Du besoin d’une sécurité diffuse pour protéger les réseaux modernes
La nature diffuse de la sécurité en profondeur est nécessaire pour sécuriser et protéger les réseaux modernes contre des menaces variées.
La sécurité diffuse améliorer la défense en profondeur en stratifiant les contrôles de sécurité selon le risque et les assignant à chaque point critique de son infrastructure. L’idée de défense en profondeur – ou stratifiée – est ancienne et incomplète. Celle de sécurité diffuse l’étend. Cette notion ne recouvre pas simplement plusieurs couches de défense, mais aussi leur empilement structuré selon le risque. Elle met ensuite à profit cette stratégie pour placer les contrôles de sécurité autour de chaque système, entrepôt de données et nœud de réseau critique.
La surveillance d’une sécurité diffuse génère des données
Avec autant de couches de sécurité en place, on obtient des données de supervision de la sécurité diffuse. Et en quantités considérables ! De quoi risquer de saturer les ressources de stockage de ses outils de gestion des informations et des événements de sécurité (SIEM). Pour peu que cela n’ait pas été pris en compte au préalable, des montagnes de données de journaux d’activité sont susceptibles d’être ignorées. Voire des chaînes montagneuses dans leur ensemble.
Mais les capacités de traitement de ces outils peuvent également souffrir. Ils doivent bien sûr fouiller ces journaux d’activité pour retirer les indicateurs de menaces. Mais ils vont également devoir aller plus loin, transformant la détection d’événements en renseignement utilisables en pratique. Là, ces outils traditionnels montrent leurs limites.
Pour tirer pleinement profit des données générées par ces systèmes de défense en profondeur, il faut des capacités d’analyse allant de pair. Et deux s’avèrent essentielles : l’analyse de sécurité avancée (ASA) et l’analyse comportementale (UBA).
ASA et UBA
Les systèmes ASA s’appuient généralement sur les outils de gestion de journaux d’activité et SIEM existants, pour fournir une couche d’analyse supplémentaire, au-dessus des alertes qu’ils génèrent. Leur objet est de parcourir ces flux de données pour fournir à l’IT une connaissance exploitable pour bloquer d’éventuelles attaques. ASA consiste essentiellement en le mariage de l’analytique Big Data et de jeux de données de sécurité. De nombreuses grandes organisations ont commencé à faire cela en utilisant des outils développés en interne, mais de nombreuses offres commerciales sont apparues.
Les systèmes d’UBA sont un sous-ensemble des outils ASA – comme le sont également les outils d’analyse du trafic réseau (NTA). Ils se concentrent exclusivement sur les schémas comportementaux des utilisateurs pour mettre en évidence ce qui peut sembler suspect. Ils peuvent, par exemple, comprendre qu’un comptable accède furieusement à des données clients à minuit durant la dernière semaine de l’exercice fiscal, mais considérer suspect un comportement comparable survenant un samedi soir au milieu du trimestre.
Dans ce contexte, la notion d’utilisateur ne se limite pas aux humains, mais s’étend aussi aux systèmes jouant un rôle dans les interactions machine/machine. Cet aspect s’avère particulièrement important dans des environnements en pleine transformation vers des architectures orientées services (SOA) ou micro-services : dans de tels environnements, les systèmes communiquent fréquemment entre eux, bien plus que dans des architectures plus patrimoniales. Et pour un humain, il peut être difficile d’identifier là les anomalies comportementales.
En renforçant la trousse à outils de surveillance pour utiliser des couches d’analyse et ajouter de nouveaux niveaux de renseignement au traitement automatisé des données de sécurité, l’IT peut revenir dans la course, reprendre la main sur les flots de données générés par l’adoption d’une protection diffuse orientée risque.
