< BLOG

24 Aug, 2020
Arctic Wolf

Pourquoi la technologie SIEM n’est pas appropriée à la sécurité SaaS

La technologie SIEM (Security Information and Event Management) est un outil utile pour de nombreuses organisations. Les analystes de la sécurité et les intervenants en cas d’incidents reposent sur une seule source de vérité, avec des événements et des données extraits de plusieurs ressources.

La console unique est une proposition attirante, mais le SIEM a des limites et des inconvénients. De plus, cette solution laisse à désirer dans un environnement hybride. L’adoption du logiciel en tant que service (SaaS) et d’autres services cloud ajoute une couche de complexité pour laquelle les plates-formes SIEM n’ont pas été conçues, ce qui réduit davantage leur utilité.

Rôle du SIEM dans un Security Operations Center

Ces dernières années, les plates-formes SIEM sont devenues la pièce maîtresse du SOC (Security Operations Center). Avec l’évolution constante des menaces, les équipes de sécurité doivent sans cesse surveiller leurs environnements et répondre aux menaces. Le SIEM les aide à le faire plus efficacement.

Lorsque la technologie a été mise à disposition il y a quelques années, elle était conçue pour minimiser le nombre d’alertes sur lesquelles les analystes devaient enquêter. Cela facilite le passage au crible de toutes les données et la recherche des menaces potentielles. À un moment, le SIEM était même le segment à la croissance la plus rapide du marché de la sécurité, selon Gartner.

En réalité, cet outil ponctionne les ressources de nombreuses organisations, car elle nécessite beaucoup de temps et de savoir-faire pour la gérer de façon continue. Pour tirer le meilleur partir d’un SIEM, vous avez besoin d’un SOC et de son personnel 24 h/24, 7 j/7. Bon nombre de PME n’ont simplement pas les ressources pour opérer de cette manière.

Pire encore, si vous ne disposez pas des ressources et du savoir-faire nécessaires pour ajuster et configurer correctement un SIEM, l’outil devient contre-productif. Au lieu de réduire le volume des alertes, il augmente le nombre d’alertes et les faux positifs, ce qui annule l’intérêt de cet investissement coûteux.

La avantages du SIEM en matière de détection des menaces et de conformité

Le principal avantage des plates-formes SIEM est qu’elles collectent, agrègent, stockent et analysent les journaux et les données d’un grand nombre de sources en temps réel. Cela permet aux analystes du SOC de consolider toutes les données de sécurité dans une interface unique, de les corréler et d’obtenir de meilleures informations sur les événements de cybersécurité.

Un autre avantage est que le SIEM vous offre une flexibilité et un contrôle intégral sur les sources que vous y intégrez. Vous pouvez ingérer n’importe quel élément, de vos capacités de sécurité des points de terminaison à vos systèmes de prévention des intrusions, et intégrer des sources de données supplémentaires lorsque vous ajoutez de nouvelles solutions à votre écosystème.

Vos ingénieurs en sécurité peuvent créer des règles qui spécifient le comportement normal pour tous les systèmes, et le SIEM va automatiquement détecter les anomalies et créer des alertes. Ils peuvent également personnaliser ces alertes en fonction de critères spécifiques pour aider à identifier les menaces potentielles.

En plus de fournir une visibilité sur votre environnement, le SIEM est un bon outil de conformité. Vous pouvez centraliser et rationaliser vos audits et vos rapports sur les événements de sécurité. De plus, le SIEM est généralement compatible avec les rapports de conformité associés aux normes telles que PCI, HIPAA, etc.

Inconvénients des plates-formes SIEM

En théorie, l’automatisation de la collecte, de l’agrégation et de l’analyse des données de tous les outils de sécurité ressemble au rêve de tout analyste. Mais comme le SIEM repose sur des règles, vous devez le reconfigurer en permanence et ajouter de nouvelles corrélations au fur et à mesure de l’apparition des menaces, ce qui peut s’avérer très difficile.

Déploiement SIEM

Pour commencer, le retour sur investissement de cette technologie nécessite beaucoup de temps. Pour vos ingénieurs en sécurité, le déploiement intégral de la plate-forme peut prendre six (voire douze) mois. Vous devez configurer le SIEM afin qu’il recherche les bonnes corrélations dans votre environnement. Les corrélations prêtes à l’emploi peuvent ne pas s’appliquer à votre réseau. Ainsi, entre autres points à préparer, votre équipe doit choisir celles à désactiver et les nouvelles règles à créer. Le déploiement se décompose en plusieurs phases, chacune nécessitant un savoir-faire à temps plein en ingénierie.

Maintenance SIEM

Le déploiement compliqué n’est que le premier des inconvénients. Votre personnel doit continuellement ajuster les corrélations en fonction des nouvelles données de renseignements sur les menaces et d’autres changements. Même ainsi, le SIEM peut générer des milliers d’alertes par jour, en fonction de la taille de votre organisation.

Faux positifs

Sans les bonnes corrélations, le SIEM générera trop de faux positifs et ignorera des anomalies potentielles. Le nombre élevé de faux positifs que le SIEM génère est une frustration courante pour laquelle cette technologie est réputée. Un rapport a révélé qu’un analyste de SOC passe 25 % de son temps en moyenne à la recherche des faux positifs.

Personnel

L’exécution du SIEM nécessite du personnel à temps plein, à un moment où le manque de talents rend difficile le recrutement en cybersécurité. Les petites et moyennes entreprises n’ont généralement pas le personnel et l’expertise requis pour dédier des employés à temps plein pour la mise en œuvre correcte et l’ajustement continu du SIEM.

Alertes

L’exécution d’un SIEM mal configuré et mal ajusté peut en fait exposer votre organisation à de plus grands risques. Vos analystes de sécurité devront simplement ignorer un grand nombre d’alertes, et ils ne seront pas en mesure d’obtenir un panorama complet de celles qui sont les plus critiques.

Sécurisation du cloud avec le SIEM

Avec l’introduction du SaaS et d’autres offres cloud, l’intégration et la gestion d’une plate-forme SIEM devient bien plus compliquée. Le cloud ajoute non seulement de nombreuses nouvelles sources de journaux, mais les règles sont également différentes de celles d’un environnement basé sur du matériel.

La technologie SIEM a été créée pour une architecture de données sur site, où le périmètre réseau est bien défini. Les configurations SIEM sur site ne sont pas destinées aux environnements cloud hybrides, dans lesquels le périmètre est flou car les utilisateurs accèdent à des applications SaaS de n’importe où et sur plusieurs appareils.

L’un des plus grands problèmes avec l’ingestion des journaux du cloud dans le SIEM correspond aux volumes de données supplémentaires massifs générés. Le SIEM traditionnel n’était pas conçu pour suivre le rythme de ce niveau de données.

En outre, le SIEM n’est pas suffisamment agile pour des services cloud tels que les microservices. En effet, dans un environnement basé sur du matériel sur site, les règles reposaient généralement sur des problèmes connus. Ce n’est pas le cas sur le cloud, où les menaces évoluent rapidement.

Du fait des complexités dérivées du cloud, de nombreuses organisations ont simplement renoncé à l’idée d’utiliser le SIEM pour obtenir de la visibilité sur leur infrastructure cloud. Cela les expose à des risques supplémentaires, car les fournisseurs de cloud ne sont pas responsables de la sécurité de vos actifs cloud.

Certains fournisseurs offrent désormais des plates-formes SIEM natives cloud, mais celles-ci présentent aussi des inconvénients. Dans la plupart des cas, elles ne stockent les journaux que pendant une période limitée. Elles peuvent également s’avérer plus coûteuses qu’un SIEM sur site.

Le SOC en tant que service pour répondre aux difficultés SIEM

Le SIEM a encore un rôle à jouer dans le SOC, mais pour les petites et moyennes entreprises ayant besoin de plus d’agilité et de rentabilité dans un environnement cloud hybride, ce n’est pas une solution viable.

Lorsque vous récapitulez tous les inconvénients et limitations du SIEM, y compris les pénuries de personnel, les imprécisions, l’ajustement manuel et le temps important de retour sur investissement, il est clair que vous avez besoin de trouver une autre solution pour détecter les menaces et y répondre.

Le SOC en tant que service vous donne tous les avantages d’un SIEM et d’un SOC sur site, mais sans le casse-tête de l’investissement initial en capital et en recrutement.

Un fournisseur de SOC en tant que service a l’agilité et les ressources pour ingérer et analyser les données de tous vos outils de sécurité, l’équipe 24 h/24 7 j/7 nécessaire pour exploiter un SOC, ainsi que l’expertise pour vous fournir une détection des menaces et mesures d’intervention en permanence.

Au contraire du SIEM, le SOC en tant que service est une solution clé en main qui vous assure un retour sur investissement immédiat. Il élargit vos outils de sécurité et votre équipe et élimine tous les problèmes d’entretien et d’alimentation liés au SIEM.

Leader des Security Operations

Vous cherchez à améliorer la sécurité dans votre organisation ? Arctic Wolf combine une plate-forme cloud native à la Concierge Security^® Team hautement qualifiée pour fournir une surveillance, une détection et une réponse 24 h/24, 7 j/7, ainsi qu’une gestion des risques continue. Contactez-nous pour découvrir comment nous pouvons renforcer votre posture de sécurité.

Arctic Wolf

Arctic Wolf provides your team with 24x7 coverage, security operations expertise, and strategically tailored security recommendations to continuously improve your overall posture.

Sujet

Continue Reading

Les huit principales cyberattaques du secteur juridique

© 2024 Arctic Wolf Networks Inc. All Rights Reserved.
Privacy Notice	Terms of Use	Cookie Policy	Accessibility Statement	Information Security	Sustainability Statement	Cookies Settings

SOLUTIONS

INDUSTRIES

Quickly detect, respond, and recover from advanced threats.

Detect and respond to advanced threats targeting your cloud infrastructure and applications.

Discover, assess, and harden your environment against digital risks.

Explore, harden, and simplify your cloud environment against misconfiguration vulnerabilities.

Engage and prepare employees to recognize and neutralize social engineering attacks.

Recover quickly from cyber attacks and breaches, from threat containment to business restoration.

HOW IT WORKS

Delivering security operations outcomes.

Collect, enrich, analyze.

Ecosystem integrations and technology partnerships.

Tailored security expertise and guided risk mitigation.

Security experts proactively protecting you 24×7.

Meet some of the security experts working alongside you and your team.

TRENDING RESOURCES

Understanding ransomware — from its origins to its impacts to the TTPs that allow ransomware gangs to exploit victim organizations and make off with millions in ransom payments and extortion fees.

The elite security researchers, data scientists, and security developers of Arctic Wolf Labs share forward-thinking insights along with practical guidance you can apply to protect your organization.

Learn how our Concierge Security® and Triage Security Teams help end cyber risk.

SECURITY BULLETINS

CVE-2024-3400: Follow Up: Patches Released for Actively Exploited Critical Vulnerability in GlobalProtect Feature of PAN-OS

CVE-2024-26234 for Windows and CVE-2024-29053 for Defender for IOT highlighted in Microsoft’s April 2024 Patch Tuesday

CVE-2024-3400: Critical Vulnerability in GlobalProtect Feature of PAN-OS being Actively Exploited

COMPANY