Vous avez constaté que le niveau de visibilité de la sécurité et de détection des menaces dont vous disposez sur votre réseau et vos serveurs ne vous convient pas. Vous avez peut-être été victime d’une attaque par rançongiciel, ou le nombre considérable d’attaques en cours dans le monde vous préoccupe de plus en plus. Vous savez que sans solution de détection des menaces, la plupart des activités sur vos serveurs et votre réseau passent inaperçues et personne ne les surveille. Des logiciels malveillants dormants pourraient déjà se trouver dans votre environnement, attendant tranquillement de lancer une attaque. Il existe de nombreuses solutions, alors comment choisir la meilleure et la plus rentable pour votre environnement?
Traditionnellement, la réponse serait que vous avez besoin d’une solution SIEM (Surveillance des événements et des incidents de sécurité). Une SIEM est l’ensemble des systèmes qui reçoit les journaux et les flux de données de vos serveurs, points d’extrémité, équipements réseau et applications. Elle épluche cette montagne de données, met en corrélation les événements survenus dans différentes sources de données et recherche les signes d’une attaque.
Bien entendu, l’installation d’une SIEM n’est pas une solution complète en soi. Vous devez disposer d’une équipe de surveillance (généralement 24 heures sur 24, 7 jours sur 7), qui traite les alertes et qui élimine en permanence les faux positifs et le bruit. Cette équipe est généralement appelée « centre des opérations de sécurité » (COS) et son travail consiste à surveiller les alertes en temps réel, à les valider, puis à fournir des informations sur les mesures correctives et les alertes. Maintenant que le COS a un événement suspect, il doit être examiné par une équipe d’intervention en cas d’incident de cybersécurité qui déterminera ce qui se passe, pourquoi cela se passe, et si une réponse de sécurité est nécessaire ou si cela est considéré comme une activité normale ou attendue. À moins que vous ne soyez une grande entreprise, il est probablement plus rentable de confier la gestion de la SIEM et du COS à une firme externe plutôt que d’y consacrer trop de temps et d’effort à l’interne. Nous reviendrons plus tard sur l’équipe d’intervention en cas d’incident de cybersécurité.
Comme vous pouvez le deviner, il s’agit d’une solution coûteuse qui peut-être difficile à justifier pour la plupart des entreprises. Une solution SIEM présente également quelques inconvénients. Cette configuration doit être gérée avec soin par votre équipe de TI. Si vous ne collectez pas les bons journaux ou si vous ne configurez pas le transfert des journaux sur un système, il risque d’y avoir des failles sur le plan de la visibilité. En outre, selon la solution SIEM et la manière dont elle est miss en œuvre, il se peut que vous ne soyez pas en mesure d’automatiser certaines réponses aux événements. Cela dit, si vous avez des exigences réglementaires importantes, que vous êtes une entité gouvernementale ou que vous stockez des données sensibles, vous avez probablement une SIEM.
Ces dernières années, vous avez sans doute entendu parler de solutions de détection et de réponse telles que MDR (Détection et réponse gérées), XDR (Détection et réponse étendues), NDR (Détection et réponse réseau) ou EDR (Détection et gestion des incidents pour les points terminaux). Pour simplifier les choses, je les désignerai toutes comme des XDR. Ces solutions
placent un agent sur les serveurs et les points d’extrémité qui filtre les événements sur le système et envoie les informations pertinentes à un système central pour corréler lesdits événements. Certaines solutions comprennent une solution NDR en ligne ou hors bande qui surveille les événements suspects dans votre trafic sur le réseau. Dans de nombreux cas, vous pouvez également intégrer vos services en nuage, votre messagerie électronique et vos pare-feux dans cette corrélation de surveillance.
L’un des avantages des solutions de type XDR est qu’il existe souvent des méthodes simples pour répondre aux incidents de sécurité et même automatiser certaines réponses sans avoir besoin d’un système SOAR (Orchestration, automatisation et réponses de sécurité) distinct. Les solutions XDR peuvent également offrir des fonctionnalités supplémentaires, telles que la production de rapports sur les vulnérabilités, qui peuvent faire office de solution partielle de gestion des vulnérabilités. Vous pouvez bénéficier d’un service de filtrage des courriels pour les logiciels malveillants et indésirables, ainsi que d’un filtrage et d’une surveillance des URL. Le personnel peut souvent se familiariser rapidement avec les solutions XDR et, en quelques heures, effectuer des enquêtes en criminalistique informatique et des recherches de menaces.
Vous n’aurez pas toujours à choisir entre SIEM et XDR. Vous pouvez décider que les deux sont appropriés pour protéger correctement votre entreprise. Dans ce cas, les solutions XDR peuvent également alimenter la SIEM en données.
Quels sont donc les facteurs à prendre en compte lors du choix d’une solution?
1) Devez-vous disposer d’une solution SIEM/SOC, ou une solution XDR sera suffisante? Avez-vous besoin des deux? Quelles exigences de conformité devez-vous satisfaire? Quel est le budget disponible?
2) Disposez-vous d’un personnel possédant les compétences et l’expertise nécessaires pour choisir le bon système, le concevoir et le mettre en œuvre? Sera-t-il aussi en mesure de mettre en place les processus permettant de répondre aux alertes et de mener des enquêtes sur ces alertes?
3) Si vous mettez en place une solution SIEM/SOC ou une solution XDR, vous avez besoin d’une équipe d’intervention en cas d’incident de cybersécurité dont le seul travail est de remplir cette fonction. Il y aura des événements qui nécessiteront régulièrement une enquête et la majorité du temps, il ne s’agira pas d’attaques, mais il faudra tout de même enquêter. Votre équipe de TI a-t-elle le temps et les compétences pour le faire? Devriez-vous mettre en place une équipe indépendante pour ce travail?
4) Quels sont les outils déjà mis en place? Est-il possible de mettre à niveau les outils dont vous disposez déjà ou d’ajouter des composants qui vous permettront de passer à une solution XDR? Il peut s’agir d’un moyen rapide d’y parvenir, et cela n’exige que très peu de nouveaux fonds à dédier à la sécurité.
5) La solution peut-elle remplacer d’autres technologies, telles qu’un agent unique pour la détection des vulnérabilités, les anti-maliciels, le contrôle de l’intégrité des fichiers et les correctifs virtuels, ainsi que la détection et le signalement des menaces? Est-il judicieux d’examiner tout cela ensemble lorsque vous étudiez votre stratégie de cybersécurité en matière de détection des menaces? Existe-t-il une possibilité de consolidation technologique?
6) Quelle protection cette solution vous procurera-t-elle? Disposerez-vous d’une visibilité sur tous vos appareils, y compris les points d’extrémité, les serveurs, les pare-feux, les
routeurs et les systèmes de type dispositif? Qu’en est-il des intrusions au niveau des applications?
7) Quelle est votre stratégie en matière d’informatique en nuage et comment une solution s’articulera-t-elle autour des mises en œuvre et des plans IaaS et SaaS?
8) La solution sera-t-elle à l’extérieur du site ou SaaS? Il est déjà assez difficile d’être victime d’un rançongiciel, mais le fait que vos systèmes d’enquêtes soient également cryptés peut rendre la tâche de récupération encore plus longue et ardue.
9) Combien de temps faut-il pour pouvoir revenir en arrière pour une enquête? Est-ce que 90 jours suffisent ou devez-vous conserver les dossiers pendant des années? Assurez-vous que vous disposerez des données nécessaires pour couvrir les exigences de conformité et d’enquête.
10) L’équipe dont vous disposez peut-elle gérer efficacement la solution ou est-il préférable de déléguer une partie ou la totalité du travail?
Il ne sera pas toujours facile de répondre à ces questions. Il existe un grand nombre de produits et de services différents dont les caractéristiques varient, ce qui les rend difficiles à comparer. Lorsque votre organisation manque d’expertise, vous pouvez vous tourner vers des spécialistes de la sécurité TI comme Compugen pour vous aider à sélectionner et à mettre en œuvre une stratégie de protection appropriée pour votre entreprise. Si vous avez besoin d’aide pour assurer la sécurité du réseau de votre infrastructure, vous pouvez nous contacter et nous serons ravis de discuter de vos besoins.
.png)