7 aspects à considérer pour évaluer une solution SIEM - RSA
7 aspects à considérer pour évaluer une solution SIEM - RSA
7 aspects à considérer pour évaluer une solution SIEM - RSA
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Livre blanc<br />
7 <strong>aspects</strong> <strong>à</strong> <strong>considérer</strong> <strong>pour</strong><br />
<strong>évaluer</strong> <strong>une</strong> <strong>solution</strong> <strong>SIEM</strong>
L'objectif d'<strong>une</strong> <strong>solution</strong> <strong>SIEM</strong> est de maximiser la productivité<br />
des acteurs chargés de la sécurité.<br />
Les <strong>solution</strong>s de gestion des informations et<br />
événements de sécurité (<strong>SIEM</strong>) sont en passe de<br />
devenir l'un des éléments incontournables de<br />
l'infrastructure de sécurité de toute entreprise, jouant<br />
un rôle important dans la détection des menaces, la<br />
réponse aux incidents, l'investigation numérique<br />
Quelle que soit l'abréviation retenue (<strong>SIEM</strong>, SEM ou SIM),<br />
la gestion des informations et événements de sécurité est<br />
<strong>une</strong> préoccupation clé <strong>pour</strong> beaucoup d'entreprises (voir<br />
la brève description « Sécurité et <strong>solution</strong>s <strong>SIEM</strong> » en<br />
page 2). Selon Forrester Research1 , <strong>à</strong> la fin du premier<br />
semestre 2008, plus d'un tiers des entreprises étaient déj<strong>à</strong><br />
dans <strong>une</strong> phase d'adoption de la technologie SIM. Sur les<br />
259 décideurs sécurité d'entreprises européennes et nord<br />
américaines interrogés par Forrester, 32 % évoquent<br />
l'optimisation du reporting et de la conformité comme<br />
raison principale du déploiement d'<strong>une</strong> <strong>solution</strong> SIM et<br />
l'identification des incidents de sécurité arrive en<br />
deuxième position avec 20 % des réponses.<br />
Une <strong>solution</strong> <strong>SIEM</strong> a <strong>pour</strong> vocation de surveiller le<br />
moindre élément de l'entreprise et toucher l'ensemble de<br />
votre infrastructure : c'est <strong>pour</strong>quoi le choix d'un<br />
fournisseur est un engagement <strong>à</strong> long terme ayant un<br />
impact extrêmement important. En outre, les technologies,<br />
fonctionnalités et coûts totaux d'exploitation varient<br />
considérablement en fonction des <strong>solution</strong>s - rendant le<br />
choix d'autant plus complexe. Il est vrai que les<br />
entreprises ayant « eu des remords » après avoir choisi<br />
<strong>une</strong> <strong>solution</strong> qui n'était pas parfaitement adaptée <strong>à</strong> leurs<br />
besoins sont légion…<br />
Lorsque vous comparez les <strong>solution</strong>s, ne vous polarisez<br />
pas trop sur des fonctions très spécifiques comme<br />
l'interface utilisateur ou même les règles de corrélation.<br />
Au contraire, comme nous le proposons dans les sept<br />
recommandations que nous présentons ci-dessous,<br />
élargissez votre champ d'investigation en examinant l'offre<br />
de chaque fournisseur dans sa globalité, et notamment,<br />
l'envergure de la collecte des données événementielles et<br />
le degré d'intégration de la <strong>solution</strong>, <strong>à</strong> la fois interne et<br />
avec l'infrastructure environnante. Évaluez également la<br />
1 « Il faut s'attendre <strong>à</strong> de grands bouleversements dans le secteur des <strong>solution</strong>s SIM »,<br />
Paul Stamp, Forrester Research, 27.02.08<br />
légale (forensics) et la conformité aux standards de<br />
sécurité. Fort de son expérience avec plus de 1 300<br />
déploiements <strong>SIEM</strong> effectués avec succès <strong>à</strong> ce jour<br />
dans des entreprises de toutes tailles, <strong>RSA</strong> propose<br />
aux acheteurs potentiels sept critères d'évaluation<br />
des <strong>solution</strong>s proposées sur le marché.<br />
facilité de déploiement, l'évolutivité du produit et ses<br />
coûts totaux d'exploitation <strong>pour</strong> votre entreprise. Sans<br />
oublier bien entendu les points forts du fournisseur, et<br />
notamment son expertise dans le domaine de la sécurité,<br />
sa fiabilité financière, son implication dans la R&D et son<br />
degré d'indépendance par rapport aux fournisseurs et aux<br />
plates-formes. En choisissant <strong>une</strong> <strong>solution</strong> qui réponde <strong>à</strong><br />
vos besoins selon les critères évoqués ci-dessus, vous<br />
augmentez grandement les chances d'être satisfait sur le<br />
long terme.<br />
Recommandation n°1 : Définir votre modèle<br />
actuel de sécurité opérationnelle et l'utiliser<br />
<strong>pour</strong> déterminer vos exigences <strong>solution</strong><br />
Les entreprises utilisent des modèles de sécurité<br />
opérationnelle extrêmement divergents, et dans<br />
l'évaluation d'<strong>une</strong> <strong>solution</strong> <strong>SIEM</strong>, il est important de<br />
connaître clairement votre modèle afin de choisir <strong>une</strong><br />
<strong>solution</strong> qui corresponde exactement <strong>à</strong> vos besoins (et au<br />
budget) actuels tout en offrant suffisamment de flexibilité<br />
<strong>pour</strong> <strong>une</strong> évolution future.<br />
Certaines entreprises parmi les plus évoluées disposent<br />
d'un SOC (Security Office Center) centralisé où travaillent<br />
de nombreux analystes de sécurité, chacun ayant un<br />
secteur de responsabilité bien particulier (événements<br />
serveur, par exemple). Mais il est beaucoup plus courant<br />
d'avoir un petit groupe d'analystes, dont les rôles sont en<br />
premier lieu les opérations réseau ou informatiques de<br />
l'entreprise, et qui se partagent les responsabilités en<br />
matière d'opérations de sécurité. Il existe également un<br />
troisième modèle, le « SOC virtuel » dans lequel les<br />
membres sont géographiquement dispersés.
Quel que soit le modèle employé au sein de votre<br />
organisation, l'objectif d'<strong>une</strong> <strong>solution</strong> <strong>SIEM</strong> n'est pas de<br />
remplacer des hommes par des technologies, mais de<br />
rendre ces derniers plus productifs et efficaces <strong>pour</strong><br />
remplir leur mission. La sélection de la bonne <strong>solution</strong> ne<br />
peut se faire sans <strong>une</strong> compréhension approfondie des<br />
responsabilités et des processus de workflow <strong>à</strong> l'œuvre<br />
dans l'entreprise. Comment sont réparties les<br />
responsabilités et les tâches dans l'entreprise? Comment<br />
sont priorisées les alertes et sont-elles soumises <strong>à</strong> un<br />
système de réponse 24 x7? Quelle largeur de bande<br />
passante peut être dédiée <strong>à</strong> la collecte d'éléments<br />
d'investigation numérique légale (forensics)?<br />
Comprendre ce qui fonctionne mal - et <strong>pour</strong>quoi<br />
Il est très important de comprendre ce qui ne fonctionne<br />
pas bien dans votre environnement actuel et qui limite<br />
peut-être la productivité de vos collaborateurs. Par<br />
exemple:<br />
– Si votre équipe passe trop de temps <strong>à</strong> la <strong>pour</strong>suite de<br />
faux positifs ou d'alertes <strong>à</strong> basse priorité , cela peut<br />
être dû au manque de précision des règles de<br />
corrélation ou bien au fait que ces règles ne prennent<br />
pas en compte d'autres données telles que les<br />
ressources et les vulnérabilités, résultant ainsi sur de<br />
nombreuses fausses alertes.<br />
– Si les investigations numériques légales (forensics) sont<br />
lentes ou peu concluantes, cela peut s'expliquer par le<br />
fait qu'il est impossible d'extraire aisément et<br />
rapidement les données historiques d'événements <strong>à</strong><br />
partir d'<strong>une</strong> source unique et fiable. Ou peut-être que<br />
les données n'ont même jamais été capturées par le<br />
système <strong>SIEM</strong> et ne peuvent par conséquent pas du<br />
tout être extraites.<br />
– Si les événements critiques ne sont pas résolus<br />
rapidement, cela peut être dû <strong>à</strong> des processus de<br />
workflow inadéquats ou fragmentés. Souvent, ces<br />
problèmes sont dus <strong>à</strong> des défauts structurels de la<br />
<strong>solution</strong> <strong>SIEM</strong> - ou parce que la fonctionnalité intégrée<br />
serait trop coûteuse <strong>à</strong> mettre en place dans votre<br />
environnement réel.<br />
L'objectif d'<strong>une</strong> <strong>solution</strong> <strong>SIEM</strong> n'est<br />
pas de remplacer vos équipes par<br />
des technologies, mais de les rendre<br />
plus productives et efficaces <strong>pour</strong><br />
remplir leur mission.<br />
Recommandation n°2 : Prendre en<br />
considération les éléments suivants, critiques<br />
<strong>pour</strong> les opérations de sécurité<br />
Trois attributs <strong>solution</strong> sont essentiels <strong>pour</strong> répondre aux<br />
défauts des systèmes <strong>SIEM</strong> les plus couramment<br />
rencontrés en ce qui concerne le support des opérations<br />
de sécurité. Il s'agit de la capacité <strong>à</strong> capturer et analyser<br />
en temps réel les données, <strong>à</strong> collecter tous les<br />
événements (qu'ils soient de sécurité ou d'opérations sur<br />
l'ensemble du réseau), et enfin <strong>à</strong> disposer d'outils<br />
d'investigation efficaces.<br />
Puissance des fonctions d'acquisition et d'analyse<br />
Toute <strong>solution</strong> <strong>SIEM</strong> doit être en mesure d'effectuer avec<br />
la même efficacité les deux fonctions clés suivantes :<br />
– En temps-réel capturer et analyser les données de<br />
journalisation entrantes afin de supporter la détection<br />
des menaces et leur ré<strong>solution</strong> en temps réel.<br />
– Rapidité <strong>pour</strong> consulter et produire des rapports sur<br />
des données précédemment capturées afin qu'elles<br />
puissent être aisément analysées « sous toutes les<br />
coutures » <strong>pour</strong> les besoins d'investigation numérique<br />
légale, d'opérations réseau, de conformité ou de<br />
découvertes juridiques.<br />
La plupart des <strong>solution</strong>s peuvent être optimisées afin<br />
d'accomplir l'<strong>une</strong> ou l'autre de ces deux tâches<br />
parfaitement, mais jamais les deux <strong>à</strong> la fois, ce qui oblige<br />
le fournisseur <strong>à</strong> favoriser l'<strong>une</strong> des fonctions par rapport <strong>à</strong><br />
l'autre. En revanche, la plate-forme <strong>RSA</strong> enVision® est<br />
Livre Blanc <strong>RSA</strong><br />
1
<strong>SIEM</strong> <strong>pour</strong> la sécurité : Brève présentation<br />
Malgré la diversité des architectures, des<br />
fonctionnalités et des options intégrées dans les<br />
plates-formes <strong>SIEM</strong>, toutes répondent au même<br />
objectif. Selon le cabinet Gartner « les utilisateurs<br />
finaux ont besoin d'analyser les données<br />
d'événements de sécurité en temps réel (<strong>pour</strong> la<br />
gestion des menaces, commençant par les<br />
événements réseau) et de produire des analyses et<br />
des rapports sur les données journalisées (<strong>pour</strong><br />
surveiller la conformité avec la politique de<br />
sécurité, avec un premier focus sur les événements<br />
des applications et sites hôtes) ».<br />
Les <strong>solution</strong>s <strong>SIEM</strong> automatisent et rationalisent le<br />
processus de collecte des logs d'événements - y<br />
compris mais non limités aux événements de<br />
sécurité - depuis diverses sources <strong>à</strong> travers le<br />
réseau. Ces produits ont recours <strong>à</strong> des techniques<br />
d'agrégation de données et de corrélation<br />
d'événements <strong>pour</strong> analyser les données afin<br />
d'identifier les menaces de sécurité connues et de<br />
déceler les comportements anormaux susceptibles<br />
d'indiquer un problème. En déclenchant des alertes,<br />
<strong>une</strong> <strong>solution</strong> <strong>SIEM</strong> peut activer des processus<br />
automatiques ou manuels afin de rechercher et<br />
maîtriser toute attaque suspecte ou reconnue.<br />
En outre, les <strong>solution</strong>s <strong>SIEM</strong> facilitent les investigations<br />
numériques légales (forensics) et simplifient le<br />
processus de réponse aux requêtes d'audit. Ces platesformes<br />
incluent également de plus en plus<br />
couramment des fonctions de gestion et d'archivage<br />
de logs, ce qui facilite la conformité aux dispositions<br />
légales de rétention des données <strong>à</strong> long terme.<br />
La plupart des plates-formes <strong>SIEM</strong> se présentent<br />
sous forme de <strong>solution</strong>s logicielles ou d'appliances<br />
optimisées <strong>pour</strong> simplifier le déploiement ; c'est sur<br />
ce dernier modèle qu'est basée la plate-forme<br />
enVision de <strong>RSA</strong>. En général, les produits incluent un<br />
logiciel serveur, <strong>une</strong> console de gestion centralisée<br />
en mode web, et dans la plupart des cas, un logiciel<br />
agent qui doit être déployé sur les dispositifs <strong>à</strong><br />
surveiller ou <strong>à</strong> côté d'eux. De nombreuses <strong>solution</strong>s<br />
incluent des capacités de stockage additionnelles et<br />
des référentiels de données servant <strong>à</strong> stocker et<br />
gérer les données d'événements.<br />
Les <strong>solution</strong>s <strong>SIEM</strong> ne peuvent, par elles-mêmes,<br />
empêcher ni minimiser les attaques, et les clients qui<br />
s'attendent <strong>à</strong> ce qu'elles le fassent risquent d'être<br />
déçus. Toutefois, lorsqu'elles sont déployées dans un<br />
écosystème de sécurité complet qui supporte le<br />
travail des analystes de sécurité, les <strong>solution</strong>s <strong>SIEM</strong><br />
jouent un rôle capital dans la détection et l'analyse<br />
des menaces, les mesures correctives, les<br />
investigations et les rapports de conformité.<br />
2 Ibid.<br />
2 Livre Blanc <strong>RSA</strong><br />
conçue de manière <strong>à</strong> répondre de façon équilibrée <strong>à</strong> ces<br />
besoins, avec des fonctions de collecte, d'analyse et de<br />
requête étroitement imbriquées les <strong>une</strong>s aux autres dans<br />
<strong>une</strong> technologie de base de données orientée objet qui<br />
assure flexibilité et performances optimales.<br />
Accéder <strong>à</strong> Toutes les données…<br />
La plupart des <strong>solution</strong>s n'analysent pas les données<br />
d'événements brutes lors de leur acquisition parce que<br />
cela se traduirait par un ralentissement considérable et<br />
inacceptable des performances. Au contraire, en<br />
normalisant et prétraitant les données, elles les réduisent<br />
<strong>à</strong> un sous ensemble d'exceptions qui seront les seules <strong>à</strong><br />
être analysées. Pire, certaines <strong>solution</strong>s suppriment même<br />
toutes les autres données restantes, empêchant alors<br />
toute possibilité d'utilisation ultérieure <strong>pour</strong> des actions<br />
d'investigation, d'audit ou de reporting. D'autres <strong>solution</strong>s<br />
choisissent de conserver les données événementielles<br />
brutes, mais dans un référentiel séparé - mal intégré aux<br />
fonctions de requête et de reporting. Cela peut entraver<br />
considérablement les tâches d'analyse et de reporting des<br />
données historiques de journalisation.<br />
Assurez-vous que la <strong>solution</strong> que vous choisissez élimine<br />
ce problème en collectant et conservant toutes les<br />
données d'événements <strong>pour</strong> <strong>une</strong> utilisation ultérieure.<br />
Ainsi chaque fois que vous écrirez de nouvelles règles de<br />
corrélation <strong>pour</strong> répondre <strong>à</strong> de nouvelles menaces, ou <strong>à</strong><br />
de nouveaux besoins de reporting ou d'audit, ces règles<br />
seront immédiatement opérationnelles sur toutes les<br />
données concernées, optimisant la précision des alertes et<br />
vous permettant de ré-analyser des événements<br />
antérieurs.<br />
Robustesse des outils d'investigation et des workflows<br />
Les outils d'investigation et de workflow jouent un rôle<br />
critique <strong>pour</strong> maximiser la productivité des équipes en<br />
charge des opérations de sécurité. Ils permettent la<br />
ré<strong>solution</strong> d'un plus grand nombre d'incidents et réduisent<br />
le temps moyen imparti aux investigations et aux<br />
ré<strong>solution</strong>s. Des outils d'investigation robustes et<br />
ergonomiques offriront <strong>à</strong> vos analystes la visibilité, la<br />
flexibilité et la puissance de traitement dont ils ont besoin<br />
<strong>pour</strong> « rejouer » les événements auxquels ils s'intéressent,<br />
<strong>pour</strong> filtrer les données événementielles selon diverses<br />
variables et <strong>pour</strong> reconstruire les événements<br />
opérationnels et de sécurité de bout en bout.
Les outils de workflow doivent être suffisamment flexibles<br />
<strong>pour</strong> prendre en charge et simplifier les processus<br />
d'investigation actuels de vos équipes. Ils doivent en<br />
même temps, permettre de gérer aisément les<br />
modifications imprévues des processus qui <strong>pour</strong>raient être<br />
implémentées dans le futur. Les fonctions de workflow<br />
doivent englober l'intégralité du cycle de vie des<br />
investigations - depuis l'identification et l'investigation<br />
initiale, en passant par le routage vers les membres de<br />
l'équipe les plus <strong>à</strong> même de traiter le problème, l'escalade<br />
automatique des incidents de haute priorité ou difficile <strong>à</strong><br />
résoudre, et jusqu'<strong>à</strong> la ré<strong>solution</strong>, la fermeture et<br />
l'archivage. Une intégration directe avec les principaux<br />
systèmes de génération de tickets d'incidents - tels que<br />
Peregrine et Remedy - permet de transférer en toute<br />
transparence les incidents actifs et toute l'investigation<br />
conséquente au « système d'enregistrement » corporate<br />
<strong>pour</strong> le suivi des événements et tickets d'incidents.<br />
Recommandation n°3 : Intégrer les exigences<br />
stratégiques au processus de sélection<br />
De plus en plus, l'efficacité des professionnels de la<br />
sécurité est déterminée par leur capacité <strong>à</strong> évoluer vers un<br />
nouveau rôle, c'est-<strong>à</strong>-dire de passer de protecteurs des<br />
ressources informationnelles de l'entreprise en initiateurs<br />
d'innovation et de réussite. Le choix d'<strong>une</strong> <strong>solution</strong> <strong>SIEM</strong><br />
nécessite donc non seulement de répondre aux exigences<br />
immédiates mais aussi de s'aligner avec les besoins<br />
métier stratégiques. Par exemple, la plate-forme doit<br />
intégrer suffisamment de fonctionnalités dans les trois<br />
principaux composants d'<strong>une</strong> <strong>solution</strong> <strong>SIEM</strong> - sécurité,<br />
conformité et opérations réseaux - de sorte qu'<strong>une</strong><br />
<strong>solution</strong> unique réponde <strong>à</strong> ces trois besoins, réduisant par<br />
conséquent les coûts et la complexité. Les éléments<br />
stratégiques <strong>à</strong> <strong>considérer</strong> incluent :<br />
– Les nouvelles initiatives métier, telles qu'<strong>une</strong><br />
acquisition, la mise en œuvre d'un service d'e-business<br />
important ou l'expansion d'un écosystème partenaire,<br />
ajoutent de nouvelles fonctions et de nouvelles<br />
exigences d'exploitation sur le réseau et créent de<br />
nouvelles zones de risques de sécurité. Une <strong>solution</strong><br />
<strong>SIEM</strong> doit être en mesure de planifier toutes ces zones<br />
Les outils d'investigation et de<br />
workflow jouent un rôle critique<br />
<strong>pour</strong> maximiser la productivité de<br />
l'équipe en charge des opérations<br />
de sécurité.<br />
en s'appuyant sur les données événementielles<br />
existantes <strong>pour</strong> vous aider <strong>à</strong> définir vos stratégies en<br />
termes d'opérations de sécurité et réseau. Et bien<br />
entendu, <strong>une</strong> fois ces initiatives en place, la <strong>solution</strong><br />
doit être en mesure de s'interfacer aisément avec de<br />
nouvelles sources d'événements <strong>pour</strong> capturer les<br />
données événementielles des opérations de sécurité et<br />
réseau que ces sources génèrent.<br />
– Conformité. Vous devez disposer d'<strong>une</strong> flexibilité<br />
suffisante <strong>pour</strong> répondre aux exigences de conformité<br />
nouvelles ou non prévues. Pour cela, il faut pouvoir<br />
consulter les événements précédemment capturés, et<br />
notamment ceux qui ne présentent actuellement aucun<br />
intérêt <strong>pour</strong> les régulateurs, mais qui peuvent se révéler<br />
d'<strong>une</strong> importance capitale <strong>pour</strong> de futurs audits. La<br />
collecte et la sauvegarde de tous ces événements de<br />
sécurité, et pas seulement les données se rapportant<br />
aux menaces et exigences de conformité actuelles, sont<br />
<strong>une</strong> étape obligatoire <strong>pour</strong> répondre aux exigences des<br />
audits futurs.<br />
– Gestion du risque informationnel. De plus en plus, les<br />
entreprises développent des approches <strong>pour</strong> identifier<br />
et mesurer où se situent leurs plus grands risques<br />
informationnels ( par exemple où résident les données<br />
critiques et où sont-elles les plus vulnérables) et<br />
utilisent ces informations <strong>pour</strong> prioriser les<br />
investissements en matière de sécurité. Votre<br />
fournisseur <strong>SIEM</strong> doit avoir <strong>une</strong> vision <strong>pour</strong> supporter la<br />
gestion du risque informationnel et <strong>une</strong> feuille de route<br />
définissant de façon claire et précise comment la<br />
3 Gartner, Dataquest Insight : Analyse prévisionnelle dans la sécurité des<br />
informations et la gestion des événements, <strong>à</strong> l'échelle mondiale, 2007-2012<br />
par Ruggero Contu et Mark Nicolett, 5 mars 2008<br />
Livre Blanc <strong>RSA</strong><br />
3
<strong>solution</strong> <strong>SIEM</strong> et les autres éléments de l'infrastructure<br />
de sécurité doivent inter-opérer <strong>pour</strong> former un<br />
écosystème de sécurité qui réduise systématiquement<br />
les risques informationnels.<br />
Ces exigences globales vous permettront de définir un<br />
cadre d'évaluation des diverses <strong>solution</strong>s du marché. Vous<br />
aurez ainsi la certitude que les fonctions de sécurité et les<br />
priorités métier sont toutes deux prises en compte<br />
correctement dans votre processus de sélection.<br />
Recommandation n°4 : Une <strong>solution</strong> <strong>SIEM</strong><br />
doit s'intégrer facilement <strong>à</strong> l'ensemble de<br />
l'environnement.<br />
Comme beaucoup d'observateurs de l'industrie l'ont<br />
remarqué, le marché tend <strong>à</strong> s'éloigner nettement de<br />
l'assemblage de <strong>solution</strong>s multiples <strong>pour</strong> traiter la sécurité<br />
et la conformité, l'imbrication de divers produits s'avérant<br />
coûteuse, difficile <strong>à</strong> gérer et pire n'offre qu'<strong>une</strong> visibilité<br />
très réduite <strong>à</strong> travers les environnements complexes.<br />
Désormais les clients optent <strong>pour</strong> des <strong>solution</strong>s <strong>SIEM</strong><br />
intégrées <strong>à</strong> <strong>une</strong> offre plus large proposée par les plus gros<br />
fournisseurs de technologie du marché. Selon le cabinet<br />
Gartner, « la consolidation semble être le maître-mot sur<br />
le marché des <strong>solution</strong>s <strong>SIEM</strong>, les grands fournisseurs<br />
faisant l'acquisition des meilleures technologies <strong>pour</strong><br />
étendre leur portefeuille produit en matière de sécurité.<br />
Cette évolution du marché a influencé les tendances<br />
d'achat faisant que les utilisateurs acquièrent de plus en<br />
plus des <strong>solution</strong>s <strong>SIEM</strong> en complément de produits de<br />
sécurité de spectre plus large ». Gartner constate que la<br />
facilité de déploiement et l'intégration réussie avec<br />
l'infrastructure existante du client deviennent des facteurs<br />
de plus en plus importants dans la sélection d'un produit.<br />
Maximiser la visibilité des sources de données<br />
événementielles<br />
En tant que composant du portefeuille de <strong>solution</strong>s de<br />
sécurité <strong>RSA</strong>, <strong>RSA</strong> enVision est en parfaite adéquation<br />
avec ces tendances et excelle dans un domaine<br />
particulièrement vital : la visibilité des sources<br />
d'événements. La plupart des <strong>solution</strong>s <strong>SIEM</strong> n'offrent<br />
qu'<strong>une</strong> visibilité restreinte <strong>à</strong> un sous-ensemble de<br />
l'environnement. Certaines se concentrent sur le réseau,<br />
3 NetworkWorld IT Buyer's Guide<br />
http://www.networkworld.com/buyersguides/guide.php?cat=865479<br />
4 Livre Blanc <strong>RSA</strong><br />
d'autres sur le système d'exploitation et d'autres encore<br />
sur le serveur. Dans tous ces cas, vous êtes forcés de<br />
composer avec des « angles morts » ou d'entreprendre de<br />
coûteuses intégrations afin d'élargir votre vision sur les<br />
événements liés aux opérations de sécurité et réseau.<br />
La plate-forme enVision de <strong>RSA</strong> supporte en standard et<br />
dès son démarrage l'<strong>une</strong> des gammes les plus étendues<br />
de sources d'événements, notamment :<br />
– Sécurité du périmètre (ex: pare-feux et systèmes de<br />
détection des intrusions)<br />
– Autres outils de sécurité (ex: gestion des identités et<br />
des accès)<br />
– Périphériques réseau (ex: routeurs et commutateurs)<br />
– Outils d'administration réseau (ex: gestion des<br />
configurations).<br />
– Mainframes et serveurs<br />
– Stockage<br />
– Applications métier (ex: SAP)<br />
– Bases de données et systèmes d'exploitation<br />
En outre, grâce <strong>à</strong> son « Universal Event Source Support »,<br />
la technologie <strong>RSA</strong> enVision permet d'ajouter de nouvelles<br />
sources d'événements, y compris des applications et des<br />
périphériques propriétaires, sans qu'auc<strong>une</strong><br />
programmation ne soit nécessaire. Lorsqu'elle dispose<br />
d'<strong>une</strong> visibilité la plus étendue possible de votre<br />
environnement, <strong>une</strong> <strong>solution</strong> <strong>SIEM</strong> est mieux positionnée<br />
<strong>pour</strong> détecter la gamme complète d'événements<br />
nécessitant <strong>une</strong> investigation ou <strong>une</strong> action corrective.<br />
Le choix d'<strong>une</strong> <strong>solution</strong> <strong>SIEM</strong><br />
doit non seulement répondre<br />
aux exigences immédiates mais<br />
aussi s'aligner avec les besoins<br />
métier stratégiques.
Recommandation n°5 : Compléter la<br />
corrélation des événements par d'autres<br />
sources d'« intelligence »<br />
La corrélation des événements est l'un des <strong>aspects</strong><br />
importants de toute <strong>solution</strong> <strong>SIEM</strong>, car elle prend en<br />
charge le surcroît d'informations causé par un torrent<br />
incessant de journaux d'événements. Lorsqu'on applique<br />
des règles de corrélation, un moteur de corrélation filtre<br />
les données externes, reconnaît les schémas qui suggèrent<br />
<strong>une</strong> activité anormale ou suspecte et consolide les<br />
données concernées en « événements <strong>à</strong> suivre » <strong>pour</strong> <strong>une</strong><br />
gestion par les analystes sécurité ou les administrateurs<br />
réseau. Lorsqu'elle est optimisée <strong>pour</strong> l'environnement<br />
spécifique du client, la combinaison des règles de<br />
corrélation d'événements avec un moteur de corrélation<br />
réduit considérablement le nombre total d'événements et<br />
d'alarmes, supprime les faux positifs et augmente la<br />
fiabilité des événements de très haute priorité nécessitant<br />
<strong>une</strong> action.<br />
Il est primordial de choisir <strong>une</strong> <strong>solution</strong> qui collecte<br />
l'ensemble des journaux et dont le moteur de corrélation<br />
soit <strong>à</strong> même de traiter en temps réel, toutes les données<br />
d'événements entrants et <strong>à</strong> travers toutes les<br />
localisations. Tout retard ou délai réduit votre capacité <strong>à</strong><br />
reconnaître les menaces et <strong>à</strong> y répondre immédiatement.<br />
Pire encore, si la corrélation ne porte que sur un sousensemble<br />
de données, vous pouvez complètement passer<br />
<strong>à</strong> côté d'<strong>une</strong> alerte de sécurité critique. La plate-forme<br />
<strong>RSA</strong> enVision est dotée d'un puissant moteur de<br />
corrélation, qui se combine <strong>à</strong> <strong>une</strong> faculté de collecter<br />
d'énormes volumes de données <strong>à</strong> partir de tous les<br />
emplacements, <strong>pour</strong> offrir un traitement en temps réel qui<br />
alerte au sujet des événements <strong>à</strong> haute priorité au<br />
moment même où ceux-ci se produisent.<br />
Etre prêt <strong>à</strong> personnaliser les règles de corrélation en<br />
fonction des spécificités de son environnement<br />
Il est capital de disposer d'<strong>une</strong> compréhension réaliste<br />
des efforts requis <strong>pour</strong> optimiser la corrélation des<br />
événements. Les règles de corrélation - qui prédéfinissent<br />
les schémas, les scénarios et les relations entre<br />
événements <strong>pour</strong> lesquels <strong>une</strong> attention toute particulière<br />
est requise - sont un mécanisme clé dans la corrélation<br />
d'événements. Les modèles pré-intégrés et les règles de<br />
corrélation par défaut permettent de rationaliser le<br />
processus de création des règles par les analystes de<br />
sécurité mais ne vont guère plus loin.<br />
Comme l'a expliqué Network World3, « il faut déterminer<br />
avec précision ce qui est réellement primordial <strong>pour</strong><br />
l'entreprise, <strong>pour</strong> ensuite écrire ou activer des règles qui<br />
rendront le produit opérationnel. Les utilisateurs doivent<br />
accepter de « t<strong>une</strong>r » le produit avant de le mettre en<br />
route, et ceci de façon continuelle afin de s'assurer qu'il<br />
continuera <strong>à</strong> réduire efficacement le bruit des nonévénements<br />
et <strong>à</strong> identifier les événements critiques <strong>pour</strong><br />
la sécurité de l'environnement ».<br />
Importance du contexte <strong>pour</strong> l'écriture des règles<br />
Essayer d'anticiper et d'écrire des règles de corrélation<br />
<strong>pour</strong> répondre aux scénarios d'attaques théoriques futures<br />
abouti souvent <strong>à</strong> un échec, qui peut par exemple se<br />
traduire par un accroissement du volume des alarmes, un<br />
nombre élevé de faux positifs et d'alertes de faible<br />
priorité. C'est un peu comme si l'on essayait de prédire <strong>à</strong><br />
quel endroit, dans le futur, il faudrait rechercher <strong>une</strong><br />
aiguille dans <strong>une</strong> botte de foin…<br />
Les règles de corrélation sont plus efficaces et plus<br />
précises lorsqu'elles sont étayées par des données réelles<br />
sur votre environnement et combinées avec des<br />
informations contextuelles délivrées par d'autres outils,<br />
Il est capital de disposer d'<strong>une</strong> compréhension réaliste des<br />
efforts requis <strong>pour</strong> optimiser la corrélation des événements.<br />
Les modèles pré-intégrés et les règles de corrélation par<br />
défaut permettent de rationaliser le processus de création<br />
des règles par les analystes sécurité mais ne vont guère<br />
plus loin…<br />
Livre Blanc <strong>RSA</strong><br />
5
telles que les informations sur les menaces émergentes,<br />
les données de vulnérabilité, les ressources, les<br />
informations de niveau applications et les informations de<br />
gestion des identités.<br />
Par exemple, un événement de sécurité tel qu'un échec<br />
d'authentification sur un serveur Windows peut être<br />
considéré comme ayant <strong>une</strong> haute priorité. Cependant, cet<br />
événement combiné <strong>à</strong> la ressource concernée donnera <strong>une</strong><br />
indication contextuelle supplémentaire. Si les données sur<br />
cette ressource indiquent que celle-ci n'a que peu de<br />
valeur, l'échec de l'authentification résulte sur un<br />
événement de faible priorité.<br />
Recommandation n°6 : Administrer le cycle de<br />
vie des informations journalisées<br />
Le stockage des données de logs est l'un des éléments<br />
critiques de toute <strong>solution</strong> <strong>SIEM</strong>. Au fil du temps, les<br />
données des logs vont s'accumuler <strong>à</strong> un rythme accéléré,<br />
causé par deux principaux facteurs :<br />
– L'augmentation du nombre de périphériques et<br />
d'applications sur votre réseau<br />
– Les contraintes réglementaires <strong>pour</strong> la rétention des<br />
données d'événements de sécurité<br />
Et augmentant potentiellement vos soucis de stockage,<br />
certaines <strong>solution</strong>s exigent des prétraitements lourds, de<br />
l'indexation et la définition de métadonnées <strong>pour</strong><br />
supporter l'analyse des événements. Autant d'opérations<br />
qui peuvent multiplier les besoins de stockage (par un<br />
facteur de dix) et augmenter d'autant les coûts de gestion<br />
de stockage au cours de la durée de vie de votre <strong>solution</strong>.<br />
Vous devez vous assurer que la <strong>solution</strong> que vous<br />
choisissez possède des options adaptées de cycle de vie<br />
des données. Il existe au moins un fournisseur d'appliance<br />
majeur qui propose uniquement un stockage embarqué<br />
des données d'événements. Ainsi <strong>une</strong> <strong>solution</strong> bien<br />
conçue doit supporter les réseaux de stockage SAN et<br />
NAS. Ceci vous permet d'avoir <strong>une</strong> <strong>solution</strong> plus flexible,<br />
moins coûteuse et qui sera également plus résistante d'un<br />
point de vue disponibilité et reprise après incident.<br />
6 Livre Blanc <strong>RSA</strong><br />
En tant que Division Sécurité d'EMC - leader mondial dans<br />
la fourniture et le développement de technologies et<br />
<strong>solution</strong>s d'infrastructure des informations - <strong>RSA</strong> apporte<br />
son expertise inégalée en matière de stockage et<br />
d'innovations aux <strong>solution</strong>s <strong>SIEM</strong>. Par exemple, <strong>une</strong><br />
approche de stockage multi-niveau vous permet de stocker<br />
les données d'événements sur des périphériques de<br />
stockage moins coûteux au fil du temps, <strong>à</strong> mesure que le<br />
besoin d'accès <strong>à</strong> ces données diminue, tout en vous<br />
garantissant toujours <strong>une</strong> visibilité complète et <strong>une</strong><br />
extraction aisée de ces données, <strong>pour</strong> des besoins<br />
juridiques, de découverte, réglementaires ou de forensics.<br />
En offrant <strong>une</strong> compression allant jusqu'<strong>à</strong> 70 %, sans <strong>pour</strong><br />
autant altérer les performances, la <strong>solution</strong> EMC/<strong>RSA</strong> réduit<br />
encore plus vos coûts de stockage sur la durée de vie.<br />
Recommandation n°7 : Comprendre les<br />
véritables coûts de la <strong>solution</strong><br />
Avant de vous engager sur le choix d'<strong>une</strong> <strong>solution</strong><br />
spécifique, vous devez comprendre quels en seront les<br />
coûts initiaux et sur le long terme. La <strong>solution</strong> doit<br />
répondre <strong>à</strong> vos besoins initiaux <strong>pour</strong> un coût minimal -<br />
afin de vous assurer que vous n'engagez pas des frais<br />
disproportionnés par rapport aux bénéfices que vous allez<br />
en retirer - tout en vous permettant d'élargir le<br />
déploiement <strong>à</strong> l'ensemble de l'entreprise <strong>à</strong> un coût<br />
raisonnable. Outre le coût de stockage précédemment<br />
évoqué, vous devez être certain de maîtriser parfaitement<br />
les divers éléments facturés :<br />
– Matériel Serveur. Pour les <strong>solution</strong>s composées<br />
uniquement de logiciels, il s'agit presque toujours d'un<br />
coût complémentaire.<br />
– Frais de licence logicielle. Quels sont les coûts initiaux<br />
et les coûts récurrents <strong>pour</strong> le cœur de la plate-forme,<br />
le logiciel agent et les produits tiers tels que les bases<br />
de données?<br />
– Support des sources événementielles. Quelles sources<br />
sont supportées, et quel est le coût <strong>pour</strong> l'ajout de<br />
sources complémentaires en type et en nombre?
– Modules optionnels. Quels sont les modules de<br />
reporting, d'alerte et d'audit inclus dans le prix<br />
proposé, et quel est le coût de tout module optionnel<br />
dont vous <strong>pour</strong>riez avoir besoin <strong>pour</strong> répondre <strong>à</strong> vos<br />
objectifs en terme de fonctionnalités attendues de la<br />
<strong>solution</strong>?<br />
– Coût de personnel. Tout particulièrement lorsque vous<br />
parlez <strong>à</strong> <strong>une</strong> référence fournie par le vendeur, explorez<br />
franchement et très précisément quelles sont les<br />
ressources humaines spécialisées nécessaires au<br />
déploiement et au support de la <strong>solution</strong>.<br />
Cela peut inclure les analystes sécurité, les consultants<br />
travaillant <strong>à</strong> l'intégration, les ressources de support des<br />
bases de données et des plates-formes, et un support<br />
permanent de milliers d'agents logiciels. Les coûts de<br />
personnel représentent <strong>une</strong> portion significative de tout<br />
projet et les besoins d'opérations complexes et<br />
d'intégration peuvent conduire <strong>à</strong> beaucoup de frais<br />
imprévus (et non budgétés).<br />
– Evolutivité et logiciels. Quels sont les coûts associés <strong>à</strong><br />
l'expansion de votre capacité <strong>à</strong> gérer un plus gros<br />
volume de données d'événements ou <strong>à</strong> la mise <strong>à</strong> jour<br />
d'<strong>une</strong> <strong>solution</strong> 100% logicielle?<br />
Afin de réduire les risques du projet, demandez <strong>à</strong> votre<br />
fournisseur un devis ferme et définitif incluant ces<br />
éléments de coût, et statuant clairement que la<br />
configuration initiale proposée prendra en charge de<br />
manière fiable le volume d'événements que vous<br />
anticipez.<br />
<strong>RSA</strong>, enVision et <strong>RSA</strong> Security sont des marques ou marques déposées de <strong>RSA</strong><br />
Security Inc. aux États-Unis et/ou dans d'autres pays. EMC est <strong>une</strong> marque<br />
déposée d'EMC Corporation. Tous les autres produits et services mentionnés sont<br />
des marques appartenant <strong>à</strong> leurs détenteurs respectifs. © 2008 <strong>RSA</strong> Security Inc.<br />
Tous droits réservés.<br />
7<strong>SIEM</strong> WP 0708<br />
Certaines <strong>solution</strong>s exigent des<br />
prétraitements lourds, de<br />
l'indexation et la définition de<br />
métadonnées <strong>pour</strong> supporter<br />
l'analyse des événements. Autant<br />
d'opérations qui peuvent multiplier<br />
les besoins de stockage - par un<br />
facteur de dix.<br />
À propos de <strong>RSA</strong><br />
<strong>RSA</strong>, la Division Sécurité d'EMC, est le premier fournisseur<br />
de <strong>solution</strong>s de sécurité <strong>pour</strong> l'accélération métier et le<br />
partenaire privilégié des plus grandes entreprises<br />
mondiales <strong>pour</strong> résoudre leurs challenges de sécurité les<br />
plus pressants, complexes et sensibles. L'approche de la<br />
sécurité centrée sur l'information prônée par <strong>RSA</strong> garantit<br />
l'intégrité et la confidentialité de l'information tout au long<br />
de son cycle de vie - quels que soient ses cheminements,<br />
ses consommateurs ou ses modalités d'utilisation.<br />
<strong>RSA</strong> propose des <strong>solution</strong>s leaders d'assurance des<br />
identités et de contrôle d'accès ; de prévention des pertes<br />
de données ; de cryptage et de gestion des clés ; de<br />
gestion de la conformité et des informations de sécurité et<br />
enfin de protection contre la fraude. Cette large gamme de<br />
<strong>solution</strong>s certifie l'identité de millions d'utilisateurs dans<br />
le monde et des données qu'ils génèrent lors de leurs<br />
transactions quotidiennes. Pour plus d'informations,<br />
veuillez consulter www.<strong>RSA</strong>.com et www.EMC.com.<br />
Livre Blanc <strong>RSA</strong><br />
7