SIEM / Informations de sécurité et de gestion des événements 2018-11-29T11:17:26+00:00

SIEM (security information event management)

Des risques et pertes en constante augmentation

  • Le coût moyen par donnée compromise est de 127 €. En moyenne, 22 242 données sont compromises par incident. (Ponemon Institute- Cost of data breach 2013)
  • Les attaques malveillantes et criminelles sont la première cause de la violation de données en France, elles représentent 42% des cas ( avec un coût moyen par donnée compromise égal à 142€). (Ponemon Institute- Cost of data breach 2013)
  • La négligence humaine, qu’elle soit le fait d’employés ou de sous-traitants, représente 31 % des violations de données (116 € par donnée compromise). (Ponemon Institute- Cost of data breach 2013)
8 fois sur 10, une entreprise piratée ne le sait pas.

Objectifs

  • Faire contrôler les meilleures pratiques de ses équipes par un tiers et avoir un regard objectif.
  • Répondre aux audits, contrôles financiers et règlementaires (ISO, RGS, HDS, DMP, HIPAA…) concernant la sécurité. Leur prouver que tout est mis en œuvre afin de respecter l’obligation de moyens.
  • Sécuriser les infrastructures étendues sans intrusion et sans impact.

Principe générale

La capacité de comprendre et d’analyser les événements observables sur un système d’information est essentielle pour assurer sa sécurité.
Trop souvent lors de nos audits, la gestion centralisée des journaux est une composante absente des mesures de sécurité.
L’analyse et l’étude des solutions du marché du SIEM montrent que le système de licence, en plus d’être relativement onéreux, manque d’agilité pour la gestion des pics d’événements. La phase d’intégration au SI client est également une composante à ne pas négliger dans la mise en place de telles solutions.

En parallèle de ses activités d’intégration des SIEMS des grands acteurs du marché, ITrust a mis en place une solution SIEM alternative en se basant sur les principes suivants :

  • Une solution open source de préférence (Pérénité),
  • Une architecture flexible et modulaire (Adaptabilité),
  • Sans licence contraignante (Simplicité),
  • Assurant l’intégrité et la valeur probante des journaux (Preuve).
  • Installation des services limitée au strict minimum,
  • Désactivation des accès à distance. Seule une connexion locale et physique pour la maintenance est autorisée,
  • Accès audités,
  • Synchronisation du temps NTP pour la fiabilité des sources de temps.

Cette solution permet de proposer une solution de SIEM à moindre coût à nos clients.

Architecture de la solution

Collecteur de journaux

Cette brique a pour rôle de collecter et d’archiver les journaux arrivant des équipements du datacenter. Cette brique repose sur un serveur linux durci par ITrust pour répondre aux contraintes de sécurité (principalement d’intégrité des journaux).

Les archives sont compressées et signés par des mécanismes cryptographiques forts assurant l’intégrité des informations dans le temps. Pour assurer la disponibilité des journaux, un mécanisme de réplication à distance basé sur la solution rsync est automatisé pour synchroniser les données toutes les dix minutes.

Acquisition et filtrage

Une fois les journaux bruts archivés et protégés, une copie est envoyée à la brique d’acquisition et filtrage. Cette fonction est assurée par une solution qui réceptionne le flux d’évènements pour les traiter et les filtrer.

Les logs sont historiquement dans un format peu lisible par un humain et arrivent en masse. Il est nécessaire d’ajouter du sens aux journaux entrants pour extraire des informations. Les filtres sont capables d’aller loin : ils peuvent gérer le multiligne, regrouper deux évènements, dédoublonner, anonymiser, géolocaliser…
Le mécanisme d’extraction de données basé sur les expressions rationnelles est très lisible et permet de s’adapter rapidement aux journaux applicatifs spécifiques de nos clients.

Indexation et moteur de recherche

La brique d’indexation et de recherche est assurée par un système d’indexation très rapide.
La réelle plus-value d’ES réside dans sa capacité à extirper du sens dans le chaos de masses importantes de données. Les évènements arrivant sous forme de documents structurés en JSON sont indexés afin de les rendre rapidement exploitables; l’ensemble des champs d’une ligne de log est indexé et peut faire l’objet d’une requête.
La technologie mise en oeuvre permet d’effectuer des requêtes multiples sur tous les indices d’un index en temps réel; performance impossible avec des base de données SQL classique. Par défaut, tous les champs des données sont indexés par la solution. Tous les champs ont un index inversé dédié et à l’inverse de la plupart des bases de données, le système peut utiliser tous ces indices inversés dans une même requête et fournir des résultats instantanés.

Visualisation et investigation

Le frontend web graphique permet l’analyse et la création de tableaux de bord basés sur les données indexées. Ce moteur graphique permet de :
  • Faire des recherches,
  • Trouver un évènement seul ou des millions
  • Visualiser des tendances, des pics, des creux.
  • Créer des tableaux de bords personnalisés. Les tableaux de bords peuvent intégrer de multiple classements, graphiques, tendances… pour satisfaire aux besoins de différents utilisateurs : exploitants, responsable sécurité, décideurs…

Intérêt

La suite d’outils est mature et dispose d’une vaste communauté réactive pour faire évoluer les outils.
De nombreux filtres sont disponibles pour manipuler les informations en entrée pour donner du sens aux données et extraire les informations pertinentes.
Il n’y a pas de système de licence : la solution n’est pas limitée par un nombre d’évènements par seconde ni par un volume quotidien. La flexibilité est totale puisque l’architecture peut fonctionner en cluster pour supporter les montées en charge, l’évolution du volume d’évènements au cours du temps, ou encore la haute disponibilité.

Demander un devis