Rechercher

Quel avenir pour le SIEM ?

Si le SIEM (Security Information Management System) a révolutionné la détection et la gestion des alertes de cybersécurité, il doit aujourd’hui relever de nouveaux défis technologiques. Une analyse signée par l’équipe CyberSOC d’Orange Cyberdefense.

SIEM : historique

La littérature informatique place la création des premiers SIEM (Security Information Management System) vers la fin des années 1990. A l’époque, ils n’en portent pourtant pas encore le nom. Ce n’est en effet qu’en 2005 que Mark Nicolett et Amrit Williams, deux analystes travaillant chez Gartner, inventent l’acronyme qui deviendra une référence pour le marché de la cybersécurité.

Et pour cause, même s’ils rencontrent des limites certaines, les premiers SIEM offrent aux équipes IT une visibilité en temps réel permettant de traiter et centraliser un nombre conséquent d’alertes de sécurité et d’aider à mieux comprendre certains évènements préoccupants présents sur le système d’information (SI).

Cependant, difficilement “scalables” et assez complexes à configurer, les premiers SIEM vont rapidement être considérés comme des “schelvesware“, des produits IT trop lourds et trop complexes qui finissent sur une étagère. « La scalabilité » n’était pas le seul facteur limitant. Faire entrer ou sortir des données d’un SIEM représentait un challenge majeur, les dashboards et rapports restaient basiques, et les alertes simples par nature, ce qui restreignait les possibilités de corrélation et d’enrichissement », écrit techerarati.com en juin dernier.

Arrive donc naturellement une nouvelle génération de SIEM capable de traiter un nombre incalculable d’alertes et mettant à disposition des experts, traitements de corrélation, rapports et dashboards bien plus performants. Ces nouveaux SIEM rendent également possible la rétention des journaux d’évènements (ou logs) durant une plus longue période, facilitant les investigations post-attaques.

Ils intègrent également une approche modulaire qui va augmenter les capacités du SIEM avec l’intégration de la Threat Intelligence, de moteurs d’analyse UEBA (User and Entity Behavior Analytics) ou encore d’investigation comme l’”Advisor with Watson” pour la solution IBM QRadar.

SIEM : quelles réalités aujourd’hui ?

Les atouts du SIEM

Les apports du SIEM aux équipes de cybersécurité sont sans appel. En tête, la centralisation des données, offrant une visibilité globale et en temps réel aux experts, décuplant ainsi leur capacité de détection et de réponse aux incidents.

Second atout de taille : le traitement intelligent des données. Les technologies SIEM, avec lesquelles nous travaillons aujourd’hui, disposent de moteurs de corrélation s’appuyant sur des mécanismes d’apprentissage (machine learning). Une avancée technique qui a permis de développer une approche basée davantage sur des scénarios de risques élaborés, limitant les faux-positifs et autorisant une couverture de plus en plus large des menaces.

A noter que la technologie UEBA, qui ne s’appuie pas forcément sur le machine learning, a aussi représenté une réelle avancée dans l’analyse des comportements machines et utilisateurs.

Précisons également que le SIEM est désormais capable d’intégrer différents formats de logs, donc, de normaliser tout type de données, de les classer et de les pondérer. Cette normalisation a notamment généré des cas d’usage plus précis, renforcés par les investigations post-incident permises par la rétention des logs sur le long terme.

Enfin, l’interopérabilité du SIEM reste une réelle source de flexibilité en améliorant la création de nouveaux parsers (analyseurs syntaxiques) et le développement de connecteurs API (interfaces de programmation) vers des solutions tierces.

Les limites du SIEM

La première limite du SIEM se trouve dans la nature même de l’évolution des menaces : les types de données différentes à traiter n’ont jamais été aussi nombreux qu’aujourd’hui, ce qui donne lieu à une normalisation sans fin, dépendant également d’un contexte qui change d’un client à un autre.

Le SIEM étant basé sur des règles de corrélations conditionnelles – c’est-à-dire répondant à des requêtes de type « Si… alors » – il demeure extrêmement difficile d’appliquer les standards des éditeurs. Les conditions étant par nature uniques pour chaque client, il nous faut repartir de zéro à chaque développement.

En outre, les experts ont fait face à l’explosion du nombre de règles de corrélation, rendant impossible le traitement de tous les cas de figure. « Avant le SIEM, les professionnels de sécurité étaient essentiellement aveugles, incapables de voir ce qui se passait sur leurs propres environnements IT. La première génération de SIEM leur a redonné la vue, mais la seconde l’a reprise en présentant plus de données qu’ils ne pouvaient possiblement traiter », explique encore l’article cité au début de notre analyse. Si le nombre de faux-positifs a pourtant diminué, il n’en reste pas moins que ces derniers demeurent considérables, et ce, malgré les promesses de l’intégration du machine learning.

Enfin, le SIEM est une technologie créée il y a une vingtaine d’années, ce qui en IT, est important. Le cœur de corrélation n’a en réalité pas été mis à jour depuis près de quinze ans, ce qui soulève une question cruciale : comment le SIEM doit-il évoluer pour s’adapter à l’évolution de la menace et des environnements IT des clients ?

SIEM : quelles évolutions ?

Le SIEM : pour qui ?

Avant de parler d’évolution, il est important de rappeler que tous les clients n’ont pas forcément besoin d’un SIEM. Les petites entreprises, traitant un nombre assez restreint de données, ont-elles un réel intérêt à utiliser la même technologie qu’une multinationale ?

Le pragmatisme est en effet de rigueur car un SIEM a un coût d’acquisition, de fonctionnement et de maintenance pouvant atteindre des millions d’euros. Aussi, dans ce contexte, des offres de SIEM adaptées à des petites structures se sont développées ces dernières années. Hébergées au sein d’un cloud, elles proposent par exemple des modèles de facturation indexés sur le nombre d’employés et non sur celui des évènements de sécurité. Ce qui, pour une PME, est bien plus rentable.

SIEM : des défis technologiques

Les SIEM ont été conçus pour centraliser des logs divers et non traiter des données hétérogènes. Aussi, nous devons passer à un modèle influencé par des cas d’usage métier adaptés aux problématiques réelles des entreprises. Il n’est aujourd’hui plus possible d’ajouter des fonctionnalités majeures sans revoir le cœur de fonctionnement du logiciel, encore trop lourd et difficile à maintenir.

Pour faciliter encore davantage la normalisation des logs et limiter le nombre de faux-positifs, pourquoi ne pas utiliser le deep learning pour le parsing (analyse syntaxique) ? Nous sommes capables de faire de la reconnaissance d’images et du traitement du langage naturel (NLP) ; ces mêmes technologies appliquées aux logs feraient gagner un temps précieux aux experts. Car aujourd’hui, rappelons que la définition du parsing est principalement effectuée par l’humain et non la machine.

A noter que le parsing, la contextualisation, ainsi que le développement de règles et use cases demandent également une expertise produit. En effet, chaque solution possède ses propres langages, ce qui, dans une période de pénurie de compétences, devient un réel problème pour tous les acteurs du marché. Une initiative notable portée par Florian Roth, CTO de Nextron Systems et Thomas Patzke, expert en cybersécurité, a pour ambition de proposer un format de règles génériques et open source (ainsi que son convertisseur) permettant d’adapter ses signatures aux plateformes supportées. Ce projet permet notamment de partager ces règles de détection, tout en étant agnostique de la technologie. Un projet à suivre de près.

La création des contextes de détection est réalisée manuellement. A titre de compréhension, prenons l’exemple d’un utilisateur avec un profil administrateur : son comportement soulèvera, de fait, moins d’alertes qu’un autre. Un salarié n’ayant pas le profil administrateur mais ayant des actions similaires alertera le SIEM de son entreprise. Aujourd’hui, comme pour le parsing, c’est à la main que ce genre de règles est entré dans l’outil. Or, le machine learning pourrait mettre en évidence ce type de comportement après un apprentissage des profils administrateur et utilisateur.

Toutes ces idées nécessitent bien entendu que nos clients soient très matures sur les questions de cybersécurité, car, nous le savons, l’angle purement technologique a ses limites : pour que cette approche fonctionne, les entreprises doivent connaître et être capables de modéliser leurs risques ou avoir été accompagnées pour ce faire.

Les évolutions du SIEM : conclusion

Les systèmes de gestion de bases de données (SGBD), ainsi que les moteurs de corrélation vieillissants, laissent la part belle à de nouveaux acteurs et notamment les GAFAM (Google, Amazon, Facebook, Apple, Microsoft). Car l’avenir du SIEM semble aller inévitablement vers le cloud. Selon Gartner, 80% des solutions de SIEM auront des fonctionnalités qui seront uniquement accessibles dans le cloud (stockage des logs, analyses, management des incidents…). Aujourd’hui, ce chiffre n’atteint que 20%.