Blog - article

Sorry, this blog post has not been posted yet. Come back and check again later!

Le grand défaut des SIEM: pas de délit sans preuves

By:
Christophe Jolly
November 10, 2017

La semaine dernière, j'ai déjeuné avec un client qui venait de déployer notre plate-forme Cognito™. À cette occasion, il m'explique que le commercial de sa solution SIEM lui avait affirmé que «leur module d'analyse faisait la même chose que la solution Vectra». Sans me démonter, je lui ai répondu que c'était impossible puisque sans preuve, c'est comme s'il n'y avait pas de délit.

Face à son air interloqué, me voilà lancé dans une petite explication.Les SIEM solutions reçoivent les journaux de sécurité d'une série de systèmes très divers: ordinateurs, serveurs, systèmes d'authentification, pare-feux et bien d'autres encore (dont Vectra Cognito, analyste en sécurité).

Ces journaux consignent tous les événements survenus sur les systèmes et les réseaux. Leur examen peut vous aider à surveiller les activités, à intervenir si les événements l'exigent et à protéger vos systèmes.

Comme les journaux d'une entreprise recensent plusieurs millions d'événements chaque jour, la fonction d'une solutionSIEM consiste à stocker et à analyser en temps réel toutes ces alertes de sécurité générées par les applications et les équipements réseau.

Un cyberattaquant avisé sait bien que les journaux d'événements sont généralement envoyés par lots, plutôt qu'en temps réel, pour limiter l'impact de leur transmission sur la bande passante réseau.

Le pirate dispose ainsi d'une fenêtre d'accès au système d'exploitation, y compris au système de journalisation sous-jacent. S'il parvient à effacer le journal consignant son accès avec droits d'administrateur avant qu'il ne soit envoyé, vous n'aurez plus aucune preuve de la violation de sécurité. Pas de preuve, pas de délit.

Par ailleurs, si l'attaquant réussit à effectuer une authentification système sans déclencher d'alerte pour anomalie ou sans utiliser de malware, aucun événement ne sera généré par les systèmes de surveillance du réseau. Sans preuve, c'est comme s'il n'y avait pas de délit...

Le client, très étonné, a voulu savoir pourquoi.

Faisant fi de mes bonnes manières habituelles, j'ai sorti mon smartphone devant lui. J'ai alors ouvert un document intitulé NIST Guide to Computer Security Log Management pour lui en citer deux phrases.

«Le nombre, le volume et la diversité des journaux de sécurité connaissant une croissance effrénée, il est impératif de mettre en place une solution spécifique pour la gestion de ces journaux».

«En la matière, le problème fondamental, commun à bon nombre d'entreprises, consiste à trouver le bon compromis entre les ressources de gestion limitées et le flux continu des données de journaux».

«Et qu'en est-il des journaux créés par Cognito?», m'a-t-il alors demandé. C'était la bonne question.

Un journal d'événements généré par Cognito est fondamentalement différent de ceux que génèrent les autres équipements. Il s'agit d'un véritable rapport de cyberveille qui, pour un équipement donné présentant de nombreux signes de compromission, procure des informations de traque des menaces, d'analyse et de corrélation assorties d'une évaluation du niveau de risque.

Le journal d'un pare-feu ou d'un système IDS est généré à partir d'événements de détection réseau, mais sans le contexte qui vous offrirait une vue complète sur une attaque. Il faut alors l'intervention d'un analyste en sécurité pour trier la masse d'événements de la solution SIEM, évaluer la criticité de chaque événement en fonction de son impact potentiel sur l'entreprise, corréler tous les événements associés à un seul système au centre de l'attaque et déterminer les systèmes et événements à traiter en priorité et sans délai.

Toutes ces activités successives demandent des heures de travail à l'analyste. En outre, il risque de passer à côté d'événements importants survenant en temps réel pendant qu'il examine des éléments de preuve passés, dont la fiabilité est parfois douteuse.

Un journal d'événements Cognito s'apparente beaucoup à un dossier de cybersécurité. Cognito surveille continuellement le trafic réseau et traque constamment les menaces. La solution automatise ces tâches manuelles et laborieuses que sont le tri des événements, l'évaluation du risque des menaces, la corrélation entre les systèmes et l'attribution de priorités de traitement. Les résultats de cette analyse sont envoyés à la solutionSIEM sous la forme d'un journal complet des événements liés à l'attaque, avec des informations précises sur les problèmes à régler en priorité.

Certes, il est possible que le vol d'identifiants administrateur par le cyberattaquant ne soit pas consigné dans le journal, pas plus que la détection d'anomalies ou de malwares.

En revanche, Cognito détectera bien le cheval de Troie à accès distant utilisé pour accéder à votre équipement. De même, il repérera toute utilisation abusive de ces identifiants et des protocoles d'administration associés. Même si l'auteur de l'attaque utilise les identifiants administrateur d'une autre machine, l'intelligence artificielle qui génère le rapport Cognito sur les campagnes d'attaque pourra reconnaître ces comportements malveillants sur les différents équipements.

Après ces explications, le client m'a demandé si, en fin de compte, tous ces autres journaux alimentant sa solution SIEM avaient une quelconque utilité.

Souvent, l'équipe de sécurité est dépassée par la masse de données créées par ces journaux: sans contexte, il est difficile de savoir par où commencer. Toutefois, grâce au journal de Cognito, vous disposez de l'équivalent d'un vrai «dossier de sécurité» qui sert de point de départ précis aux investigations au sein de la solution SIEM.

Pour en savoir plus sur Cognito, participez à notre prochain webinaire Vectra Bootcamp ou consultez la page produits de Cognito.

About the author

Christophe Jolly

Christophe Jolly is a Country Manager at Vectra AI. Christophe has strong experience as a technical and senior sales team manager in IT Security domain. Before joining Vectra, he held a Country Manager Security role at Cisco for three years. Prior to Cisco, he was a Regional Sales Manager at Sourcefire. He received a bachelors degree in electrical and electronics engineering from Université de Reims Champagne-Ardenne and a engineering, IT security degree from Télécom SudParis.

Author profile and blog posts

Most recent blog posts from the same author

Cybersecurity

Le grand défaut des SIEM: pas de délit sans preuves

November 10, 2017
Read blog post
Threat detection

L'explosion alarmante du minage de cryptomonnaie sur les campus universitaires

April 6, 2018
Read blog post
Breach

L’analyse comportementale, dernière pierre à l’édifice

February 26, 2018
Read blog post