligner avec les besoins métier stratégiques. Par exemple, la plate-forme doit intégrer suffisamment de fonctionnalités dans les trois principaux composants d'une solution SIEM - sécurité, conformité et opérations réseaux - de sorte qu'une solution unique réponde à ces trois besoins, réduisant par conséquent les coûts et la complexité. Les éléments stratégiques à considérer incluent : Les nouvelles initiatives métier, telles qu'une acquisition, la mise en œuvre d'un service d'e-business important ou l'expansion d'un écosystème partenaire, ajoutent de nouvelles fonctions et de nouvelles exigences d'exploitation sur le réseau et créent de nouvelles zones de risques de sécurité. Une solution SIEM doit être en mesure de planifier toutes ces zones Les outils d'investigation et de workflow jouent un rôle critique pour maximiser la productivité de l'équipe en charge des opérations de sécurité. en s'appuyant sur les données événementielles existantes pour vous aider à définir vos stratégies en termes d'opérations de sécurité et réseau. Et bien entendu, une fois ces initiatives en place, la solution doit être en mesure de s'interfacer aisément avec de nouvelles sources d'événements pour capturer les données événementielles des opérations de sécurité et réseau que ces sources génèrent. Conformité. Vous devez disposer d'une flexibilité suffisante pour répondre aux exigences de conformité nouvelles ou non prévues. Pour cela, il faut pouvoir consulter les événements précédemment capturés, et notamment ceux qui ne présentent actuellement aucun intérêt pour les régulateurs, mais qui peuvent se révéler d'une importance capitale pour de futurs audits. La collecte et la sauvegarde de tous ces événements de sécurité, et pas seulement les données se rapportant aux menaces et exigences de conformité actuelles, sont une étape obligatoire pour répondre aux exigences des audits futurs. Gestion du risque informationnel. De plus en plus, les entreprises développent des approches pour identifier et mesurer où se situent leurs plus grands risques informationnels ( par exemple où résident les données critiques et où sont-elles les plus vulnérables) et utilisent ces informations pour prioriser les investissements en matière de sécurité. Votre fournisseur SIEM doit avoir une vision pour supporter la gestion du risque informationnel et une feuille de route définissant de façon claire et précise comment la 3 Gartner, Dataquest Insight : Analyse prévisionnelle dans la sécurité des informations et la gestion des événements, à l'échelle mondiale, 2007-2012 par Ruggero Contu et Mark Nicolett, 5 mars 2008 Livre Blanc RSA 3

solution SIEM et les autres éléments de l'infrastructure de sécurité doivent inter-opérer pour former un écosystème de sécurité qui réduise systématiquement les risques informationnels. Ces exigences globales vous permettront de définir un cadre d'évaluation des diverses solutions du marché. Vous aurez ainsi la certitude que les fonctions de sécurité et les priorités métier sont toutes deux prises en compte correctement dans votre processus de sélection. Recommandation n 4 : Une solution SIEM doit s'intégrer facilement à l'ensemble de l'environnement. Comme beaucoup d'observateurs de l'industrie l'ont remarqué, le marché tend à s'éloigner nettement de l'assemblage de solutions multiples pour traiter la sécurité et la conformité, l'imbrication de divers produits s'avérant coûteuse, difficile à gérer et pire n'offre qu'une visibilité très réduite à travers les environnements complexes. Désormais les clients optent pour des solutions SIEM intégrées à une offre plus large proposée par les plus gros fournisseurs de technologie du marché. Selon le cabinet Gartner, «la consolidation semble être le maître-mot sur le marché des solutions SIEM, les grands fournisseurs faisant l'acquisition des meilleures technologies pour étendre leur portefeuille produit en matière de sécurité. Cette évolution du marché a influencé les tendances d'achat faisant que les utilisateurs acquièrent de plus en plus des solutions SIEM en complément de produits de sécurité de spectre plus large». Gartner constate que la facilité de déploiement et l'intégration réussie avec l'infrastructure existante du client deviennent des facteurs de plus en plus importants dans la sélection d'un produit. Maximiser la visibilité des sources de données événementielles En tant que composant du portefeuille de solutions de sécurité RSA, RSA envision est en parfaite adéquation avec ces tendances et excelle dans un domaine particulièrement vital : la visibilité des sources d'événements. La plupart des solutions SIEM n'offrent qu'une visibilité restreinte à un sous-ensemble de l'environnement. Certaines se concentrent sur le réseau, d'autres sur le système d'exploitation et d'autres encore sur le serveur. Dans tous ces cas, vous êtes forcés de composer avec des «angles morts» ou d'entreprendre de coûteuses intégrations afin d'élargir votre vision sur les événements liés aux opérations de sécurité et réseau. La plate-forme envision de RSA supporte en standard et dès son démarrage l'une des gammes les plus étendues de sources d'événements, notamment : Sécurité du périmètre (ex: pare-feux et systèmes de détection des intrusions) Autres outils de sécurité (ex: gestion des identités et des accès) Périphériques réseau (ex: routeurs et commutateurs) Outils d'administration réseau (ex: gestion des configurations). Mainframes et serveurs Stockage Applications métier (ex: SAP) Bases de données et systèmes d'exploitation En outre, grâce à son «Universal Event Source Support», la technologie RSA envision permet d'ajouter de nouvelles sources d'événements, y compris des applications et des périphériques propriétaires, sans qu'aucune programmation ne soit nécessaire. Lorsqu'elle dispose d'une visibilité la plus étendue possible de votre environnement, une solution SIEM est mieux positionnée pour détecter la gamme complète d'événements nécessitant une investigation ou une action corrective. Le choix d'une solution SIEM doit non seulement répondre aux exigences immédiates mais aussi s'aligner avec les besoins métier stratégiques. 3 NetworkWorld IT Buyer's Guide http://www.networkworld.com/buyersguides/guide.php?cat=865479 4 Livre Blanc RSA

Recommandation n 5 : Compléter la corrélation des événements par d'autres sources d'«intelligence» La corrélation des événements est l'un des aspects importants de toute solution SIEM, car elle prend en charge le surcroît d'informations causé par un torrent incessant de journaux d'événements. Lorsqu'on applique des règles de corrélation, un moteur de corrélation filtre les données externes, reconnaît les schémas qui suggèrent une activité anormale ou suspecte et consolide les données concernées en «événements à suivre» pour une gestion par les analystes sécurité ou les administrateurs réseau. Lorsqu'elle est optimisée pour l'environnement spécifique du client, la combinaison des règles de corrélation d'événements avec un moteur de corrélation réduit considérablement le nombre total d'événements et d'alarmes, supprime les faux positifs et augmente la fiabilité des événements de très haute priorité nécessitant une action. Il est primordial de choisir une solution qui collecte l'ensemble des journaux et dont le moteur de corrélation soit à même de traiter en temps réel, toutes les données d'événements entrants et à travers toutes les localisations. Tout retard ou délai réduit votre capacité à reconnaître les menaces et à y répondre immédiatement. Pire encore, si la corrélation ne porte que sur un sousensemble de données, vous pouvez complètement passer à côté d'une alerte de sécurité critique. La plate-forme RSA envision est dotée d'un puissant moteur de corrélation, qui se combine à une faculté de collecter d'énormes volumes de données à partir de tous les emplacements, pour offrir un traitement en temps réel qui alerte au sujet des événements à haute priorité au moment même où ceux-ci se produisent. Etre prêt à personnaliser les règles de corrélation en fonction des spécificités de son environnement Il est capital de disposer d'une compréhension réaliste des efforts requis pour optimiser la corrélation des événements. Les règles de corrélation - qui prédéfinissent les schémas, les scénarios et les relations entre événements pour lesquels une attention toute particulière est requise - sont un mécanisme clé dans la corrélation d'événements. Les modèles pré-intégrés et les règles de corrélation par défaut permettent de rationaliser le processus de création des règles par les analystes de sécurité mais ne vont guère plus loin. Comme l'a expliqué Network World3, «il faut déterminer avec précision ce qui est réellement primordial pour l'entreprise, pour ensuite écrire ou activer des règles qui rendront le produit opérationnel. Les utilisateurs doivent accepter de «tuner» le produit avant de le mettre en route, et ceci de façon continuelle afin de s'assurer qu'il continuera à réduire efficacement le bruit des nonévénements et à identifier les événements critiques pour la sécurité de l'environnement». Importance du contexte pour l'écriture des règles Essayer d'anticiper et d'écrire des règles de corrélation pour répondre aux scénarios d'attaques théoriques futures abouti souvent à un échec, qui peut par exemple se traduire par un accroissement du volume des alarmes, un nombre élevé de faux positifs et d'alertes de faible priorité. C'est un peu comme si l'on essayait de prédire à quel endroit, dans le futur, il faudrait rechercher une aiguille dans une botte de foin Les règles de corrélation sont plus efficaces et plus précises lorsqu'elles sont étayées par des données réelles sur votre environnement et combinées avec des informations contextuelles délivrées par d'autres outils, Il est capital de disposer d'une compréhension réaliste des efforts requis pour optimiser la corrélation des événements. Les modèles pré-intégrés et les règles de corrélation par défaut permettent de rationaliser le processus de création des règles par les analystes sécurité mais ne vont guère plus loin Livre Blanc RSA 5

telles que les informations sur les menaces émergentes, les données de vulnérabilité, les ressources, les informations de niveau applications et les informations de gestion des identités. Par exemple, un événement de sécurité tel qu'un échec d'authentification sur un serveur Windows peut être considéré comme ayant une haute priorité. Cependant, cet événement combiné à la ressource concernée donnera une indication contextuelle supplémentaire. Si les données sur cette ressource indiquent que celle-ci n'a que peu de valeur, l'échec de l'authentification résulte sur un événement de faible priorité. Recommandation n 6 : Administrer le cycle de vie des informations journalisées Le stockage des données de logs est l'un des éléments critiques de toute solution SIEM. Au fil du temps, les données des logs vont s'accumuler à un rythme accéléré, causé par deux principaux facteurs : L'augmentation du nombre de périphériques et d'applications sur votre réseau Les contraintes réglementaires pour la rétention des données d'événements de sécurité Et augmentant potentiellement vos soucis de stockage, certaines solutions exigent des prétraitements lourds, de l'indexation et la définition de métadonnées pour supporter l'analyse des événements. Autant d'opérations qui peuvent multiplier les besoins de stockage (par un facteur de dix) et augmenter d'autant les coûts de gestion de stockage au cours de la durée de vie de votre solution. Vous devez vous assurer que la solution que vous choisissez possède des options adaptées de cycle de vie des données. Il existe au moins un fournisseur d'appliance majeur qui propose uniquement un stockage embarqué des données d'événements. Ainsi une solution bien conçue doit supporter les réseaux de stockage SAN et NAS. Ceci vous permet d'avoir une solution plus flexible, moins coûteuse et qui sera également plus résistante d'un point de vue disponibilité et reprise après incident. En tant que Division Sécurité d'emc - leader mondial dans la fourniture et le développement de technologies et solutions d'infrastructure des informations - RSA apporte son expertise inégalée en matière de stockage et d'innovations aux solutions SIEM. Par exemple, une approche de stockage multi-niveau vous permet de stocker les données d'événements sur des périphériques de stockage moins coûteux au fil du temps, à mesure que le besoin d'accès à ces données diminue, tout en vous garantissant toujours une visibilité complète et une extraction aisée de ces données, pour des besoins juridiques, de découverte, réglementaires ou de forensics. En offrant une compression allant jusqu'à 70 %, sans pour autant altérer les performances, la solution EMC/RSA réduit encore plus vos coûts de stockage sur la durée de vie. Recommandation n 7 : Comprendre les véritables coûts de la solution Avant de vous engager sur le choix d'une solution spécifique, vous devez comprendre quels en seront les coûts initiaux et sur le long terme. La solution doit répondre à vos besoins initiaux pour un coût minimal - afin de vous assurer que vous n'engagez pas des frais disproportionnés par rapport aux bénéfices que vous allez en retirer - tout en vous permettant d'élargir le déploiement à l'ensemble de l'entreprise à un coût raisonnable. Outre le coût de stockage précédemment évoqué, vous devez être certain de maîtriser parfaitement les divers éléments facturés : Matériel Serveur. Pour les solutions composées uniquement de logiciels, il s'agit presque toujours d'un coût complémentaire. Frais de licence logicielle. Quels sont les coûts initiaux et les coûts récurrents pour le cœur de la plate-forme, le logiciel agent et les produits tiers tels que les bases de données? Support des sources événementielles. Quelles sources sont supportées, et quel est le coût pour l'ajout de sources complémentaires en type et en nombre? 6 Livre Blanc RSA

Modules optionnels. Quels sont les modules de reporting, d'alerte et d'audit inclus dans le prix proposé, et quel est le coût de tout module optionnel dont vous pourriez avoir besoin pour répondre à vos objectifs en terme de fonctionnalités attendues de la solution? Coût de personnel. Tout particulièrement lorsque vous parlez à une référence fournie par le vendeur, explorez franchement et très précisément quelles sont les ressources humaines spécialisées nécessaires au déploiement et au support de la solution. Cela peut inclure les analystes sécurité, les consultants travaillant à l'intégration, les ressources de support des bases de données et des plates-formes, et un support permanent de milliers d'agents logiciels. Les coûts de personnel représentent une portion significative de tout projet et les besoins d'opérations complexes et d'intégration peuvent conduire à beaucoup de frais imprévus (et non budgétés). Certaines solutions exigent des prétraitements lourds, de l'indexation et la définition de métadonnées pour supporter l'analyse des événements. Autant d'opérations qui peuvent multiplier les besoins de stockage - par un facteur de dix. Evolutivité et logiciels. Quels sont les coûts associés à l'expansion de votre capacité à gérer un plus gros volume de données d'événements ou à la mise à jour d'une solution 100% logicielle? Afin de réduire les risques du projet, demandez à votre fournisseur un devis ferme et définitif incluant ces éléments de coût, et statuant clairement que la configuration initiale proposée prendra en charge de manière fiable le volume d'événements que vous anticipez. À propos de RSA RSA, la Division Sécurité d'emc, est le premier fournisseur de solutions de sécurité pour l'accélération métier et le partenaire privilégié des plus grandes entreprises mondiales pour résoudre leurs challenges de sécurité les plus pressants, complexes et sensibles. L'approche de la sécurité centrée sur l'information prônée par RSA garantit l'intégrité et la confidentialité de l'information tout au long de son cycle de vie - quels que soient ses cheminements, ses consommateurs ou ses modalités d'utilisation. RSA, envision et RSA Security sont des marques ou marques déposées de RSA Security Inc. aux États-Unis et/ou dans d'autres pays. EMC est une marque déposée d'emc Corporation. Tous les autres produits et services mentionnés sont des marques appartenant à leurs détenteurs respectifs. 2008 RSA Security Inc. Tous droits réservés. 7SIEM WP 0708 RSA propose des solutions leaders d'assurance des identités et de contrôle d'accès ; de prévention des pertes de données ; de cryptage et de gestion des clés ; de gestion de la conformité et des informations de sécurité et enfin de protection contre la fraude. Cette large gamme de solutions certifie l'identité de millions d'utilisateurs dans le monde et des données qu'ils génèrent lors de leurs transactions quotidiennes. Pour plus d'informations, veuillez consulter www.rsa.com et www.emc.com. Livre Blanc RSA 7

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back