Les stratégies de sécurité des entreprises ont évolué pour prendre en compte leurs besoins croissants en terme d’automatisation de rapports de conformité, en terme de détection d’incidents, et surtout en terme de réponses aux incidents (si possible automatisées). Elles s’appuient de plus en plus sur des équipes d’experts, les SOC (pour Security Operation Center), et des outils spécifiques aujourd’hui en pleine évolution. Dans les SOC, les outils quotidiens d’analyse se perfectionnent sans cesse pour s’adapter à la nature changeante de la cybermenace, et notamment à des modes opératoires d’attaques de plus en plus sophistiqués, comme c’est le cas par exemple avec le phishing. Parmi ces outils, il en est un qui est central : le SIEM (se prononce SIM).

Prenons d’abord le temps de comprendre comment fonctionne un SIEM avant de faire un focus sur comment il peut être utilisé pour bloquer de façon optimale ces nouvelles attaques de phishing.

Intérêt d’un SIEM

Le SIEM est un système de gestion des informations et des événements de sécurité. Au départ, c’est un outil qui collecte toutes les traces d’activités (logs) des différents composants de l’infrastructure, puis il les trie et les stocke. Cette centralisation des données et notamment des données relatives aux évènements de sécurité, dote le SIEM d’une capacité potentielle de détection des attaques qui seraient passées inaperçues malgré la présence d’équipements performants comme des logiciels EDR par exemple (pour Endpoint Detection and Response). Un EDR peut identifier des failles de sécurité connues (notamment à partir des CVE) mais n’aura pas malheureusement de vision globale d’une attaque.

Certains SIEM peuvent ainsi prétendre bloquer de nouvelles attaques (si toutefois celles-ci sont encore en cours), car la corrélation des informations provenant de toutes les applications, tous les comportements utilisateurs, et tous les accès aux données internes, voire externes, montre des anomalies.

Si les SIEM existent depuis de nombreuses années, les premiers d’entre eux ne s’adressaient qu’aux grandes organisations avec des moyens conséquents et de vastes équipes d’analystes (SOC). Toutefois le renforcement récent des SIEM avec des outils complémentaires comme les outils de SOAR (Security Orchestration Automation & Response) a permis l’émergence de SIEM adaptés aux entreprises de taille plus modeste.

On trouve aujourd’hui des SIEM sous différentes formes : logiciel à déployer en local, Appliance physique ou virtuelle dédiée, ou encore service dans le cloud. Le SOC n’est donc plus nécessairement situé dans l’entreprise, mais peut être loué en tant que service externe, pour une meilleure maîtrise des coûts. Et plus encore, l’offre des SIEM s’est enrichie de manière modulaire, avec l’apparition de Marketplace dédiées, qui ont pour objectif de renforcer l’analyse et le traitement des données par des outils experts, adaptés aux besoins spécifiques d’une organisation. Il faut rappeler qu’un SIEM n’a de sens que si sa conception est entièrement inspirée par les spécificités d’une organisation. En d’autres termes, l’efficacité des SIEM est intimement liée à la hiérarchie spécifique des agents de collectes, au choix des priorités sur l’inspection des évènements et la pondération des anomalies. Le travail des administrateurs est essentiel pour élaborer un profil du système et identifier des conditions anormales de fonctionnement. En effet, un moteur de corrélation statistiques, le plus puissant soit-il, ne donnera aucun résultat exploitable si l’outil n’est pas correctement calibré.

 

Partagez avec vos collègues  Téléchargez l'infographie Phisher's Favorite Trimestre 3

 

Compléter les SIEM, pour renforcer la performance des SOC

 

Une fois le SIEM mis en place, il est à priori capable de corréler les données de journalisation de toute une liste d’hôtes, pour reconstituer une chronologie d’évènements, puis déterminer la nature de l’attaque, et pour en évaluer les conséquences, tout ceci en quasi temps-réel. Mais vu la quantité déjà énorme de données à traiter, et vu l’accroissement permanent des informations liées aux traces d’activités, la simple analyse statistique traditionnelle des SIEM ne suffit plus.

Heureusement, aujourd’hui, le SIEM peut aller plus loin, à condition qu’on lui associe :

– des outils UEBA, qui incluent l’analyse du comportement de chaque utilisateur et de chaque entité

– des outils de SOAR, qui vont s’appuyer sur toutes les analyses disponibles pour conduire une forme d’orchestration de la sécurité, et proposer une réponse automatisée pour chaque type d’incident.

 

Ainsi, et suite à la centralisation de tous les signaux par le SIEM, les outils UEBA et de SOAR ajoutent à l’analyse statistique traditionnelle un gain considérable en terme d’efficacité sur la réponse à incident.

 

Les outils de SOAR en particulier, permettent d’économiser du temps et des ressources, et permettent d’absorber la surcharge d’incidents, mais pas seulement. Les outils de SOAR vont accélérer le confinement des menaces et réduire l’ampleur des dommages potentiels, sans modifier l’architecture du système en place. En deux mots ils renforcent la résilience du système, et c’est une notion fondamentale dans le domaine de la cybersécurité.

 

SOAR & SIEM : ensemble pour lutter contre le phishing, en temps-réel

 

Pour donner un exemple concret d’orchestration de la sécurité et d’automatisation de la réponse, prenons quelques acteurs connus dans le monde des SIEM : ArcSight, Rapid7, Mandiant, Splunk, Demisto ou encore Siemplify. Chacun d’entre-eux autorise l’intégration d’applications pour renforcer les analyses statistiques. Concentrons-nous sur une problématique classique et récurrente, les attaques de phishing, avec un besoin impératif d’améliorer la détection des URLs de phishing. La manière la plus simple d’intégrer de nouvelles fonctionnalités serait de créer un nouveau « playbook », ou de modifier un scenario existant. La rédaction d’un playbook est la manifestation concrète de l’orchestration souhaitée, et dans le cas présent, un playbook destinée à la détection de phishing peut être améliorée avec l’intégration (sous forme par exemple d’API) d’une source d’information externe. On peut même imaginer interroger plusieurs sources fiables d’informations différentes.

 

Rappelons que le phishing est une menace complexe, basée sur l’usurpation d’identité, avec des liens web parfois très difficiles à identifier. Les méthodes de création de pages de phishing et les méthodes pour y attirer la cible sont de plus en plus évoluées. Il est donc préférable de se doter de toutes les sources d’informations utiles, en complément des analyses locales.

 

Au sein du SIEM, les liens web vont pouvoir être extraits des flux emails, des navigations internes, ou des communications instantanées. Ceci représente pour le SIEM un nombre conséquent de liens et de pages à vérifier, le tout en temps réel. Mais il s’agit d’un sujet critique qui intéresse fortement les SOC, et qui nécessite la réponse la plus précise possible et la plus rapide possible, sans risque d’erreur.

Et cependant, en terme de qualité des données relatives au phishing, on se retrouve face à un challenge de taille, car les pages web sont parfaitement imitées, les codes malveillants de mieux en mieux masqués, et les liens semblent souvent sans danger, même pour l’œil averti. Il faut dont de préférence des outils d’analyses dédiés au phishing, fiables, et performants.

Si dans les outils de SOAR, il est envisageable d’intégrer plusieurs bases de référencement d’URLs de phishing, il est aujourd’hui recommandé d’y adjoindre des outils dédiés, qui ne se contenteront pas de consulter une liste, mais qui exploreront en temps-réel des URLs soumises pour en analyser le contenu, à l’aide d’algorithmes de machine learning entraînés à reconnaître des pages de phishing. Dans ce cas, la lutte contre le phishing est aidée par l’intelligence artificielle, sous forme d’outils qui peuvent facilement être appelés dans un playbook.

 

Partagez avec vos collègues  Téléchargez l'infographie Phisher's Favorite Trimestre 3

 

 

L’IA, indispensable pour détecter les URLs de phishing

 

En définitive aujourd’hui, l’enjeu du SIEM se trouve plutôt dans la concrétisation d’une solution mieux adaptée au cyberattaques, et qui réduit l’effectif humain des SOC à un niveau raisonnable, tout en proposant une recette personnalisée, plus proche des besoins propres à la stratégie de sécurité de l’entreprise.

 

Par ailleurs l’intelligence artificielle a assurément un rôle important à jouer dans le traitement des données d’un SIEM, par exemple pour lutter contre le phishing, car trop peu de solutions permettent aujourd’hui d’automatiser et d’orchestrer la réponse au phishing, en intégrant des algorithmes d’identification de ces pages. Intégrer des algorithmes de machine learning capables d’explorer en temps réel toute page suspecte donnerait instantanément plus d’efficacité aux SOC.

 

La maturité des SIEM passe donc indéniablement par l’intégration de l’IA, et c’est une bonne nouvelle :  l’entreprise va maintenant pouvoir disposer d’une véritable méthode d’anticipation du risque, là où la sécurité peine depuis longtemps à trouver une solution

 

Comme l’a annoncé Guillaume Poupard lors des Assises de la Sécurité cette année, les méthodes de gestion du risque ont évolué pour s’adapter aux méthodes d’attaques, et la collaboration entre experts, décideurs et métiers offre de nombreuses possibilités très prometteuses. Combiner différentes analyses au sein d’un SIEM en est une preuve très concrète.

Contactez nos experts IsItPhishing Threat Detection