Quest-ce quun logiciel SIEM?
Le logiciel de gestion des informations et des événements de sécurité (SIEM) donne aux professionnels de la sécurité dentreprise à la fois un aperçu et une historique des activités au sein de leur environnement informatique.
La technologie SIEM existe depuis plus dune décennie, évoluant initialement de la discipline de gestion des journaux. Il combine la gestion des événements de sécurité (SEM) – qui analyse les données des journaux et des événements en temps réel pour fournir une surveillance des menaces, la corrélation des événements et la réponse aux incidents – avec la gestion des informations de sécurité (SIM) qui collecte, analyse et établit des rapports sur les données des journaux.
Fonctionnement de SIEM
Le logiciel SIEM collecte et agrège les données de journal générées dans l’ensemble de l’infrastructure technologique de l’organisation, des systèmes hôtes et des applications aux dispositifs de réseau et de sécurité tels que pare-feu et filtres antivirus.
Le logiciel identifie et catégorise ensuite les incidents et événements, et les analyse. Le logiciel répond à deux objectifs principaux:
- fournir des rapports sur les incidents et événements liés à la sécurité, tels que les connexions réussies et échouées, lactivité des logiciels malveillants et dautres activités malveillantes possibles et
- envoyer des alertes si lanalyse montre quune activité sexécute par rapport à des ensembles de règles prédéterminés et indique ainsi un problème de sécurité potentiel.
Le besoin de lentreprise pour une meilleure gestion de la conformité a conduit une grande partie des l’adoption précoce de cette technologie, déclare Paula Musich, directrice de recherche chez Enterprise Management Associates (EMA), une société d’études de marché et de conseil basée à Boulder, au Colorado.
«Les auditeurs avaient besoin d’un moyen de vérifier si la conformité était satisfaite ou non, et SIEM a assuré le suivi et les rapports nécessaires pour remplir des mandats tels que HIPPA, SOX et PCI DSS », dit-elle, faisant référence à la loi sur la portabilité et la responsabilité de lassurance maladie, la loi Sarbanes-Oxley et les données de lindustrie des cartes de paiement Norme de sécurité.
Cependant, ex Selon certains, la demande des entreprises pour des mesures de sécurité accrues a alimenté davantage le marché du SIEM ces dernières années.
«Aujourdhui, les grandes entreprises se tournent généralement vers le SIEM comme base pour renforcer le centre des opérations de sécurité», déclare Musich.
Analytique et intelligence
Lun des principaux moteurs de lutilisation du logiciel SIEM pour les opérations de sécurité réside dans les nouvelles capacités contenues dans de nombreux produits sur le
« Aujourdhui, de nombreuses technologies SEIM intègrent des flux dinformations sur les menaces en plus des données de journal traditionnelles, et il existe plusieurs produits SIEM dotés de capacités danalyse de sécurité qui examinent le comportement du réseau ainsi que donner plus dinformations sur le fait quune activité indique une activité malveillante », explique Musich.
En effet, le cabinet de recherche technologique Gartner, dans son rapport de mai 2017 sur le marché mondial du SIEM, fait état de lintelligence des outils SIEM, affirmant que« linnovation en le marché SIEM bouge g à un rythme passionnant pour créer un meilleur outil de détection des menaces. »
Le rapport Gartner note en outre que les fournisseurs introduisent lapprentissage automatique, lanalyse statistique avancée et dautres méthodes analytiques dans leurs produits, tandis que certains expérimentent également avec intelligence artificielle et capacités dapprentissage en profondeur.
Selon Gartner, les fournisseurs commercialisent des avancées telles que des capacités qui peuvent fournir des taux de détection plus précis à un rythme plus rapide. Cependant, Gartner souligne que les entreprises ne savent pas encore clairement si, ou dans quelle mesure, ces capacités génèrent de nouveaux rendements pour lorganisation.
Rob Stroud, analyste principal chez Forrester Research et ancien président du conseil dadministration avec LISACA, une association professionnelle internationale axée sur la gouvernance informatique, dit quil voit des promesses dans de telles technologies.
« Avec lIA et lapprentissage automatique, nous pouvons faire des inférences et une surveillance et des alertes basées sur des modèles, mais la véritable opportunité est la restauration prédictive. Il sagit de la transition sur le marché actuellement. Cela passe dun outil de surveillance à des suggestions de remédiation », déclare Stroud, ajoutant quil sattend à ce que le logiciel SIEM soit même en mesure dautomatiser la correction à lavenir.
Le SIEM dans lentreprise
Le logiciel SIEM ne capte quune petite partie du montant total dépensé pour la sécurité dentreprise dans le monde, selon Gartner. Gartner estime les dépenses mondiales en sécurité dentreprise à près de 98,4 milliards de dollars pour 2017, avec le logiciel SIEM récoltant environ 2,4 milliards de dollars. Gartner prévoit que les dépenses consacrées à la technologie SIEM augmenteront légèrement pour atteindre près de 2,6 milliards de dollars en 2018 et 3,4 milliards de dollars en 2021.
Les logiciels SIEM sont principalement utilisés par les grandes organisations et les entreprises publiques, où la conformité La réglementation reste un facteur important dans lutilisation de cette technologie, selon les analystes.
Alors que certaines entreprises de taille moyenne ont également des logiciels SIEM, les petites entreprises nont pas tendance à en avoir besoin ni à y investir.Les analystes affirment que lachat de leur propre solution leur coûte souvent cher, car son coût annuel peut aller de dizaines de milliers à plus de 100 000 $. De plus, les petites entreprises nont pas la capacité dembaucher les talents nécessaires pour maintenir en permanence les logiciels SIEM.
Cela dit, les analystes notent également que certaines petites et moyennes entreprises ont fourni le SIEM comme une offre de logiciel en tant que service par le biais de fournisseurs dexternalisation suffisamment importants pour vendre ce service à leurs clients PME.
Actuellement, les grandes entreprises ont tendance à toujours exécuter le logiciel SIEM sur site, en raison de la sensibilité de certaines des données transitant par le système. «Vous enregistrez des éléments sensibles, et ce nest pas quelque chose que les gens ont beaucoup dappétit pour envoyer sur Internet», déclare John Hubbard, analyste principal du US Security Operations Center de GlaxoSmithKline et instructeur au SANS Institute, une organisation de sécurité
Cependant, à mesure que les capacités dapprentissage automatique et dintelligence artificielle des produits SIEM augmentent, certains analystes sattendent à ce que les fournisseurs de SIEM proposent une option hybride, certaines des analyses étant exécutées dans le cloud .
« Nous assistons à la collecte, à la conservation et à lintelligence via le cloud; nous voyons cela émerger parce que le fournisseur peut extraire plus de données quune organisation ne le peut », déclare Stroud.
Outils SIEM et sélection de fournisseurs
Le marché SIEM compte plusieurs fournisseurs dominants basés sur les ventes mondiales, en particulier IBM, Splunk et HPE. Il existe au moins plusieurs autres acteurs majeurs, à savoir Alert Logic, Intel, LogRhythm, ManageEngine, Micro Focus, Solar Winds et Trustwave.
Musich dit que les entreprises doivent évaluer les produits en fonction de leurs propres objectifs pour déterminer lesquels répondrait le mieux à leurs besoins. Les organisations qui veulent cette technologie principalement pour la conformité valoriseront certaines fonctionnalités, telles que la création de rapports, plus que les organisations qui souhaitent tirer parti de SIEM pour mettre en place un centre dopérations de sécurité.
Pendant ce temps, dit-elle, les organisations qui ont des pétaoctets de données trouveront certains fournisseurs mieux à même de répondre à leurs besoins, tandis que ceux qui ont moins de données pourraient opter pour dautres options. De même, les entreprises qui souhaitent une chasse aux menaces exceptionnelle rechercheront probablement les meilleurs outils de visualisation de données et des capacités de recherche dont les autres nauront peut-être pas besoin.
Les responsables de la sécurité doivent prendre en compte de nombreux autres facteurs, par exemple sils le peuvent prend en charge un outil particulier, la quantité de données dont ils disposeront dans le système et le montant quils souhaitent dépenser – lors de lévaluation des fournisseurs SIEM, explique Musich. Par exemple, ArcSight ESM de HPE est un outil mature qui possède de nombreuses fonctionnalités, mais qui nécessite une grande expertise et qui coûte plus cher que les autres options.
« Il y aura toujours une gamme de fonctionnalités, » Musich ajoute: « Et plus la sécurité est sophistiquée dans les opérations, meilleure sera leur utilisation des outils dont ils disposent. »
Compte tenu des différentes exigences en matière de capacités en fonction des deux principaux moteurs. Sélection SIEM, Hubbard dit quil voit de nombreuses organisations opter pour deux systèmes différents, lun axé sur la conformité et lautre axé sur la détection des menaces.
« Vous pourriez collecter beaucoup pour la conformité , mais cela peut le ralentir pour la détection des menaces. Vous disposez donc dun SIEM tactique pour la détection des menaces », dit-il.
Optimiser la valeur du SIEM
Pourtant, la plupart des entreprises continuent dutiliser Logiciel SIEM principalement pour suivre et enquêter sur ce qui sest passé, explique Eric Ogren, analyste principal avec linformation se équipe de sécurité de 451 Research. Ogren dit que ce cas dutilisation est motivé par la menace croissante de violations et les retombées de plus en plus graves auxquelles les dirigeants et les organisations seront confrontés lors de tels événements.
Comme le dit Ogren: « Si une entreprise est piratée, aucun CIO ne veut Demandez au conseil dadministration de demander ce qui sest passé et de dire: « Bon sang si je sais. » Ils veulent dire: « Nous examinons les données du journal pour découvrir ce qui sest passé ».
En même temps, cependant , de nombreuses entreprises vont maintenant au-delà de cela et utilisent de plus en plus la technologie pour la détection et la réponse en temps quasi réel, dit Ogren.
« Le jeu est maintenant: à quelle vitesse pouvez-vous détecter? » dit-il, ajoutant que lévolution des capacités dapprentissage automatique aide les systèmes SIEM à identifier plus précisément les activités inhabituelles et potentiellement malveillantes.
Malgré ces progrès, les organisations continuent dêtre mises au défi dans leurs capacités à maximiser les avantages et, par conséquent , la valeur quils tirent même des systèmes existants, disent les experts.
Il y a plusieurs raisons à cela.
Premièrement, les technologies SIEM demandent beaucoup de ressources et nécessitent un personnel expérimenté pour mettre en œuvre, maintenir et affinez-les – du personnel dans lequel toutes les organisations nont pas encore pleinement investi.
« De nombreuses organisations apportent la technologie parce quelles savent que cest quelque chose quelles veulent mais elles nont pas le personnel ou elles ne reçoivent pas le personnel la formation dont elles ont besoin pour lutiliser », déclare Stroud.
Le logiciel SIEM nécessite également des données de qualité pour un rendement maximal -« Plus la source de données est volumineuse, plus elle est meilleure et mieux elle peut voir les valeurs aberrantes », explique Stroud. Pourtant, les organisations continuent de lutter pour définir et fournir les bonnes données.
Et même avec des données solides et une équipe sophistiquée exécutant la technologie SIEM, le logiciel lui-même a des limites, disent les analystes. Ils soulignent quil nest pas tout à fait exact de détecter ce qui est une activité acceptable et ce qui est une menace potentielle légitime – un écart qui conduit à un nombre élevé de fausses alertes dans de nombreux déploiements.
Ce scénario nécessite une gouvernance solide et des procédures efficaces au sein de lentreprise afin que les équipes de sécurité ne succombent pas à la surcharge dalertes.
Stroud dit que les professionnels de la sécurité commencent souvent par chasser un nombre impressionnant de fausses alertes. Les organisations sophistiquées apprendront à régler les outils supplémentaires au fil du temps afin que le logiciel comprenne quels sont les événements habituels et réduise ainsi le nombre de fausses alertes.
De lautre côté, cependant, il dit que certaines équipes de sécurité lésineront sur cela étape et à la place éliminer davantage de fausses alertes par habitude – une pratique qui risque de rater de vraies menaces.
Musich dit que les organisations les plus sophistiquées écrivent également des scripts pour automatiser davantage de fonctions banales, telles que lextraction contextuelle des données provenant de différentes sources pour donner une image plus complète des alertes afin daccélérer les enquêtes et lidentification des menaces réelles.
«Il faut de bons processus ainsi quune maturité dans les opérations de sécurité», ajoute-t-elle. «Cela signifie l’avoir non seulement un outil en soi, mais l’intégrer à d’autres technologies et avoir un processus global pour guider les activités. »
Cest comme ça, dit-elle, que peut réduire le temps que le personnel consacre à des activités de niveau inférieur et à la place de leur permettre de rediriger leurs énergies vers les tâches de grande valeur qui rehaussent l’ensemble de la sécurité de l’entreprise.
En savoir plus sur SIEM:
- ArcSight vs Splunk? Pourquoi vous pourriez vouloir les deux
- Critères dévaluation pour SIEM
- SIEM: 14 questions à poser avant dacheter
- Principes de base de la gestion des journaux
- SIEM -as-a-service répond aux besoins des petites et moyennes entreprises