La « défense en profondeur » est un concept de sécurité consistant à superposer plusieurs niveaux de défense afin de disposer de couches de sécurité prêtes à prendre le relais si la première barrière de sécurité de l’entreprise venait à céder devant une attaque. Une approche plutôt intéressante et qui est devenue une pratique de sécurité courante dans la majorité des entreprises.

Le problème est que cette pratique n’a jamais vraiment fonctionné…

Il est temps de se rendre à l’évidence. Malgré tous ces niveaux de protection, les cas de compromission et de failles font régulièrement l’actualité et leur nombre ne cesse d’augmenter.

Plusieurs raisons expliquent cet échec 

Chaque couche de défense est associée à un produit spécifique. Toutes ces technologies disparates utilisent leurs propres renseignements sur la menace et fonctionnent dans leur propre silo. Il en résulte trois problématiques principales :

  • Premièrement, les silos rendent extrêmement difficile le partage efficace des renseignements sur la menace, que ce soit entre les outils ou les équipes.
  • Deuxièmement, pour une équipe de sécurité dont la charge de travail est souvent conséquente, l’accumulation de consoles d’administration augmente de façon exponentielle la complexité de la gestion des outils.
  • Enfin, ces silos technologiques se limitent à dresser un parcours d’obstacles pour l’attaquant. Or, comme le dit l’adage, « Derrière chaque obstacle se cache une opportunité ». Les cybercriminels capitalisent beaucoup sur cette formule. Naviguer à travers ces multiples obstacles, c’est le travail quotidien de cybercriminels aguerris – que ce soit pour voler des données, de l’argent, pour perturber une activité ou bien endommager du matériel. Au fil du temps, les adversaires ont beaucoup évolué mais les technologies de sécurité sont également plus abouties et permettent une meilleure détection. L’architecture, elle, n’a pas évolué. Alors même si le parcours d’obstacles est plus complexe, cela n’en reste pas moins un parcours d’obstacles…

En multipliant les produits et les technologies, les entreprises se retrouvent avec plus de 40 solutions de sécurité, de fournisseurs différents, réparties dans plus de 40 silos. Et comme ces produits ne sont pas intégrés, chaque couche de l’architecture génère ses propres logs et événements, ce qui se traduit par des volumes massifs de données et des difficultés majeures en matière de gestion. Mais que deviennent toutes ces données ? Et comment gérer un tel volume d’informations ?

Selon une récente enquête d’ESG, 42 % des professionnels de la sécurité reconnaissent que leur entreprise fait l’impasse sur un grand nombre d’alertes de sécurité en raison de leur nombre, et plus de 30 % admettent en ignorer plus de la moitié.

Dans la plupart des cas, les analystes du Centre de supervision de sécurité – le SOC – chargés de corréler manuellement les logs et les événements et d’enquêter sur les menaces, se retrouvent noyés sous une profusion d’informations.

À la recherche d’une solution – le travail précieux mais coûteux du SIEM

Face à ce volume grandissant de données, les SIEM (Security Information and Event Management) sont apparus comme un moyen de les stocker, et d’assurer l’agrégation et la corrélation des logs et des événements. Cette solution a fonctionné jusqu’à un certain point. Les SIEM ont leurs limites, aussi bien technologiques qu’économiques. Technologiquement, les SIEM peuvent être complexes, et face aux volumes de données actuels, ils peuvent rencontrer des problèmes importants d’évolutivité. Et d’un point de vue économique, stocker toutes les données dans un SIEM est une opération coûteuse pour les entreprises, si bien qu’elles excluent certaines informations.

Outil de prédilection des SOC, le SIEM a incontestablement eu des effets positifs, mais les volumes de données ont atteint un tel niveau que les analystes de sécurité n’arrivent toujours pas à faire face. Ce qu’ils recherchent à présent, c’est un moyen d’analyser les données SIEM afin d’identifier les menaces et les failles de sécurité. L’une des solutions consiste à intégrer directement au SIEM des renseignements sur les menaces existantes issus de flux externes (données sectorielles, gouvernementales, open source, etc.). L’exploitation de renseignements sur les menaces en circulation « dans la nature » vise à détecter des indicateurs de compromission (IoC) enfouis dans cette masse de données. En théorie, l’intégration directe de flux de renseignements sur les menaces dans un SIEM devrait fonctionner et soulager les équipes. En réalité, cette approche crée de nouvelles difficultés et en augmente d’autres, et ce, pour plusieurs raisons :

  1. Manque de contexte. Les SIEM ne peuvent appliquer qu’un contexte limité (voire aucun contexte) aux logs et événements. La contextualisation résulte de la mise en corrélation des événements et des indicateurs associés au sein de l’environnement de l’entreprise avec des données externes sur les indicateurs, les cybercriminels et leurs méthodes.
  2. Faux positifs. Sans contexte, il est impossible de déterminer le « qui, quoi, où, quand, pourquoi et comment » d’une attaque, une condition pourtant essentielle pour évaluer la pertinence des informations vis-à-vis de l’environnement de son entreprise. Les SIEM génèrent par conséquent fréquemment des faux positifs. Au final, les équipes de sécurité gaspillent des ressources et un temps précieux à tenter de résoudre des problèmes sans importance.
  3. Pertinence discutable. Les flux de renseignements sur les menaces fournissent uniquement des scores de risque « globaux » basés sur les recherches et la visibilité du fournisseur des informations, et non sur l’environnement spécifique de l’entreprise.
  4. Absence de priorisation. La priorisation en fonction de paramètres spécifiques à l’entreprise est indispensable à une prise de décision plus rapide et à une meilleure stratégie de sécurité. La priorité des renseignements sur les menaces doit être calculée pour un grand nombre de sources disparates (aussi bien internes qu’externes) et réévaluée à mesure que d’autres données et informations contextuelles sont injectées dans le système.
  5. Limitations de l’architecture SIEM. La stratégie de défense en profondeur inonde déjà les SIEM de logs et d’événements. Ajouter des millions de données supplémentaires ne permet pas au système d’évoluer de manière viable. Les SIEM reposent en outre sur une technologie réactive conçue pour recueillir les logs et événements a posteriori. L’agrégation des données sur les menaces et des flux de renseignements en vue d’une corrélation, d’une contextualisation et d’une priorisation proactives n’est pas la vocation première du SIEM.

Résultat ? Des indicateurs de compromission sont ignorés, des ressources déjà limitées sont gaspillées et les attaques sont un succès…

Transformer les obstacles en opportunités

Les SOC doivent s’inspirer des attaquants et franchir avec succès ce parcours d’obstacles.

Le traitement automatique d’informations contextuelles sur les menaces – et de données pertinentes et hiérarchisées – renforce l’efficacité du SIEM.

Grâce à la notation personnalisée des risques, via des paramètres définis directement par l’entreprise, et l’intégration d’informations contextuelles, l’entreprise priorise les informations en fonction de leur pertinence vis-à-vis de son environnement. Dès lors, en utilisant une partie seulement des données sur les menaces en tant que source de renseignements, le système SIEM dispose d’une couche supplémentaire qui limite le nombre de faux positifs et améliorer son évolutivité.

Les entreprises peuvent par ailleurs accroître l’efficacité de l’ensemble de leur infrastructure de sécurité en se servant des renseignements sur les menaces comme d’un « ciment » pour intégrer les couches de produits spécifiques au sein de leur stratégie de défense en profondeur. Cette approche compense le manque d’échange d’informations et fournit une meilleure visibilité. Elle aide ainsi les SOC à détecter et à neutraliser plus rapidement les menaces, et complète les technologies de prévention en assurant une protection contre les menaces futures.

La réduction du taux de faux positifs et la rationalisation des opérations sont un moyen pour les SOC de transformer les obstacles en opportunités. Au lieu de crouler sous les données, ils peuvent prioriser leurs investigations en fonction des menaces à plus haut risque, empêcher les attaquants de franchir le parcours d’obstacles et renforcer leur dispositif de sécurité.

___________
Cyrille Badeau est Directeur Régional chez ThreatQuotient