Devons-nous analyser les logs en continu pour minimiser les risques informatiques ?

//Devons-nous analyser les logs en continu pour minimiser les risques informatiques ?

Devons-nous analyser les logs en continu pour minimiser les risques informatiques ?

Par | 2016-01-27T18:26:55+01:00 janvier 27th, 2016|Blog|

La gestion des risques consiste à identifier, évaluer et prioriser les risques relatifs aux activités des entreprises. Quelle que soit la nature ou l’origine de ces risques, il est important de mettre en place un plan d’action pour traiter les risques de manière coordonnée et économique, afin de réduire et de contrôler l’émergence des événements redoutés, et de réduire l’impact éventuel de ces derniers.
Cette méthodologie s’applique en particulier au département IT de chaque entreprise. Il convient pour les directions informatiques de réduire la probabilité d’échec des éléments critiques du système d’information et atténuer l’impact des anomalies de fonctionnement. L’enjeu consiste à détecter les incidents en temps réel et/ou de manière prédictive afin d’anticiper les éventuels dommages.

Analyser les traces des logiciels malveillants grâce aux fichiers de journalisation

Les responsables informatiques réclament souvent la nécessité d’avoir une vision globale et détaillée de l’activité de leurs équipements (firewalls, serveurs VPN, proxy, IDS, serveurs web, ressources de calcul dédiées, anti-virus …) afin de contrôler toute tentative d’intrusion ou de malveillance. Face à la quantité d’informations générées au sein d’un parc informatique, il est difficile de les traiter à la volée. Une solution possible pour s’atteler à cette problématique fait appel aux SIEM (Security Information and Event Management), des outils en mesure de gérer et de corréler des logs (fichiers de journalisation). En effet, ces solutions sont munies de moteurs de corrélation qui permettent de relier plusieurs évènements à une même cause. Cependant ce type d’approche ne permet pas d’identifier les APT (Advanced Persistent Threat), c’est-à-dire des menaces latentes et le plus souvent entièrement inconnues… Hélas, ces menaces sont très répandues de nos jours.

Passer à l’échelle – l’analyse comportementale des fichiers de journalisation

Les données issues des logs retracent l’historique partiel des transactions effectuées et permettent d’observer (à un très bas niveau) certaines traces du flux d’information au sein d’un système informatique. Autant d’informations pour optimiser les infrastructures informatiques et sécuriser l’environnement physique, virtuel et cloud de l’entreprise.
Les SIEM, couplés à une solution d’analyse comportementale, vont permettre de définir un comportement dit « normal » pour les entités, y compris pour les utilisateurs, les périphériques et les applications par l’apprentissage machine et les règles de corrélation. Détecter et évaluer les écarts par rapport à ces comportements permet de révéler certains types d’attaques qui s’avèrent impossibles à détecter en utilisant exclusivement les SIEM.

Security analyse is behond SIEM

A propos de Reveelium

C’est pourquoi ITrust propose le système Reveelium, qui permet de détecter en quasi temps réel plusieurs types de comportements anormaux. Comme les SIEM, il repose sur le traitement des logs des différents équipements de sécurité, des domaines Windows, des serveurs DNS et proxy ainsi que des applications. A la différence des SIEM, il détecte les signaux faibles précurseurs d’APT ou d’ usurpation de données en identifiant les anomalies comportementales du système surveillé, puis en enrichissant et en filtrant les informations collectées pour générer des alertes classées par niveau de risque et de type de comportement.

Reveelium est une solution de sécurité de nouvelle génération dont les performances et l’adaptabilité à de nombreux « cas d’utilisation » métiers résident dans la combinaison de 3 technologies complémentaires. 1/ le moteur de détection de signaux faibles, qui est le fruit de recherches avancées en algorithmes statistiques et en intelligence artificielle. Ses résultats sont enrichis par un 2/ moteur de corrélation qui intègre des détecteurs spécialisés et des règles issues de l’expertise des ingénieurs et des consultants de sécurité d’ITrust. Le système s’appuie enfin sur une 3/base de connaissance globale, la « mémoire » de Reveelium, qui fusionne des informations issues des différentes instances de Reveelium, afin de faire bénéficier chaque client de l’expérience des autres.

 

[button link= »https://www.itrust.fr/contact/ » color= »blue » target= »_self » size= »large » title= »Contactez-nous « ]Contactez-nous[/button]