7 aspects à considérer pour évaluer une solution SIEM - RSA

More documents

Recommendations

Info

SIEM pour la sécurité : Brève présentation Malgré la diversité des architectures, des fonctionnalités et des options intégrées dans les plates-formes SIEM, toutes répondent au même objectif. Selon le cabinet Gartner « les utilisateurs finaux ont besoin d'analyser les données d'événements de sécurité en temps réel (pour la gestion des menaces, commençant par les événements réseau) et de produire des analyses et des rapports sur les données journalisées (pour surveiller la conformité avec la politique de sécurité, avec un premier focus sur les événements des applications et sites hôtes) ». Les solutions SIEM automatisent et rationalisent le processus de collecte des logs d'événements - y compris mais non limités aux événements de sécurité - depuis diverses sources à travers le réseau. Ces produits ont recours à des techniques d'agrégation de données et de corrélation d'événements pour analyser les données afin d'identifier les menaces de sécurité connues et de déceler les comportements anormaux susceptibles d'indiquer un problème. En déclenchant des alertes, une solution SIEM peut activer des processus automatiques ou manuels afin de rechercher et maîtriser toute attaque suspecte ou reconnue. En outre, les solutions SIEM facilitent les investigations numériques légales (forensics) et simplifient le processus de réponse aux requêtes d'audit. Ces platesformes incluent également de plus en plus couramment des fonctions de gestion et d'archivage de logs, ce qui facilite la conformité aux dispositions légales de rétention des données à long terme. La plupart des plates-formes SIEM se présentent sous forme de solutions logicielles ou d'appliances optimisées pour simplifier le déploiement ; c'est sur ce dernier modèle qu'est basée la plate-forme enVision de RSA. En général, les produits incluent un logiciel serveur, une console de gestion centralisée en mode web, et dans la plupart des cas, un logiciel agent qui doit être déployé sur les dispositifs à surveiller ou à côté d'eux. De nombreuses solutions incluent des capacités de stockage additionnelles et des référentiels de données servant à stocker et gérer les données d'événements. Les solutions SIEM ne peuvent, par elles-mêmes, empêcher ni minimiser les attaques, et les clients qui s'attendent à ce qu'elles le fassent risquent d'être déçus. Toutefois, lorsqu'elles sont déployées dans un écosystème de sécurité complet qui supporte le travail des analystes de sécurité, les solutions SIEM jouent un rôle capital dans la détection et l'analyse des menaces, les mesures correctives, les investigations et les rapports de conformité. 2 Ibid. 2 Livre Blanc RSA conçue de manière à répondre de façon équilibrée à ces besoins, avec des fonctions de collecte, d'analyse et de requête étroitement imbriquées les unes aux autres dans une technologie de base de données orientée objet qui assure flexibilité et performances optimales. Accéder à Toutes les données… La plupart des solutions n'analysent pas les données d'événements brutes lors de leur acquisition parce que cela se traduirait par un ralentissement considérable et inacceptable des performances. Au contraire, en normalisant et prétraitant les données, elles les réduisent à un sous ensemble d'exceptions qui seront les seules à être analysées. Pire, certaines solutions suppriment même toutes les autres données restantes, empêchant alors toute possibilité d'utilisation ultérieure pour des actions d'investigation, d'audit ou de reporting. D'autres solutions choisissent de conserver les données événementielles brutes, mais dans un référentiel séparé - mal intégré aux fonctions de requête et de reporting. Cela peut entraver considérablement les tâches d'analyse et de reporting des données historiques de journalisation. Assurez-vous que la solution que vous choisissez élimine ce problème en collectant et conservant toutes les données d'événements pour une utilisation ultérieure. Ainsi chaque fois que vous écrirez de nouvelles règles de corrélation pour répondre à de nouvelles menaces, ou à de nouveaux besoins de reporting ou d'audit, ces règles seront immédiatement opérationnelles sur toutes les données concernées, optimisant la précision des alertes et vous permettant de ré-analyser des événements antérieurs. Robustesse des outils d'investigation et des workflows Les outils d'investigation et de workflow jouent un rôle critique pour maximiser la productivité des équipes en charge des opérations de sécurité. Ils permettent la résolution d'un plus grand nombre d'incidents et réduisent le temps moyen imparti aux investigations et aux résolutions. Des outils d'investigation robustes et ergonomiques offriront à vos analystes la visibilité, la flexibilité et la puissance de traitement dont ils ont besoin pour « rejouer » les événements auxquels ils s'intéressent, pour filtrer les données événementielles selon diverses variables et pour reconstruire les événements opérationnels et de sécurité de bout en bout.
Les outils de workflow doivent être suffisamment flexibles pour prendre en charge et simplifier les processus d'investigation actuels de vos équipes. Ils doivent en même temps, permettre de gérer aisément les modifications imprévues des processus qui pourraient être implémentées dans le futur. Les fonctions de workflow doivent englober l'intégralité du cycle de vie des investigations - depuis l'identification et l'investigation initiale, en passant par le routage vers les membres de l'équipe les plus à même de traiter le problème, l'escalade automatique des incidents de haute priorité ou difficile à résoudre, et jusqu'à la résolution, la fermeture et l'archivage. Une intégration directe avec les principaux systèmes de génération de tickets d'incidents - tels que Peregrine et Remedy - permet de transférer en toute transparence les incidents actifs et toute l'investigation conséquente au « système d'enregistrement » corporate pour le suivi des événements et tickets d'incidents. Recommandation n°3 : Intégrer les exigences stratégiques au processus de sélection De plus en plus, l'efficacité des professionnels de la sécurité est déterminée par leur capacité à évoluer vers un nouveau rôle, c'est-à-dire de passer de protecteurs des ressources informationnelles de l'entreprise en initiateurs d'innovation et de réussite. Le choix d'une solution SIEM nécessite donc non seulement de répondre aux exigences immédiates mais aussi de s'aligner avec les besoins métier stratégiques. Par exemple, la plate-forme doit intégrer suffisamment de fonctionnalités dans les trois principaux composants d'une solution SIEM - sécurité, conformité et opérations réseaux - de sorte qu'une solution unique réponde à ces trois besoins, réduisant par conséquent les coûts et la complexité. Les éléments stratégiques à considérer incluent : – Les nouvelles initiatives métier, telles qu'une acquisition, la mise en œuvre d'un service d'e-business important ou l'expansion d'un écosystème partenaire, ajoutent de nouvelles fonctions et de nouvelles exigences d'exploitation sur le réseau et créent de nouvelles zones de risques de sécurité. Une solution SIEM doit être en mesure de planifier toutes ces zones Les outils d'investigation et de workflow jouent un rôle critique pour maximiser la productivité de l'équipe en charge des opérations de sécurité. en s'appuyant sur les données événementielles existantes pour vous aider à définir vos stratégies en termes d'opérations de sécurité et réseau. Et bien entendu, une fois ces initiatives en place, la solution doit être en mesure de s'interfacer aisément avec de nouvelles sources d'événements pour capturer les données événementielles des opérations de sécurité et réseau que ces sources génèrent. – Conformité. Vous devez disposer d'une flexibilité suffisante pour répondre aux exigences de conformité nouvelles ou non prévues. Pour cela, il faut pouvoir consulter les événements précédemment capturés, et notamment ceux qui ne présentent actuellement aucun intérêt pour les régulateurs, mais qui peuvent se révéler d'une importance capitale pour de futurs audits. La collecte et la sauvegarde de tous ces événements de sécurité, et pas seulement les données se rapportant aux menaces et exigences de conformité actuelles, sont une étape obligatoire pour répondre aux exigences des audits futurs. – Gestion du risque informationnel. De plus en plus, les entreprises développent des approches pour identifier et mesurer où se situent leurs plus grands risques informationnels ( par exemple où résident les données critiques et où sont-elles les plus vulnérables) et utilisent ces informations pour prioriser les investissements en matière de sécurité. Votre fournisseur SIEM doit avoir une vision pour supporter la gestion du risque informationnel et une feuille de route définissant de façon claire et précise comment la 3 Gartner, Dataquest Insight : Analyse prévisionnelle dans la sécurité des informations et la gestion des événements, à l'échelle mondiale, 2007-2012 par Ruggero Contu et Mark Nicolett, 5 mars 2008 Livre Blanc RSA 3
Page 1 and 2: Livre blanc 7 aspects à considére
Page 3: Quel que soit le modèle employé a
Page 7 and 8: Recommandation n°5 : Compléter la
Page 9: - Modules optionnels. Quels sont le

7 aspects à considérer pour évaluer une solution SIEM - RSA

Create successful ePaper yourself

Delete template?

Save as template?