Le SIEM : ce mirage de la Sécurité informatique.

SIEM for cybersecurity

For the English version of the blog, click here.

 

Pour ceux qui ne le sauraient pas, un SIEM c’est quoi:

« Appelés également SEM (security event management) ou SEIM (security event information management) ou encore SIEM (security information and event management), ils permettent de gérer et corréler les logs. On parle de corrélation car ces solutions sont munies de moteurs de corrélation qui permettent de relier plusieurs évènements à une même cause. »
Merci Wikipedia !

Pour faire simple: le SIEM pour deux évènements anodins pris à part, va être capable d’en créer un nouveau.

Parce que rien ne vaut un exemple:
Log 1 : Madame Michu a réussi à se connecter sur son poste à Paris à 10h01 GMT+1. Tout va bien.
Log 2 : Madame Michu a réussi à se connecter sur son poste à New York à 10h04 GMT+1. Tout va bien.
Suite au passage dans le moteur de corrélation :
Log 3 : Alerte ! Madame Michu a le don d’ubiquité. Rien ne va plus.

Vous l’aurez compris, c’est très pratique pour se rendre compte qu’il y a une anomalie sur le SI. Cela permet de donner un autre angle d’approche, une nouvelle visibilité.
Cela permet d’adresser des points assez triviaux comme des points beaucoup plus complexes et potentiellement basés sur plusieurs technologies pour peu que ces dernières génèrent des logs.

Super! Nous venons donc de trouver la solution à tous nos problèmes de sécurité sur le SI. Le SIEM, tel un Oracle, va tout voir et tout nous dire.

Désillusion.

Car le centre névralgique d’une solution SIEM c’est son moteur de corrélation. Mais ce moteur pour avancer a besoin de savoir sur quoi s’appuyer. C’est là que rentre en jeu la valeur ajouté du SIEM: Les règles/Les signatures.
Sans règle ni signature, le SIEM ne sais pas que le fait que Madame Michu ait le don d'ubiquité soit un problème pour moi.

Attardons nous sur ces règles et posons la question suivante : d’où viennent-elles ?
Elles viennent, dans le meilleur des cas, d’une analyse de risques.
Analyse de risques, qui elle-même est tirée des retours d’expérience et/ou des incidents qui sont arrivés et/ou craints. Il s’agit d’une connaissance existante.

Se faisant le SIEM peut être comparé à un antivirus ou à du patch virtuel.
Le SIEM comportera des règles/signatures en fonction de scénarios.
Le SIEM nous remontera donc ce que nous connaissons déjà.
Aucune requête n’existe pour interroger les logs sur un comportement que l’on ne connait pas.

Si l’on pousse cette vision à l’ extrême il est possible de dire que si nous savons ce que nous craignons, le SIEM est le moyen en aval de ne pas régler un problème de sécurité connu en amont.

Le rôle du SIEM devrait être de temporairement mettre en exergue certains points ou de contrôler des problèmes de sécurité connus. Il permet d’être un levier permettant de rentrer dans un cercle vertueux au sein de l’entreprise, dans lequel chaque point remonté doit être corrigé au fur et à mesure.

Mais alors une solution capable d’adresser même ce que l’on ne connait pas c’est possible? Sommes-nous démunis face à cette menace?
Et bien non!
Il faut se concentrer sur ce qui est commun à toutes les attaques : le comportement déviant.
Une attaque, par essence, va créer un comportement non attendu et anormal. Si une déviation est observée, elle peut être relevée, et peut faire l’objet d’une explication/remédiation.

Pour ça il existe des outils qui sont basés sur des modèles statistiques/mathématiques.
Nous ne sommes plus sur une analyse via signatures mais bien sur de l’analyse heuristique.
Là encore, point de solution magique, un temps d’apprentissage (important) est à prévoir. Et les faux positifs seront quotidiens. Cependant cela finit par s'affiner et être de plus en plus pertinent.

Bref, il ne faut pas confondre les outils. Chacun a son utilité.

Donc si je devais résumer:

  • Si vous voulez adresser des problèmes connus: il vous faut un SIEM
  • Si vous voulez adresser des problèmes qui à ce jour ne sont pas connus: il vous faut un outil d’analyse comportementale.

Les deux ne sont pas incompatibles, il faut juste bien cibler le besoin.

Et vous quel est votre besoin?

On-demand webinar: how to achieve autonomous and optimized hunting and detection for cybersecurity

    Related posts

  • Living on the Defensive

    Living on the Defensive

    Read More
  • Pros and Cons of Unsupervised Vs Supervised Machine Learning

    Pros and Cons of Unsupervised Vs Supervised Machine Learning

    Read More
  • Gambling with Connections

    Gambling with Connections

    Read More