Sept erreurs commises dans le SIEM et comment y remédier

La faille de sécurité de Target est une parabole qui continue de se dérouler quotidiennement et qui a attiré l’intérêt de la communauté informatique. Des entreprises qui traitent les transactions aux fournisseurs qui fournissent des solutions de sécurité au client final qui se demande comment se protéger contre la fraude, tout le monde peut bénéficier d'informations supplémentaires en matière de sécurité.

Les fournisseurs de logiciels de sécurité, également connus sous le nom de solutions de gestion des informations et des événements de sécurité (SIEM), estiment que les solutions traditionnelles sont en effet insuffisantes. Bien qu'il n'existe pas de solution universelle pour sécuriser chaque réseau, les sept erreurs suivantes des systèmes SIEM actuels doivent être résolues pour sécuriser efficacement les données dans l'entreprise moderne.

Erreur 1: la gestion des journaux basée sur le client-serveur ne s'adapte pas

L'architecture client / serveur a été utilisée pour la gestion des journaux dans les systèmes SIEM afin de normaliser les données dans divers formats de journaux. Par exemple, les journaux Windows sont stockés dans un format propriétaire, tandis que les périphériques réseau envoient des messages syslog en utilisant la même demande de commentaires (RFC), mais le contenu est varié. Les journaux d'audit de base de données sont un mélange de données de table et de données d'audit de fichier.

Placer ces journaux dans une architecture client-serveur est une solution immédiate, mais la gestion de plusieurs formats de journaux dans un monde big data est devenue compliquée.

La solution: standardiser les données, définir les formats et les stocker dans une structure de données centralisée. Cela peut être réalisé s'il existe une implémentation et l'utilisation à l'échelle de l'industrie d'un RFC ou d'une forme standard de collecte de journaux qui garantit que les périphériques source ne nécessitent pas de clients ou de formatage spécial et ne sont pas taxés en termes de traitement. Une fois les données collectées dans un format standard et correctement catégorisées, le stockage, l'indexation et la récupération deviennent plus faciles.

Erreur 2: Analyse basée uniquement sur des règles

Les règles nécessitent de fréquentes modifications humaines pour être efficaces. Les règles sont mises en place, testées, puis modifiées si nécessaire. Et, différentes règles doivent être mises en place pour surveiller différentes situations. À l'inverse, l'apprentissage automatique analyse en permanence les entrées de données sur les réseaux pour comprendre ce qui est normal et ce qui ne l'est pas.

La solution: ajoutez des capacités d'apprentissage automatique au SIEM. Les systèmes d'apprentissage automatique apprennent automatiquement les programmes à partir des données collectées. À partir de ces données, des alertes, des rapports et des notifications peuvent ensuite être créés pour tenir les organisations informées de ce qui nécessite une attention particulière.

Erreur 3: créer des événements, pas seulement les analyser

Les solutions SIEM tentent souvent d'être tout ce qu'un responsable de la sécurité de l'information (RSSI) voudrait, y compris des outils qui créent des événements tels que des systèmes d'intrusion, de détection et de prévention. La vraie valeur d'un SIEM est d'agréger, d'analyser et d'agir sur les sources de données, pas de les créer. La perte de cet objectif se traduit par un SIEM édulcoré qui analyse et alerte uniquement au lieu d'apporter une véritable intelligence à l'exploration de données.

La solution: Concentrez SIEM sur le fait d'être le cerveau du réseau, pas les bras et les jambes. En effectuant une surveillance cohérente et complète de l'infrastructure, SIEM se concentre sur le fait d'être le cerveau du réseau. Les SIEM sont conçus pour identifier et analyser les données liées à la sécurité, mais le bruit du réseau non lié fait souvent dérailler le processus approprié. C'est pourquoi la mise en place d'une infrastructure d'ingénierie de réseau sécurisée permet de connecter simultanément l'ingénierie de réseau sécurisée à la réduction du bruit.

Erreur 4: Traitement des données non sécurisées

Pour qu'un SIEM fonctionne le plus efficacement possible, il ne doit recevoir que des données liées à la sécurité à analyser. Cependant, les SIEM d’aujourd’hui reçoivent souvent divers autres bruits de réseau, tels que les données de performances et de conformité et le trafic de paquets IP (Internet Protocol), ce qui crée une surcharge inutile et devient une ponction de ressources sur le système. C'est là que la standardisation et la catégorisation des journaux peuvent jouer un rôle clé. Si le système était capable de trouver uniquement les données liées à la sécurité et de les traiter, la plupart des entreprises ne toucheraient jamais plus de 5 000 événements par seconde (EPS).

La solution: être capable d'identifier et d'analyser uniquement les données liées à la sécurité. Les SIEM surveillent l'ensemble de l'infrastructure informatique en temps réel sur un seul écran pour identifier et résoudre rapidement les incidents de sécurité et les goulots d'étranglement des performances. Avec plusieurs fonctions de surveillance critiques dans une seule application, les SIEM accélèrent l'identification des problèmes, aidant le service informatique à déterminer rapidement la réponse corrective appropriée.

Erreur 5: Rapport sur l'analyse de post-traitement des données SIEM

Les entreprises veulent aller au-delà du "Que vient de se passer?" à "Que se passe-t-il maintenant?" Les solutions SIEM d’aujourd’hui doivent fournir des analyses en temps réel sur l’ensemble du cloud (public, privé et hybride) et pas seulement sur les données historiques. En surveillant les services réseau et le trafic des flux réseau et des journaux de pare-feu, les entreprises peuvent comprendre quelles anomalies se produisent dans leur réseau au fur et à mesure qu'elles se produisent.

La solution: utilisez des analyses en temps réel pour sécuriser le réseau de manière proactive. Cela signifie utiliser un plan de réponse aux incidents testé pour offrir des analyses en temps réel sur le trafic réseau et fournir des alertes lorsque des anomalies se produisent, automatiser la découverte de menaces potentielles et faire remonter les notifications critiques dans une infrastructure de réponse aux incidents pour minimiser rapidement les dommages et se concentrer sur la suppression des attaques.

Erreur 6: Répondre passivement aux menaces de sécurité

Les SIEM d’aujourd’hui répondent à des règles définies, surveillées et modifiées par l’interaction humaine. La vraie valeur de SIEM est lorsque le système peut répondre aux menaces sans interaction humaine, comme l'envoi d'une alerte ou l'intégration de base de la gestion des services de la bibliothèque d'infrastructure informatique (ITIL). De nombreuses règles SIEM sont basiques, deviennent répétitives sur une période de temps et peuvent être automatisées dans un flux de travail. Le système doit également être capable de devenir autonome, de prendre de lui-même des mesures correctives (ou offensives) en travaillant avec les outils existants de gestion des modifications et de la configuration d’une entreprise.

La solution: utilisez l'apprentissage automatique et les workflows pour répondre activement aux menaces. Tout comme la solution à l'erreur 2, l'apprentissage automatique à partir des données collectées peut être utilisé pour créer des rapports et des notifications afin de tenir les entreprises au courant des problèmes potentiels.

Erreur 7: tableaux de bord de rapports lourds et non optimisés pour les mobiles

Corollaire de l’erreur 4, les consoles de gestion SIEM d’aujourd’hui sont lourdes en code à l’avant et en unité centrale de traitement (CPU) à l’arrière-plan. Le résultat est que les données du tableau de bord sont souvent à la traîne et ne peuvent pas afficher les résultats en temps réel. De plus, les tableaux de bord sont trop compliqués et détaillés pour un professionnel de l'informatique dont l'appareil de choix est un iPhone. Les SIEM doivent utiliser des règles et l'apprentissage automatique pour éliminer le bruit du réseau et afficher des résultats en temps réel, et ils doivent créer des tableaux de bord qui sont gérés graphiquement et réactifs aux appareils mobiles.

La solution: alléger les tableaux de bord de création de rapports et leur donner une belle apparence sur un appareil mobile. Un objectif majeur du SIEM est de disposer d'un centre d'opérations de surveillance et de sécurité dédié. Dans les grandes entreprises, une surveillance 24/7 des événements et des incidents est souvent en place. Le besoin croissant de tableaux de bord SIEM accessibles est nécessaire car la dépendance aux appareils mobiles ne cesse de croître.

Soyez prêt pour quand

En tant qu'industrie, la communauté informatique peut bénéficier d'une norme de sécurité générale qui aide à consolider un plan et une solution à long terme pour la protection des données. Les cyberattaques devenant de plus en plus fréquentes et complexes, il ne s'agit plus de savoir si, mais quand.

Le risque de telles attaques peut être réduit en utilisant ces sept erreurs SIEM courantes comme base pour évaluer et mettre en œuvre des solutions de contrôle de sécurité essentielles contre les cyberattaques.