Reveelium SIEM UEBA / Informations de sécurité et de gestion des événements 2019-04-01T11:37:41+02:00

SIEM
Security Information Event Management

Des risques et pertes en constante augmentation

  • Le coût moyen par donnée compromise est de 127€. En moyenne, 22 242 données sont compromises lors d’un incident (Ponemon Institute – Cost of data breach 2013).
  • Les attaques malveillantes et criminelles sont la première cause de la violation de données en France, elles représentent 42% des cas (avec un coût moyen par donnée compromise de 142€)
  • La négligence humaine, qu’elle soit le fait d’employés ou de sous-traitants, représente 31 % des violations de données (116€ par donnée compromise)
8 fois sur 10, une entreprise piratée ne le sait pas.

Objectifs

  • Faire contrôler les pratiques de ses équipes par un tiers et obtenir un avis objectif
  • Répondre aux audits, contrôles financiers et règlementaires (ISO, RGS, HDS, DMP, HIPAA…) concernant la sécurité. Leur prouver que tout est mis en œuvre afin de respecter l’obligation de moyens
  • Sécuriser les infrastructures étendues sans intrusion et sans impact

Principe général

La capacité de comprendre et d’analyser les événements observables sur un système d’information est essentielle pour assurer sa sécurité. Trop souvent lors de nos audits, la gestion centralisée des journaux est une composante absente des mesures de sécurité. L’analyse et l’étude des solutions du marché du SIEM montrent que le système de licence, en plus d’être relativement onéreux, manque d’agilité pour la gestion des pics d’événements. La phase d’intégration au SI client est également une composante à ne pas négliger dans la mise en place de telles solutions.

En parallèle de ses activités d’intégration des SIEMs des grands acteurs du marché, ITrust a mis en place une solution SIEM alternative en se basant sur les principes suivants :

  • Pérénité – solution open-source
  • Adaptabilité – architecture flexible et modulaire
  • Simplicité – pas de licence contraignante
  • Preuve – s’assurer de l’intégrité et la valeur probante des journaux
  • Installation des services limitée au strict minimum
  • Désactivation des accès à distance. Seule une connexion locale et physique pour la maintenance est autorisée
  • Accès audités
  • Synchronisation du temps NTP pour la fiabilité des sources de temps

Cette solution permet de proposer une solution de SIEM à moindre coût à nos clients.

Architecture de la solution

Collecteur de journaux

Cette brique a pour rôle de collecter et d’archiver les journaux arrivant des équipements du datacenter. Cette brique repose sur un serveur linux durci par ITrust pour répondre aux contraintes de sécurité (principalement d’intégrité des journaux).

Les archives sont compressées et signées par des mécanismes cryptographiques forts assurant l’intégrité des informations dans le temps. Pour assurer la disponibilité des journaux, un mécanisme de réplication à distance basé sur la solution RSync est automatisé pour synchroniser les données toutes les dix minutes.

Acquisition et filtrage

Une fois les journaux bruts archivés et protégés, une copie est envoyée à la brique d’acquisition et filtrage. Cette fonction est assurée par une solution qui réceptionne le flux d’évènements pour les traiter et les filtrer.

Les logs sont historiquement dans un format peu lisible par un humain et arrivent en masse. Il est nécessaire d’ajouter du sens aux journaux entrants pour extraire des informations. Les filtres sont capables d’aller loin : ils peuvent gérer le multiligne, regrouper deux évènements, dédoublonner, anonymiser, géolocaliser…
Le mécanisme d’extraction de données basé sur les expressions rationnelles est très lisible et permet de s’adapter rapidement aux journaux applicatifs spécifiques de nos clients.

Indexation et moteur de recherche

La brique d’indexation et de recherche est assurée par un système d’indexation très rapide.
La réelle plus-value d’ES réside dans sa capacité à extirper du sens dans le chaos de masses importantes de données. Les évènements arrivant sous forme de documents structurés en JSON sont indexés afin de les rendre rapidement exploitables; l’ensemble des champs d’une ligne de logs est indexé et peut faire l’objet d’une requête.
La technologie mise en oeuvre permet d’effectuer des requêtes multiples sur tous les indices d’un index en temps réel; performance impossible avec des bases de données SQL classiques. Par défaut, tous les champs des données sont indexés par la solution. Tous les champs ont un index inversé dédié et à l’inverse de la plupart des bases de données, le système peut utiliser tous ces indices inversés dans une même requête et fournir des résultats instantanés.

Visualisation et investigations

Le frontend web graphique permet l’analyse et la création de tableaux de bord basés sur les données indexées. Ce moteur graphique permet de :
  • Faire des recherches
  • Trouver un évènement seul ou des millions
  • Visualiser des tendances, des pics, des creux
  • Créer des tableaux de bords personnalisés. Les tableaux de bords peuvent intégrer de multiples classements, graphiques, tendances… pour satisfaire aux besoins de différents utilisateurs : exploitants, responsables sécurité, décideurs…

Intérêt

La suite d’outils est mature et dispose d’une vaste communauté réactive pour faire évoluer les outils. De nombreux filtres sont disponibles pour manipuler les informations en entrée pour donner du sens aux données et extraire les informations pertinentes.
Il n’y a pas de système de licence : la solution n’est pas limitée par un nombre d’évènements par seconde ni par un volume quotidien. La flexibilité est totale puisque l’architecture peut fonctionner en cluster pour supporter les montées en charge, l’évolution du volume d’évènements au cours du temps ou encore la haute disponibilité.

Obtenir un devis