La montée et la chute des SIEM : mettez la chance de votre côté avec des outils d’analyse de sécurité

//La montée et la chute des SIEM : mettez la chance de votre côté avec des outils d’analyse de sécurité

La montée et la chute des SIEM : mettez la chance de votre côté avec des outils d’analyse de sécurité

Par | 2016-03-15T09:55:40+01:00 mars 15th, 2016|Blog|

Les outils d’analyse des SI et de gestion des événements ont été tenus en haute considération dans le paysage de la cybersécurité durant cette dernière décennie. Beaucoup d’entreprises seraient même allées plus loin en les utilisant au cœur de leur stratégie de sécurité pour identifier les cyberattaques potentielles. Pourtant, comme les cyber- menaces évoluent sans cesse, des outils complémentaires sont nécessaires pour accélérer la réponse aux incidents et faire face à la réalité : alors que les outils SIEM permettent aux entreprises d’obtenir une meilleure compréhension sur l’analyse du journal, ils ne devraient pas être confondus avec les pratiques d’analyse de sécurité réelle. Considérant que le SIEM est un outil qui fonctionne parfaitement dans le rôle qu’il a été conçu, ses capacités ne peuvent pas être étendues plus loin dans l’univers de l’analyse de sécurité avancée. Il reste, cependant, la base parfaite sur laquelle apporter des solutions modernes.

Ce qui devrait probablement nous préoccuper est que, en dépit de la vérité indéniable qui se profile au-dessus de leurs têtes, les organisations ne parviennent pas toujours malgré leurs efforts à mettre en œuvre des outils d’analyse de sécurité appropriée. Et quelle autre preuve auriez-vous besoin, sinon le nombre croissant d’attaques et l’incapacité à détecter les incidents en temps voulu. Selon un sondage de Statista mené en 2015 concernant 58 entreprises américaines, il a été constaté que 97% d’entres elles ont connu des attaques malveillantes et moins d’un tiers étaient au courant avant que cela n’arrive.

Les outils SIEM ont été créés pour collecter et gérer les événements de sécurité sur les systèmes d’information par le biais de la corrélation de logs. Néanmoins, étant donné la diversité et l’énorme quantité de données entrantes, ne se limitant pas seulement à l’intérieur du périmètre du réseau, mais aussi à partir de sources internes et externes, l’utilisation et le fonctionnement des SIEM sont largement surfaites quand il vient à traiter avec des environnements de sécurité bruyants. Traditionnellement, les outils SIEM recueillent des données qui proviennent exclusivement d’une source pré- défini, soulignant le fait que le périmètre d’analyse se voit réduit. Malheureusement cela, laisse la porte ouverte aux pirates qualifiés pour se frayer un chemin et rester sous le radar. Dans le même temps, les informations recueillies à partir des journaux nécessitent un format spécifique pour le traitement. De toute évidence, l’alignement de formats est chronophage et conduit au retard du cycle de détection complet.

Pourquoi le cycle de détection est incomplet ? Pour commencer, par définition les SIEM ne peuvent rechercher des menaces identifiées précédemment lors d’une recherche pour atteintes à la sécurité. Enfin, en utilisant exclusivement un SIEM les équipes informatiques n’auront pas une vision globale du niveau de sécurité et ne pourront donc pas réaliser leurs objectifs en termes d’analyse de sécurité. Comme les experts doivent être plus réactifs face aux alertes cependant au vu des grandes quantités de données générées, ils doivent les corriger manuellement. Qui ne serait pas submergé dans ce cas ?

Le cyber- environnement actuel est comme le mercure, en mouvement perpétuel. Voilà pourquoi, à la dernière Conférence RSA qui a eu lieu à San Francisco en début de mois, un certain nombre d’experts ont exprimé le fait que l’analyse de sécurité moderne doit , sans exception, inclure la pensée contextuelle. Nous ne devons pas regarder individuellement les événements, les activités du réseau, mais les regarder dans leur contexte. Nous ne pouvons pas dire que les outils SIEM ont une analyse en temps réel, car ils ont besoin de passer plusieurs étapes (corrélation, stockage, normalisation, enrichissement), pour détecter d’éventuelle menace. Mais personne ne peut blâmer ces solutions, elles peuvent avoir leurs limites. Ce que nous pouvons pointer du doigt est celui qui continuent à utiliser ses solutions pour détecter des menaces.

Afin d’être clairs, nos experts ne disent pas que les SIEM sont obsolètes. Pas du tout. Ils ont tout simplement rempli leur potentiel en termes de collecte de journaux, et ont rarement réussi à détecter des failles de sécurité. Telle est la raison pour laquelle nous avons conçu Reveelium, une solution intelligente qui vous aide à construire une véritable analyse de sécurité, permettant de combler les failles que les outils actuels laissent. Il est capable d’identifier les symptômes de tous les comportements malveillants grâce à son système de détection d’anomalies automatisé. Construit comme une technologie BigData multidimensionnelle, Reveelium comprend : un moteur de détection des signaux faibles cachés dans de grandes quantités de données ; un moteur de corrélation, sur la base de l’expérience des ingénieurs systèmes et consultants en sécurité ; et une base de connaissances globale, la mémoire de Reveelium qui identifie et collecte les comportements de tous les Reveelium des clients, afin de faire bénéficier chacun d’eux de l’expérience des autres.

Reveelium permet non seulement la détection en temps réel des comportements qui dévient de la norme, mais il peut aussi être facilement ajouté à un SIEM existant, dépassant le traitement simple des journaux. La valeur ajoutée de cette technologie innovante développée par ITrust est basée sur la détection et l’évaluation de ces écarts. Reveelium identifie les attaques négligées par les solutions SIEM et protège les organisations contre le risque de devenir juste une autre victime de cyber – crime.

 

En savoir plus !