Les gestionnaires de réseau peuvent choisir parmi une vaste gamme d’outils de sécurité pour protéger les actifs numériques de leurs entreprises. Mais regrouper ces outils sous une seule console de gestion et les lier aux politiques de sécurité existantes reste difficile.
Entrer Informations de sécurité et gestion d’événements (Siem). Ce logiciel, qui recueille et corréler les informations de sécurité à la fois sur site et les réseaux cloud en temps réel, serait-il la réponse?
Pour Chris HippenSteel, directeur de l’informatique chez New Resources Consulting, Siem peut offrir la visibilité dont son entreprise a besoin dans son environnement.
“Un SIEM bien mis en œuvre peut en effet fournir une visibilité à 360 degrés dans les environnements de réseau hybride”, a déclaré Hippensteel. “Dans notre entreprise, nous avons intégré SIEM à la fois avec notre infrastructure sur prémètre et nos services cloud comme Microsoft 365 et Azure AD. Cela nous permet de corréler les journaux, de détecter les anomalies et de répondre aux menaces quelle que soit leur origine.”
La société a obtenu cette visibilité grâce à des connexions et des intégrations qui ont lié le Active Directory (AD) de la société, la protection des points de terminaison, les pare-feu et les services cloud à la plate-forme SIEM. Ces intégrations ont permis une surveillance et une réponse centralisées.
“Nous avons des agents SIEM déployés entre les systèmes Windows, Mac et Linux, et nous maintenons une visibilité en temps réel dans l’activité des points finaux à tous les niveaux”, a déclaré Hippensteel.
Cet éclairage dans le réseau peut résoudre une pléthore de problèmes pour les entreprises et les entités publiques. Considérez le monde universitaire, qui est la troisième industrie la plus ciblée pour les tentatives et compromis malveillants, selon un Rapport ESET. Il est primordial de protéger la recherche et la propriété intellectuelle. Mais il n’est pas toujours facile de suivre les activités des utilisateurs réparties sur un réseau universitaire hybride couvrant plusieurs nuages, départements et campus.
Chacun de ces emplacements de travail pourrait avoir ses propres réseaux de nuages et physiques. En conséquence, il est difficile de verrouiller les intrus si la surveillance de la sécurité ne peut pas se terminer par le labyrinthe des réseaux sur lesquels chaque utilisateur est. Les intrus potentiels le savent aussi.
Taux d’adoption de SIEM
Les taux d’adoption SIEM continuent d’augmenter, le secteur devrait enregistrer un taux de croissance annuel composé de 12% d’ici 2030selon le cabinet de recherche Mordor Intelligence.
Les organisations alimentent la croissance du marché, en particulier les entreprises plus grandes qui comprennent plus de la moitié du marché SIEM. Ces grandes entreprises – cibles principaux des attaquants – ont également les budgets et le personnel nécessaires pour mettre en œuvre SIEM.
Les autres tendances de l’enquête du Mordor comprenaient les éléments suivants:
Plus de 55% des déploiements SIEM sont réservés aux réseaux locaux uniquement.
Le coût de possession de SIEM est extrêmement élevé, avec une estimation de plus de 4 ans pour que l’entreprise moyenne récupére un investissement SIEM.
Il faut deux à quatre ans aux entreprises pour former ou recruter le personnel du réseau nécessaire pour superviser une plate-forme SIEM.
Relever les défis SIEM
En plus des coûts de déploiement élevés, de nombreuses organisations sont confrontées à la mise en œuvre de SIEM.
Un défi principal est la configuration de SIEM – étant donné que l’organisation moyenne a plus de 100 sources de données différentes qui doivent se connecter sur la plate-forme, selon un Rapport IDC.
Il peut être intimidant pour le personnel du réseau de faire ce qui suit lors du déploiement de SIEM:
Choisissez les sources de données à intégrer.
Mettre en place des règles de corrélation SIEM qui définissent ce qui sera classé comme un événement de sécurité.
Déterminez les seuils d’alerte pour des données et des activités spécifiques.
Il est tout aussi difficile de gérer les informations et alerte une plate-forme SIEM. Si vous affinez trop, le résultat peut être de faux positifs car le système déclenche des alarmes sur les événements qui ne sont pas réellement des menaces. Il s’agit d’un voleur de temps pour les techniciens du réseau et peut conduire à la fatigue et à la frustration du personnel. En revanche, si l’étalonnage est trop libéral, les organisations courent le risque de négliger quelque chose qui pourrait être vital.
Le personnel du réseau doit également se coordonner avec d’autres domaines de l’informatique et de l’entreprise. Par exemple, que se passe-t-il si les réglementations de garde des données et de conformité changent? Cela change-t-il les ensembles de règles SIEM? Et si le groupe des applications informatiques déplace de nouveaux systèmes qui doivent être attachés à SIEM? Le service juridique ou les auditeurs peuvent-ils vous dire combien de temps pour stocker et conserver des données pour l’évacuation ou pour Sauvegarde et récupération des catastrophes? Et quel bruit de données pouvez-vous rejeter comme des déchets?
Ce sont des questions que HippenSteel a dû répondre à New Resources Consulting.
“L’intégration de SIEM à l’infrastructure existante peut prendre du temps”, a-t-il déclaré. “Nous avons rencontré [group policy object]-Les problèmes liés pendant le déploiement qui ont nécessité un dépannage profond. De plus, nous avons dû faire face à la surcharge de données et à la fatigue d’alerte, car sans réglage approprié, les SIEM peuvent générer un bruit excessif. Nous avons dû affiner nos règles d’alerte et notre logique de corrélation pour nous concentrer sur l’intelligence exploitable. “
Meilleures pratiques SIEM
À mesure que de plus en plus d’organisations déploient SIEM, un ensemble de meilleures pratiques émerge pour aider à guider les entreprises en considérant SIEM. Voici trois facteurs importants à considérer.
1. Définir les cas d’utilisation commerciale spécifiques pour lesquels SIEM sera employé
Déterminez le principal problème de sécurité de l’organisation. Est-ce que ce n’est pas un ransomware? Améliorer la visibilité dans les activités des utilisateurs dans plusieurs systèmes cloud et locaux? Verrouiller la propriété intellectuelle? Ou est-ce autre chose? Plus l’image que vous pouvez peindre pour illustrer comment SIEM peut éliminer un facteur de risque commercial clé, plus la haute direction acceptera de financer et de mettre en œuvre SIEM – et d’investir dans la formation requise pour le personnel du réseau.
2. Comprendre l’effet potentiel de l’intégration de SIEM à la technologie héritée
Il y a une raison pour laquelle il existe tant de technologies héritées – elle est toujours viable. Ces systèmes ne disparaissent pas et continuent de soutenir les systèmes les plus critiques de nombreuses entreprises. Mais ces systèmes sont antérieurs à SIEM. Ils pourraient manquer des fonctions de journalisation qui peuvent alimenter SIEM, ce qui rend la véritable visibilité à 360 degrés difficiles à réaliser.
3. Intégrer, automatiser et s’entraîner
Selon HippenSteel, la première étape consiste à intégrer les sources de données pertinentes. L’étape suivante consiste à personnaliser les alertes en mettant l’accent sur la réduction du bruit et l’entraînement des signaux de haute fidélité. L’automatisation suit après cela.
“Ensuite, vous utilisez une automatisation intégrée pour des actions de réponse comme l’isolement des points de terminaison ou les équipes de notification”, a déclaré HippenSteel. “Surtout, n’oubliez jamais que les Siems ne sont aussi bons que les personnes qui les utilisent. Nous avons créé des documents de formation internes et des séances pour le déjeuner-et-apprentissage pour augmenter notre équipe et assurer des protocoles de réponse cohérents.”
