7 aspects à considérer pour évaluer une solution SIEM - RSA

More documents

Recommendations

Info

L'objectif d'une solution SIEM est de maximiser la productivité des acteurs chargés de la sécurité. Les solutions de gestion des informations et événements de sécurité (SIEM) sont en passe de devenir l'un des éléments incontournables de l'infrastructure de sécurité de toute entreprise, jouant un rôle important dans la détection des menaces, la réponse aux incidents, l'investigation numérique Quelle que soit l'abréviation retenue (SIEM, SEM ou SIM), la gestion des informations et événements de sécurité est une préoccupation clé pour beaucoup d'entreprises (voir la brève description « Sécurité et solutions SIEM » en page 2). Selon Forrester Research1 , à la fin du premier semestre 2008, plus d'un tiers des entreprises étaient déjà dans une phase d'adoption de la technologie SIM. Sur les 259 décideurs sécurité d'entreprises européennes et nord américaines interrogés par Forrester, 32 % évoquent l'optimisation du reporting et de la conformité comme raison principale du déploiement d'une solution SIM et l'identification des incidents de sécurité arrive en deuxième position avec 20 % des réponses. Une solution SIEM a pour vocation de surveiller le moindre élément de l'entreprise et toucher l'ensemble de votre infrastructure : c'est pourquoi le choix d'un fournisseur est un engagement à long terme ayant un impact extrêmement important. En outre, les technologies, fonctionnalités et coûts totaux d'exploitation varient considérablement en fonction des solutions - rendant le choix d'autant plus complexe. Il est vrai que les entreprises ayant « eu des remords » après avoir choisi une solution qui n'était pas parfaitement adaptée à leurs besoins sont légion… Lorsque vous comparez les solutions, ne vous polarisez pas trop sur des fonctions très spécifiques comme l'interface utilisateur ou même les règles de corrélation. Au contraire, comme nous le proposons dans les sept recommandations que nous présentons ci-dessous, élargissez votre champ d'investigation en examinant l'offre de chaque fournisseur dans sa globalité, et notamment, l'envergure de la collecte des données événementielles et le degré d'intégration de la solution, à la fois interne et avec l'infrastructure environnante. Évaluez également la 1 « Il faut s'attendre à de grands bouleversements dans le secteur des solutions SIM », Paul Stamp, Forrester Research, 27.02.08 légale (forensics) et la conformité aux standards de sécurité. Fort de son expérience avec plus de 1 300 déploiements SIEM effectués avec succès à ce jour dans des entreprises de toutes tailles, RSA propose aux acheteurs potentiels sept critères d'évaluation des solutions proposées sur le marché. facilité de déploiement, l'évolutivité du produit et ses coûts totaux d'exploitation pour votre entreprise. Sans oublier bien entendu les points forts du fournisseur, et notamment son expertise dans le domaine de la sécurité, sa fiabilité financière, son implication dans la R&D et son degré d'indépendance par rapport aux fournisseurs et aux plates-formes. En choisissant une solution qui réponde à vos besoins selon les critères évoqués ci-dessus, vous augmentez grandement les chances d'être satisfait sur le long terme. Recommandation n°1 : Définir votre modèle actuel de sécurité opérationnelle et l'utiliser pour déterminer vos exigences solution Les entreprises utilisent des modèles de sécurité opérationnelle extrêmement divergents, et dans l'évaluation d'une solution SIEM, il est important de connaître clairement votre modèle afin de choisir une solution qui corresponde exactement à vos besoins (et au budget) actuels tout en offrant suffisamment de flexibilité pour une évolution future. Certaines entreprises parmi les plus évoluées disposent d'un SOC (Security Office Center) centralisé où travaillent de nombreux analystes de sécurité, chacun ayant un secteur de responsabilité bien particulier (événements serveur, par exemple). Mais il est beaucoup plus courant d'avoir un petit groupe d'analystes, dont les rôles sont en premier lieu les opérations réseau ou informatiques de l'entreprise, et qui se partagent les responsabilités en matière d'opérations de sécurité. Il existe également un troisième modèle, le « SOC virtuel » dans lequel les membres sont géographiquement dispersés.
Quel que soit le modèle employé au sein de votre organisation, l'objectif d'une solution SIEM n'est pas de remplacer des hommes par des technologies, mais de rendre ces derniers plus productifs et efficaces pour remplir leur mission. La sélection de la bonne solution ne peut se faire sans une compréhension approfondie des responsabilités et des processus de workflow à l'œuvre dans l'entreprise. Comment sont réparties les responsabilités et les tâches dans l'entreprise? Comment sont priorisées les alertes et sont-elles soumises à un système de réponse 24 x7? Quelle largeur de bande passante peut être dédiée à la collecte d'éléments d'investigation numérique légale (forensics)? Comprendre ce qui fonctionne mal - et pourquoi Il est très important de comprendre ce qui ne fonctionne pas bien dans votre environnement actuel et qui limite peut-être la productivité de vos collaborateurs. Par exemple: – Si votre équipe passe trop de temps à la poursuite de faux positifs ou d'alertes à basse priorité , cela peut être dû au manque de précision des règles de corrélation ou bien au fait que ces règles ne prennent pas en compte d'autres données telles que les ressources et les vulnérabilités, résultant ainsi sur de nombreuses fausses alertes. – Si les investigations numériques légales (forensics) sont lentes ou peu concluantes, cela peut s'expliquer par le fait qu'il est impossible d'extraire aisément et rapidement les données historiques d'événements à partir d'une source unique et fiable. Ou peut-être que les données n'ont même jamais été capturées par le système SIEM et ne peuvent par conséquent pas du tout être extraites. – Si les événements critiques ne sont pas résolus rapidement, cela peut être dû à des processus de workflow inadéquats ou fragmentés. Souvent, ces problèmes sont dus à des défauts structurels de la solution SIEM - ou parce que la fonctionnalité intégrée serait trop coûteuse à mettre en place dans votre environnement réel. L'objectif d'une solution SIEM n'est pas de remplacer vos équipes par des technologies, mais de les rendre plus productives et efficaces pour remplir leur mission. Recommandation n°2 : Prendre en considération les éléments suivants, critiques pour les opérations de sécurité Trois attributs solution sont essentiels pour répondre aux défauts des systèmes SIEM les plus couramment rencontrés en ce qui concerne le support des opérations de sécurité. Il s'agit de la capacité à capturer et analyser en temps réel les données, à collecter tous les événements (qu'ils soient de sécurité ou d'opérations sur l'ensemble du réseau), et enfin à disposer d'outils d'investigation efficaces. Puissance des fonctions d'acquisition et d'analyse Toute solution SIEM doit être en mesure d'effectuer avec la même efficacité les deux fonctions clés suivantes : – En temps-réel capturer et analyser les données de journalisation entrantes afin de supporter la détection des menaces et leur résolution en temps réel. – Rapidité pour consulter et produire des rapports sur des données précédemment capturées afin qu'elles puissent être aisément analysées « sous toutes les coutures » pour les besoins d'investigation numérique légale, d'opérations réseau, de conformité ou de découvertes juridiques. La plupart des solutions peuvent être optimisées afin d'accomplir l'une ou l'autre de ces deux tâches parfaitement, mais jamais les deux à la fois, ce qui oblige le fournisseur à favoriser l'une des fonctions par rapport à l'autre. En revanche, la plate-forme RSA enVision® est Livre Blanc RSA 1
Page 1: Livre blanc 7 aspects à considére
Page 5 and 6: Les outils de workflow doivent êtr
Page 7 and 8: Recommandation n°5 : Compléter la
Page 9: - Modules optionnels. Quels sont le

7 aspects à considérer pour évaluer une solution SIEM - RSA

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?