La gestion des risques consiste à identifier, évaluer et prioriser les risques relatifs aux activités des entreprises. Quelle que soit la nature ou l’origine de ces risques, il est important de mettre en place un plan d’action pour traiter les risques de manière coordonnée et économique, afin de réduire et de contrôler l'émergence des événements redoutés, et de réduire l’impact éventuel de ces derniers.
Devons nous analyser les logs en continu pour minimiser les risques informatiques ? @ITrustBlog
1. Devons-nous analyser les logs en continu pour minimiser les risques informatiques ?
La gestion des risques consiste à identifier, évaluer et prioriser les risques relatifs aux activités des
entreprises. Quelle que soit la nature ou l’origine de ces risques, il est important de mettre en place
un plan d’action pour traiter les risques de manière coordonnée et économique, afin de réduire et de
contrôler l’émergence des événements redoutés, et de réduire l’impact éventuel de ces derniers.
Cette méthodologie s’applique en particulier au département IT de chaque entreprise. Il convient pour
les directions informatiques de réduire la probabilité d’échec des éléments critiques du système
d’information et atténuer l’impact des anomalies de fonctionnement. L’enjeu consiste à détecter les
incidents en temps réel et/ou de manière prédictive afin d’anticiper les éventuels dommages.
Analyser les traces des logiciels malveillants grâce aux fichiers de journalisation
Les responsables informatiques réclament souvent la nécessité d’avoir une vision globale et détaillée
de l’activité de leurs équipements (firewalls, serveurs VPN, proxy, IDS, serveurs web, ressources de
calcul dédiées, anti-virus …) afin de contrôler toute tentative d’intrusion ou de malveillance. Face à la
quantité d’informations générées au sein d’un parc informatique, il est difficile de les traiter à la volée.
Une solution possible pour s’atteler à cette problématique fait appel aux SIEM (Security Information
and Event Management), des outils en mesure de gérer et de corréler des logs (fichiers de
journalisation). En effet, ces solutions sont munies de moteurs de corrélation qui permettent de relier
plusieurs évènements à une même cause. Cependant ce type d’approche ne permet pas d’identifier
les APT (Advanced Persistent Threat), c’est-à-dire des menaces latentes et le plus souvent
entièrement inconnues… Hélas, ces menaces sont très répandues de nos jours.
Passer à l’échelle – l’analyse comportementale des fichiers de journalisation
Les données issues des logs retracent l’historique partiel des transactions effectuées et permettent
d’observer (à un très bas niveau) certaines traces du flux d’information au sein d’un système
informatique. Autant d’informations pour optimiser les infrastructures informatiques et sécuriser
l’environnement physique, virtuel et cloud de l’entreprise.
Les SIEM, couplés à une solution d’analyse comportementale, vont permettre de définir un
comportement dit « normal » pour les entités, y compris pour les utilisateurs, les périphériques et les
applications par l’apprentissage machine et les règles de corrélation. Détecter et évaluer les écarts
par rapport à ces comportements permet de révéler certains types d’attaques qui s’avèrent
impossibles à détecter en utilisant exclusivement les SIEM.
2. A propos de Reveelium
C’est pourquoi ITrust propose le système Reveelium, qui permet de détecter en quasi temps réel
plusieurs types de comportements anormaux. Comme les SIEM, il repose sur le traitement des logs
des différents équipements de sécurité, des domaines Windows, des serveurs DNS et proxy ainsi que
des applications. A la différence des SIEM, il détecte les signaux faibles précurseurs d’APT ou d’
usurpation de données en identifiant les anomalies comportementales du système surveillé, puis en
enrichissant et en filtrant les informations collectées pour générer des alertes classées par niveau de
risque et de type de comportement.
Reveelium est une solution de sécurité de nouvelle génération dont les performances et l’adaptabilité
à de nombreux « cas d’utilisation » métiers résident dans la combinaison de 3 technologies
complémentaires. 1/ le moteur de détection de signaux faibles, qui est le fruit de recherches avancées
en algorithmes statistiques et en intelligence artificielle. Ses résultats sont enrichis par un 2/ moteur
de corrélation qui intègre des détecteurs spécialisés et des règles issues de l’expertise des ingénieurs
et des consultants de sécurité d’ITrust. Le système s’appuie enfin sur une 3/base de connaissance
globale, la « mémoire » de Reveelium, qui fusionne des informations issues des différentes instances
de Reveelium, afin de faire bénéficier chaque client de l’expérience des autres.
Liens :
https://www.reveelium.com/fr/can-we-minimize-it-security-risks-by-continuously-analyzing-logs/
https://www.itrust.fr/analyse-logs