Administrateur Réseau

Qu’est-ce qu’un SIEM nouvelle génération ?

Les packages SIEM collectent les messages du journal système et génèrent également leurs propres mesures de trafic en direct à rechercher signes d'activité malveillante .

UN SIEM nouvelle génération regarde au-delà du réseau protégé pour obtenir des informations supplémentaires. Ces sources d’informations supplémentaires regroupent les informations d’attaque provenant de nombreux réseaux.

L’idée d’extraire des informations sur les menaces provenant de sources externes est une technique typique utilisée dans systèmes antivirus de nouvelle génération . Il utilise l'expérience d'autres systèmes informatiques pour identifier les vecteurs d'attaque courants.

UN équipe de hackers découvre une nouvelle astuce pour accéder à un réseau, se déplacer dans un système sans être détecté, briser les systèmes d'authentification ou endommager ou voler des données. Une fois que cette nouvelle technique aura fait ses preuves, cette équipe mettra en œuvre la nouvelle stratégie encore et encore contre de nombreuses cibles. Ils pourraient également partager cette méthode avec d’autres hackers ou d’autres équipes de hackers pourraient entendre parler des possibilités de ce nouveau système et le deviner par elles-mêmes.

En raison des nombreuses nouvelles méthodes d’attaque qui ne cessent d’être inventées, les systèmes antivirus devaient être mis à jour quotidiennement. À mesure que les antivirus sont devenus plus avancés, les pirates ont trouvé des moyens d’utiliser des logiciels et des services existants et légitimes pour pénétrer dans les systèmes et se déplacer sans être détectés. Ainsi, Systèmes de détection d'intrusion (IDS) et Services SIEM ont été inventés pour bloquer les activités malveillantes plutôt que des éléments spécifiques de logiciels malveillants.

L’un des problèmes des AV, IDS et SIEM est qu’ils doivent savoir quoi rechercher. Les techniciens d'un service de cybersécurité travaillent rapidement afin d'identifier une nouvelle attaque et propager ses identifiants aux installations de leur service. Cependant, leur travail n’est jamais assez rapide. De toutes nouvelles attaques, appelées « jour zéro ', peut causer des dommages ou accéder à de nombreux systèmes pendant que ce processus de découverte et de médiation est en cours.

Intelligence sur les menaces de nouvelle génération

Le ' prochaine génération ', qu'il soit appliqué aux AV ou aux services SIEM, est une tentative d'éliminer les intermédiaires. Les utilisateurs des systèmes de sécurité peuvent s'alerter mutuellement de la présence d'une nouvelle attaque. Cependant, le mécanisme de partage des informations sur les attaques doit être automatisé.

Dans le passé, un gros problème avec les mises à jour des bases de données AV était que les utilisateurs ne restaient pas constamment connectés à Internet et préféraient commander manuellement une mise à jour. Cela ouvrait la possibilité que certaines installations deviennent très rapidement obsolètes et rendait les systèmes vulnérables aux attaques. Les systèmes SIEM de nouvelle génération restent connectés à Internet à tout moment afin de pouvoir recevoir des mises à jour des signatures d'attaque sans nécessiter d'intervention manuelle.

Le Prochaine génération le système est un d'égal à égal opération. Tout comme pour les systèmes de partage de fichiers, le package SIEM agit comme un client de réseau d'information. C'est comme s'il y avait un client uTorrent intégré. Le système de partage d’informations est souvent appelé « flux de renseignements sur les menaces .» Le client de ce réseau de partage d'informations est capable à la fois de lire les nouvelles mises à jour et de publier des informations auxquelles d'autres peuvent accéder.

Non seulement ce système de renseignement sur les menaces élimine le besoin d’un laboratoire central pour formuler les signatures des menaces, mais il élimine également l’administrateur système du processus.

Le responsable du renseignement sur les menaces au sein du SIEM suit un format de reporting commun . Une fois qu'une nouvelle stratégie d'attaque est détectée dans le SIEM, le client de renseignement sur les menaces formate ces informations et les télécharge dans l'échange d'informations. Tous les autres systèmes SIEM dans le monde qui s'abonnent au même flux de renseignements sur les menaces interrogent régulièrement la source de données à la recherche de nouvelles publications, puis les téléchargent.

Grâce au peer-to-peer renseignement sur les menaces Selon ce modèle, les systèmes SIEM peuvent être avertis de nouvelles attaques presque dès qu'une équipe de hackers essaie sa méthode pour la première fois. Cela présente un double avantage. Tout d’abord, le nombre de systèmes qu’une attaque Zero Day peut réellement endommager est considérablement réduit. Un avantage secondaire de ce système est qu’il réduit les possibilités pour les équipes de hackers de récupérer le coût de développement d’un nouveau vecteur d’attaque. Ainsi, à mesure que les systèmes de nouvelle génération deviennent plus courants, le piratage devient moins rentable .

Bien qu'il existe un certain nombre d'adolescents qui s'ennuient dans le monde et qui tentent de s'introduire dans les systèmes informatiques juste pour s'amuser, la plupart des dommages causés à la sécurité informatique proviennent d'équipes de pirates informatiques professionnels qui vivent bien de leur activité. La suppression de leur rentabilité réduit les incitations au piratage et réduit le temps et l’argent pouvant être consacrés au développement de nouvelles stratégies de piratage.

Détection d'une anomalie

Le pool commun de renseignements sur les menaces constitue le système de médiation qui rend les systèmes SIEM de nouvelle génération si efficaces. Cependant, cette distribution rapide d’informations ne serait pas d’une grande utilité si les packages de cybersécurité abonnés n’étaient pas capables de détecter stratégies d'attaque inattendues .

Détection d'une anomalie est une source clé de nouvelles informations pour les flux de renseignements sur les menaces. Bien que les informations sur les comportements à surveiller aident les systèmes SIEM à réagir rapidement aux nouvelles attaques, ce n’est pas la seule méthode utilisée par ces systèmes pour bloquer les activités malveillantes.

Les services SIEM de nouvelle génération utilisent un système de suivi d'activité qui est basé sur apprentissage automatique – une stratégie développée pour l’intelligence artificielle. Cela suit toutes les activités sur un réseau et sur les points finaux au fil du temps. Il recherche des modèles de comportement réguliers et crée une base de référence à partir de ce modèle.

Lorsqu'un compte utilisateur effectue soudainement des actions différentes de l'activité normale attendue de ce groupe d'utilisateurs, le système SIEM y prête une plus grande attention. Il s’agit d’une méthode appelée « triage .» Cela réduit la quantité de traitement qu’un système SIEM doit effectuer. Les routines spéciales ne démarrent qu'une fois qu'un candidat à la surveillance est identifié par les systèmes de détection d'anomalies qui recherchent des écarts par rapport à la ligne de base de l'activité normale.

Au fur et à mesure que l’enquête s’approfondit, les comportements suspects peuvent alors être vérifiés par rapport aux informations recueillies. D’autres anomalies entraînent le téléchargement de ce modèle d’activité vers le système de renseignement sur les menaces. Ainsi, de nombreuses implémentations du même système SIEM commenceront à être rechercher cette activité avant même qu’il soit prouvé qu’il est causé par un intrus ou un nouveau malware.

Sources de données de renseignement sur les menaces

Les producteurs de systèmes de cybersécurité gèrent leurs propres réseaux de renseignements sur les menaces, qui constituent simplement un stockage de données commun pour toutes les informations sur les menaces recueillies par chaque mise en œuvre. De nombreux fournisseurs mettent également leurs pools de renseignements sur les menaces à la disposition des non-clients. Il existe également des systèmes de renseignement sur les menaces indépendants du fournisseur. Quelques renseignement sur les cybermenaces (CTI) les systèmes sont open source et d’accès gratuit, tandis que d’autres ne sont disponibles que pour ceux qui paient un abonnement.

Selon toute probabilité, lorsque vous achetez ou souscrivez à un SIEM de nouvelle génération, la décision concernant les flux CTI que le service utilisera a déjà été prise pour vous. Le fournisseur de votre SIEM exécutera probablement déjà un CTI maison pour le partage d’informations entre clients. Ces services peuvent également inclure l'accès à certains CTI open source.

Il existe deux formats d'échange de données largement utilisés pour les systèmes CTI :

Cadre d'intelligence collective
Expression structurée des informations sur les menaces

Si une entreprise de cybersécurité crée son flux de renseignements selon l’une de ces normes, de nombreux autres systèmes pourront recevoir des données du pool d’informations.

Cadre d'intelligence collective

Le Cadre d'Intelligence Collective (CIF) est un système open source de formatage et de gestion pour les flux de renseignements sur les menaces. Il attribue un type à chaque notification, tel que Botnet, Phishing ou Malware, et dispose également d'un champ Facteur de confiance, qui sera un nombre allant jusqu'à 100, 75 à 84 indiquant « fiable », 85 à 94 étant « très fiable ». .»

Vous pouvez en apprendre davantage sur ce système chez lui sur le Gadgets du CSIRT site web.

Expression structurée des informations sur les menaces

Expression structurée des informations sur les menaces (STIX CTI) est un autre système gratuit et open source pour gérer les pools de renseignements sur les menaces. Ce système possède son propre protocole de communication et de stockage des messages. Ce système est un peu plus compliqué que le CIF car il est structuré comme objets qui prennent du sens grâce aux connexions. Plutôt qu'un format d'enregistrement unique, la base de données STIX contient un certain nombre d'objets TTP. TTP signifie « tactiques, techniques et procédures .»

Afin de traiter une notification de renseignements sur les menaces, vous devrez charger un objet TTP, tel qu'un Logiciel malveillant , et qui font passer tous les objets liés, tels que « Indicateur ' ou ' Plan d'action .» Chaque objet contient des informations supplémentaires.

Vous pouvez en apprendre davantage sur le projet STIX sur sa page GitHub.

Cas d'utilisation du SIEM de nouvelle génération

Dans SIEM, un cas d'utilisation est une spécification de règles techniques. Il s'agit d'un ensemble d'événements qui, s'ils sont détectés en combinaison, déclencheront une alerte ou une autre action. La liste des actions à mettre en œuvre fait également partie du cas d’utilisation. En d’autres termes, il y a un certain nombre de choses à surveiller.

Le événements déclencheurs dans un cas d’utilisation ne doivent pas nécessairement se produire dans un ordre spécifique. Le SIEM de nouvelle génération sera livré avec un certain nombre de cas d'utilisation pour démarrer. Cependant, le point du « prochaine génération « Une partie de ces systèmes est qu’ils s’adaptent à l’évolution des événements. Ainsi, ils sont en mesure de créer de nouveaux cas d’utilisation à partir des informations extraites du flux de renseignements sur les menaces.

Les cas d'utilisation peuvent être orientés en fonction d'objectifs de sécurité spécifiques. Par exemple, si l'entreprise doit se conformer à des normes de sécurité spécifiques, telles que HIPAA ou PCI DSS , le système de détection des menaces devra mettre l'accent sur des règles de détection d'événements autour d'un type particulier de données, conservées dans des emplacements spécifiques.

La notion de « triage » s’exprime dans les cas d’usage du SIEM nouvelle génération. Par exemple, si le système de détection SIEM fonctionne avec un cas d'utilisation spécifique contenant quatre événements différents, la détection de l'un de ces quatre amènera l'outil SIEM à recueillir des informations plus approfondies sur les actions du compte utilisateur qui a effectué cette action, en recherchant pour les signes des trois autres événements liés.

Dans l'action ci-dessus, un suivi plus approfondi d'un compte est une action dans le cas d'utilisation. Le cas d'utilisation peut spécifier une alerte de niveau inférieur pour avertir les opérateurs si seulement une ou deux actions liées sont détectées. La combinaison de tous les événements survenant dans le cas d'utilisation peut être configurée pour déclencher un action automatisée , comme verrouiller un compte ou demander au pare-feu du réseau de bloquer tout accès à partir d'une adresse IP spécifique. Dans tous les événements, la rencontre par étapes des éléments dans un cas d'utilisation sera enregistrée.

Avantages et inconvénients du SIEM de nouvelle génération

Outre les avantages et les inconvénients de l’utilisation d’un système SIEM, les SIEM de nouvelle génération présentent des avantages et des inconvénients spécifiques.

Avantages du SIEM nouvelle génération

Moins d'alarmes faussement positives grâce à l'apprentissage automatique ajustant les lignes de base d'activité normale
Communication plus rapide entre les abonnés au flux de renseignements sur les menaces concernant les nouveaux vecteurs d'attaque
L'intégration et la collaboration avec les systèmes de protection existants, tels que les pare-feu et les systèmes de gestion des droits d'accès pour l'atténuation des menaces.
Détection plus rapide des menaces potentielles grâce à l'utilisation d'heuristiques qui identifient des correspondances partielles avec des menaces connues
Moins de traitement des données grâce à des niveaux de réaction par étapes jusqu'au suivi d'une activité normale en passant par la suspicion jusqu'au suivi ciblé

Inconvénients du SIEM de nouvelle génération

La perte de connexion internet réduit l'efficacité du système SIEM, ce qui crée un point de faiblesse
Le système est autonome et est donc difficile à comprendre ou à gérer
Le service SIEM de nouvelle génération est difficile à évaluer : votre SIEM fonctionne-t-il bien ou n'avez-vous tout simplement pas été soumis à de nombreuses tentatives d'attaque ?
La dépendance à un flux de renseignements sur les menaces à distance crée une vulnérabilité : si les pirates informatiques parviennent à manipuler la source du flux, de nombreux systèmes dépendants pourraient être attaqués.

Implémentation du SIEM de nouvelle génération

Plus que tout autre système de cybersécurité, les SIEM de nouvelle génération sont paquets interdépendants de nombreux modules spécialisés. Ces services sont hautement automatisés et très autonomes. Cela signifie que la qualité du service est très importante, notamment la qualité des services associés. flux de renseignements sur les menaces . Vous pouvez lire nos recommandations sur les excellents SIEM de nouvelle génération à considérer dans le Meilleurs SIEM de nouvelle génération .

3D-Online

Informations, Outils, Avis Et Comparaisons, Pour Aider Les Lecteurs À Améliorer Leur Cybersécurité Et Leur Confidentialité Sur Internet.