La gestion des informations de sécurité aspire au temps réel

Les entreprises ont besoin de comprendre ce qui se passe sur leurs réseaux de manière aussi proche que possible du temps réel. Pourtant, les experts conviennent que l’analyse en temps réel pourrait être un peu ambitieuse à ce stade, en particulier pour les SIEM. Les équipes de sécurité doivent tempérer leurs attentes à l’égard de ce "temps réel", de ce dont les SIEM et d'autres technologies analytiques sont capables, et des ressources nécessaires pour observer et réagir aux incidents de sécurité en temps réel.

"C’est ambitieux, en particulier pour les SIEM, parce que l'événement doit se produire pour être enregistré, puis envoyé au SIEM ou au système de consolidation des logs, avant d’être passé au moteur d’application des règles d’analyse", relève Diana Kelley, fondatrice de Security Curve, un cabinet de conseil de l’état du New Hampshire. "Tout cela prend du temps et ce n'est pas fait en temps réel. Il n’y a pas de regard temps réel sur le trafic comme peut l’avoir un IPS ou un pare-feu de nouvelle génération. Leur fonctionnement est plus proche du temps réel qu’avec un événement qui passe d’abord par un système de gestion des logs chargé de traiter les données avant de les envoyer à un SIEM où les règles de corrélation sont finalement exécutées."

Des informations immédiatement exploitables... ça a toujours été le seau rempli d’or au pied de l’arc-en-ciel du SIEM. Mais la quête de ce trésor se heurte souvent à la fastidieuse écriture des règles et aux exercices d'intégration. La conception des règles des SIEM peut être une difficulté majeure parce que, comme pour toutes les défenses basées sur les signatures, les équipes de sécurité ont besoin de comprendre ce qu'elles recherchent en vue d'établir des seuils d'alerte appropriés.

"Si vos seuils sont trop élevés, vous ne serez pas avertis assez vite, explique Kelley. S’ils sont trop bas, votre SIEM va vous noyer sous les alertes. Trouver le juste seuil est ce qui rend l'écriture de règles si compliqué. [...] La consolidation des logs ou le SIEM peuvent être formidables pour l’enquête post mortem - pour aider à trouver des aiguilles dans des meules de foin", ajoute Kelley. "Mais si vous ne savez pas par où commencer, ça devient problématique."

Au final, le produit est souvent source de frustration. Les entreprises finissent parfois par arrêter les analyses pour rester avec un outil de conformité et de reporting qui, dans certains cas, leur a peut-être coûté plusieurs centaines de milliers de dollars, en acquisition, déploiement et exploitation. Toutefois, utiliser le SIEM à son maximum ne sera peut-être bientôt plus un luxe. Non seulement des réglementations exigent l’utilisation d’outils d’analyse et de reporting, mais le développement des attaques ciblées persistantes visant des données de grande valeur pourrait renouveler l’aspiration à maximiser le retour sur les investissements SIEM.

Etendre les capacités du SIEM pour passer à la sécurité temps réel

Robert Capps, responsable senior de la confiance et la sécurité chez StubHub, un service de courtage en billetterie en ligne, a renforcé le SIEM de son entreprise et ses technologies de surveillance avec une technologie de détection des fraudes signée Silver Trail Systems. Celle-ci cherche les anomalies dans la manière dont les utilisateurs interagissent avec le site. Il était frustré de l’incapacité du SIEM et d’autres équipements de sécurité réseau à détecter les abus perpétrés par des attaquants sur ses services. Les IPS, par exemple, ne voyaient que le trafic légitime tandis que le SIEM enregistrait les ouvertures de session réussies avec des comptes légitimes créés par les attaquants à des fins de fraude.

Capps estime que l’IPS, le SIEM et d'autres outils d'analyse ne sont pas efficaces pour analyser des événements de sécurité, mais il ne disposait pas des données pour appuyer son sentiment. Toutefois, en adoptant une approche d'analyse en temps réel, il est devenu capable d’identifier les problèmes et de modifier la réaction de son entreprise face à la fraude sans altérer l’expérience client.

"L’IPS est parfait si quelqu'un essaie d'attaquer votre pare-feu. Mais il n’est pas très utile pour identifier les utilisateurs malveillants qui se fondent dans le trafic légitime, surtout s’ils utilisent votre application Web comme tout le monde", relève Capps. "Je préfère disposer d’un outil qui dit :«cela semble étrange et ne correspond pas à des flux transactionnels normaux.» C’est de cela dont j’avais besoin pour identifier les attaques zero-day."

Les principaux fournisseurs de SIEM comme ArcSight, une filiale de HP, SenSage et Q1 Labs (IBM), parlent d'étendre les capacités de leurs produits dans la direction du décisionnel métiers et du data warehouse afin de pouvoir supporter l’analytique Big Data, et ajouter le temps réel à l’équation. Les analystes en sécurité sont submergés par les données provenant des équipements de sécurité du réseau mais aussi des systèmes d’exploitation, des applications, et des comportements des utilisateurs. 

Joe Gottlieb, Pdg de SenSage, explique que les outils de son entreprise donnent déjà aux entreprises la possibilité d’extraire des données de sécurité à partir de sources spécifiques dans un entrepôt de données où les règles de corrélation sont exécutées sur de petits sous-ensembles des flux de données. "Les données sont tout au plus vieilles de 5 minutes ", indique-t-il. "Le temps réel, c’est vraiment une question de mélange des sources et de fraîcheur (de données). Le plus petit dénominateur commun est la plus ancienne des données que vous avez dans une machine à états. Cela veut bien dire à quel point le temps réel est une notion réelle... En général, l'industrie a eu besoin de gérer les attentes en temps réel. Les technologies d'inspection des paquets en profondeur a donné le ton pour la prévention, et beaucoup s’attendent au même niveau de connaissance de la situation avec le SIEM mais sont encore loin de l’avoir."

La surabondance de données empêche le SIEM de passer au temps réel

De toute évidence, alors que les technologies de surveillance et de reporting se rapprochent du temps réel et qu’un nombre croissant de sources de données est impliqué, la complexité liée à la construction des requêtes, au traitement des événements, et l’établissement des seuils d’alerte progresse.

"A vouloir être trop ambitieux, on risque de s’empêcher d’atteindre ses objectifs. Il n'y a aucune raison pour qu’une organisation ne veuille pas faire de l’analyse en temps réel, mais il est nécessaire d'équilibrer cela avec la réalité de son environnement et de ce que temps réel signifie pour l’organisation et pour sa gestion du risque ", estime Michael Callahan, vice-président marketing produits et solutions de HP ESP.

ArcSight s’oriente aussi vers l'analyse temps réel via l'amélioration de l’analyse et de la corrélation pour son SIEM. Callahan précise que les clients veulent des performances et une élasticité accrues - des analyses plus rapides et de la corrélation à partir de sources plus nombreuses -, le tout mâtiné de plus de mise en perspective dans le contexte des événements de sécurité et de l’exploitation informatique.

"La brique suivante, c’est de l'élargir à l'ensemble de l'organisation; ce qui vous donne la possibilité de mesurer le risque global de votre entreprise ", explique Callahan.

Mais les experts préviennent que les entreprises ont besoin pour réduire le périmètre appliqué au temps réel, de comprendre leurs environnements et ce que signifient les attaques dans les différentes parties de leur infrastructure informatique.

"Chaque équipe de sécurité se noie dans les données; un autre problème avec le temps réel, c'est qu'il met plus de données dans une situation de surcharge de données ", souligne Mike Lloyd, directeur technique chez Red Seal Networks. "Pour les entreprises, c’est déjà la noyade sous des flots de données bien trop importants. Ajouter encore des capteurs pour produire plus de données ne fera pas avancer les choses. Revenir à une échelle humaine, sur les données, afin que nous puissions agir, est difficile et c’est un autre problème temps réel."

Les produits de Red Seal promettent une visibilité continue sur une infrastructure IT par la cartographie des interactions entre les dispositifs de sécurité et la mise en évidence des points d'accès qui pourraient être vulnérables. Lloyd explique que les entreprises doivent éviter la tentation de sur-investir dans n'importe quel domaine de la sécurité, comme l'analytique, au détriment de la prévention ou de l’enquête a posteriori. "C'est une grosse erreur dans les entreprise ", assure-t-il. "Il n’est pas possible de tout savoir à une grande échelle."

Kelley, de Security Curve, estime pour sa part que les SIEM doivent fournir de meilleurs ensembles de règles et des renseignements plus précis sur les attaques. "Le SIEM est très efficace pour l’enquête a posteriori, et pour relier les événements les uns aux autres. Mais il est bon d'alerter en temps quasi réel sur les problèmes les plus simples, les moins complexes."

Adapté de l'anglais par la rédaction.