Contrôle des applications et corrélation: vers une approche systémique ?
Un temps réel 3.0 avec l’intelligence en plus pour accélérer la détection d’attaques furtives? Les approches systémiques qui visent a corréler les données propres aux end-users avec celles des composants des réseaux explorent une voie nouvelle pour 2016.
Explications
En 2015, cela sonne comme une évidence : sécuriser l’accès aux applications est une priorité. Notamment les applications SaaS particulièrement utilisées dans les services Cloud. Reste que la sécurisation de l’accès aux applications SaaS ne suffit plus. Pour l’ensemble de la panoplie applicative, et pour toutes les entreprises, il faut également veiller, en appliquant les politiques de sécurité « métier », à détecter les données douteuses et prévenir leur perte. Il faut bien évidemment continuer à se protéger contre les codes malveillants et notamment les APT. Cette approche nouvelle suppose d’établir des échanges en temps réel avec des composants du qui s’ignoraient. C’est le but d’une approche systémique.
Premier point
Lorsqu’on évoque la corrélation d’informations liées à la gestion on parle évidemment de SIEM. Mais bon nombre de systèmes de gestion des informations et des événements de sécurité (SIEM) n’interviennent pas en temps réel.
Deuxième point
L’une des finalités de ces systèmes c’est aussi d’avertir les décideurs IT lorsqu’ils détectent des signaux « à risques » sur un trafic suspect. La plupart des systèmes en environnements homogènes fonctionnent sur la base de détection d’applications douteuses porteuses d’attaques de masse en ignorant trop souvent les autres familles d’attaques. Plus rares celles-ci n’en sont pas moins plus dangereuses, c’est le cas des attaques APT (Advanced Persistent Threats).
Troisième point
Pour affiner la détection d’applications porteuses d’attaques à signaux faibles, certains éditeurs développent une vision systémique de la cybersécurité. Il s’agit d’une sorte de SIEM 3.0 en temps réel et ouvert a tous les composants d’un SI mobiles inclus.
Philosophie d’une approche systémique
La philosophie d’une approche systémique écarte la détection d’attaques de masse pour mieux cerner celles plus avancées et souvent furtives. C’est dans cet esprit que des projets se développent comme la prochaine version UTM de Sophos. L’idée consiste à faire travailler ensemble et en temps réel des « corrélateurs » d’informations qui habituellement s’ignorent. En pratique, les systèmes end-users et réseaux échangent et partagent sur une base commune des informations souvent dispersées. Cette construction permet d’intensifier les mécanismes de détection en temps réel. Cette approche évite également les redondances d’informations et facilite la mise en place de corrélation plus riches. Elle peut donner naissance a un nouveau territoire de connaissances sur le comportement et le contrôle des applications. En réunissant des données propres aux « end-users » à celles connues par les réseaux, les labos de certains éditeurs « anti malware » ouvrent une voie nouvelle pouvant aller jusqu’à l’arrêt d’applications à l’origine d’un trafic réseau suspect. L’approche systémique peut se passer de certains outils propres aux environnements SIEM et privilégier des solutions intelligentes de collecte et d’analyse de logs (SIM) associées à la gestion d’événements de sécurité (SEM). Les données récoltées constituent une base intéressante pour que les équipes Sécurité puissent enquêter. La dimension humaine reprend alors sa légitimité via des outils plus performants. Reste les conditions d’utilisation: fin 2015, une approche systémique en environnement hétérogène est encore à l’étude. En environnement hétérogène, l’interface avec des SIEM est encore privilégiée. Pour bon nombre d’entreprises de taille moyenne souvent homogènes dans leurs choix « sécurité » et qui n’ont pas accès aux bénéfices d’un SIEM, une solution intégrée « systémique » apparaît comme plus efficace et avantageuse.
Dernier point
Les accès aux applications de type « shadow IT » (non autorisées en entreprise) s’intensifient. Ce qui engendre de nouveaux risques puisque ces applications « shadow IT » ne sont pas reconnues par les SI. Cependant, la dernière étude de Frost & Sullivan relève que 35% des applications SaaS utilisées en entreprise ne sont pas autorisées. Pire 15% des usagers ont subi un problème de sécurité, d’accès, ou autres lors d’une utilisation en mode SaaS. Une raison supplémentaire de porter un intérêt aux solutions « systémiques ».
Partagez Contrôle des applications et corrélation : vers une approche systémique ?
http://wp.me/p2YJS1-28o