Gestion des connexions VS SIEM – La bataille de la détection des menaces
Comment la gestion des connexions avec UserLock aide à détecter les menaces de sécurité par rapport à une solution SIEM? UserLock fait de la connexion elle-même un événement scruté et protégé. La possibilité de se connecter avec succès (et de rester connecté) ne dépend plus seulement de l’utilisation des bons identifiants.
Publié le 14 mai 2018Comme tout service informatique, vous avez commencé à protéger votre réseau avec quelques solutions ponctuelles axées sur la sécurité d'une partie de votre environnement. Mais à mesure que votre stratégie de sécurité évoluait, vous vous êtes rapidement aperçu que la méthodologie de la solution ponctuelle n'était pas évolutive: vous n'avez pas le temps de maîtriser plusieurs plates-formes, vous avez besoin d'une visibilité unique pour toutes les solutions, et vous devez tirer parti des données de plusieurs solutions pour fournir un meilleur contexte lors de l'évaluation de l'état actuel de la sécurité.
Ainsi, comme la plupart des entreprises, vous avez investi dans une solution de Gestion d'information et d'événements de sécurité (SIEM) ou envisagez de le faire. Si vous n'êtes pas familier avec la SIEM, il s'agit d'une solution de consolidation, d'analyse, de création de rapports et d'alerte de journaux qui corrobore les données d'événements de sécurité de nombreuses sources pour vous donner une visibilité de votre environnement.
Les solutions SIEM ont leurs avantages: une seule vue de sécurité sur l'ensemble de vos systèmes et applications, une vue d'activité utilisant plusieurs sources pour fournir un contexte, une corrélation entre des ensembles de données autrement disparates et bien d'autres.
Mais les solutions SIEM ne sont pas sans défis:
Une solution unique signifie des ensembles de données très volumineux pour filtrer, corréler et trouver des cas d'activité suspecte ou anormale
Une configuration incorrecte des événements corrélés peut entraîner beaucoup de faux positifs
Nécessite une expertise significative pour bénéficier réellement de la solution
En fin de compte, la solution SIEM est elle-même un moyen d'atteindre une sécurité optimale, d'abord par la détection de comportements anormaux, puis par la mise en contexte de l'activité de l'utilisateur. Et c'est là que brillent les solutions SIEM - les solutions SIEM peuvent avoir tellement de détails sur les actions des utilisateurs, qu'il est difficile de trouver un remplaçant.
Mais considérez que la seule raison pour laquelle l'organisation a besoin de toutes ces données sur l'activité des utilisateurs est généralement parce que la détection des menaces n'est pas arrivée assez tôt. Pensez-y: si vous pouvez détecter (et, potentiellement, arrêter) une menace bien avant que des actions malveillantes aient lieu, il n'y a pas besoin de données d'activité (en fait, il n'y en aura pas). Et s'il y a un moyen d'atteindre plus facilement cette fin, cela vaut la peine d'explorer.
Alors, permettez-nous de plaider en faveur d'un moyen unique et simplifié pour fournir une meilleure sécurité, sans la complexité d'un scénario SIEM - l'utilisation d'une solution de gestion de connexion telle que UserLock - pour une meilleure sécurité dans la détection des menaces.
Dans ce livre blanc, nous allons définir la gestion des connexions, analyser ce qu'il faut faire pour détecter une menace potentielle et examiner comment (et dans quelle mesure) chaque type de solution résout le problème.
Le concept de gestion des connexions peut être un peu étranger à de nombreuses organisations, car la plupart n'ont même pas pris de mesures pour surveiller correctement toutes les activités de connexions. L'idée derrière cette solution est non seulement de vérifier les connexions (vous pouvez le faire avec SIEM seul), mais aussi d'ajouter des politiques et des restrictions autour des connexions, de sorte que la connexion elle-même devienne un événement géré. Vous ne voulez pas que quelqu'un se connecte avec des droits d'administrateur après les heures de travail? La solution de gestion des connexions répond à cela. Limiter l'accès à vos contrôleurs de domaine uniquement aux machines internes d'un sous-réseau donné? Cela aussi.
En soit, la gestion des connexions fait de la connexion elle-même un événement scruté et protégé. La possibilité de se connecter avec succès (et de rester connecté) devient plus que juste si les bonnes informations d'identification sont utilisées.
Il existe quatre fonctionnalités de base pour la gestion des connexions :
Politiques et restrictions – Au lieu de simplement permettre à tout le monde de se connecter à ce qu'il veut, la gestion des connexions utilise des restrictions basées sur des règles pour définir qui peut se connecter, comment (par exemple RDP, local), d'où, à quelle fréquence et quand.
Surveillance et audit – Chaque connexion est surveillée et testée par rapport aux stratégies existantes afin de déterminer si une connexion doit être autorisée ou non.
Alertes et réponses – Les alertes sont utilisées pour informer le service informatique (ou les utilisateurs appropriés) des connexions réussies et des tentatives de connexions infructueuses. En plus des connexions refusées, les déconnexions peuvent être forcées - manuellement et automatiquement - pour assurer la sécurité à la connexion.
Rapports – Cela devrait aller au-delà d'un rapport d'audit de qui s'est connecté et d’où. Étant donné que la gestion des connexions prend des mesures (à la fois pour autoriser et refuser des ouvertures de session), la création de rapports est nécessaire pour garantir la sécurité et la conformité.
Maintenant, il est vrai, cela ne ressemble, ne sonne et ne fonctionne pas comme une solution SIEM. En fait, autre que la fonctionnalité d'audit, c'est une solution complètement différente de SIEM. Et cela pourrait être un peu confus - tout le monde sait qu'une solution SIEM est le choix de la solution pour détecter à peu près n'importe quoi dans votre environnement.
Alors, comment la gestion des connexions aide à détecter les menaces, par rapport à une solution SIEM?
Commençons par établir les types de menaces dont nous parlons. Vous avez des menaces externes et des menaces internes qui vous préoccupent.
Les menaces internes sont, en général, difficiles à identifier, car les utilisateurs abusent simplement de leurs informations d'identification existantes pour agir en leur propre nom. Les menaces externes ont tendance à être perçues comme étant un peu plus faciles à détecter, car des actions telles que l'exfiltration de quantités massives de données se démarquent comme étant inhabituelles.
La clé pour détecter l'un ou l'autre type de menace est de surveiller un comportement anormal. C'est l'une des raisons pour lesquelles SIEM est un choix commun pour la détection des menaces. Mais, voyons comment la gestion des connexions se place.
Pour créer cette comparaison, utilisons quelques objectifs de sécurité fondamentaux que chacune des solutions devrait tenter d'atteindre:
Identifiez la menace potentielle le plus tôt possible dans le processus d'attaque. Plus la détection est précoce, moins l'acteur de la menace (interne ou externe) peut faire de dommages.
Créez aussi peu de faux positifs que possible. La détection consiste à observer le comportement et à déterminer si il est anormal et / ou suspect. Si les paramètres de détection sont trop larges, l’équipe informatique passe son temps à chasser les fantômes et à n’arrête pas les menaces - ce qui nous amène au dernier objectif ...
Arrêtez la menace. C'est un objectif plus idéaliste, car toutes les solutions n'ont pas la capacité pour cela. Mais, au minimum, nous recherchons des détails contextuels dans cette comparaison pour aider à atteindre cet objectif.
Une solution SIEM a l'avantage de collecter potentiellement des données de journalisation de presque toutes les parties de la chaîne de destruction d'un attaquant - depuis l'infection initiale d'un point de terminaison, à la compromission des informations d'identification, jusqu’au mouvement latéral du réseau et finalement à l'activité malveillante prévue (exfiltrer les données, chiffrer pour obtenir une rançon, etc.).
Mais la plupart des entreprises tirent parti des solutions SIEM pour surveiller les événements de sécurité auxquels une solution tierce existante ne répond pas. Prenez votre protection de point de terminaison par exemple. Les organisations disposant d'une protection étendue des postes de travail ne sont pas nécessairement intéressées par l'acheminement de toutes les données des points de terminaison autour desquelles les processus sont exécutés dans une solution SIEM.
Cela signifie que SIEM est utilisé pour regarder une activité qui peut spécifiquement indiquer une menace - activité de fichier, navigation Web, téléchargements, téléversements, etc. Et puisque votre organisation est unique, aucune solution SIEM, prête à l'emploi, ne sait exactement ce qu'il faut rechercher. Bien sûr, ils ont un apprentissage automatique, etc. qui peut aider à repérer les anomalies, mais il n'a aucune idée si un utilisateur qui copie 100 fichiers est bon ou mauvais.
Au final, vous aurez besoin de définir à quoi ressemble une menace. Et c'est un problème – le département informatique pense à des actions de menace qui, si elles sont détectées, signifient que l'acteur de la menace est déjà en train d’agir. Ce qui signifie que la solution SIEM détecte peut être trop tard.
Ainsi, vous élargissez la portée de ce qui définit une activité menaçante pour inclure davantage d'activités «suspectes». Et maintenant vous vous retrouverez avec beaucoup plus de faux positifs.
Et, si vous repérez une activité inhabituelle dans une solution SIEM, parce que vous êtes probablement en train de détecter l'action de menace elle-même SIEM ne fait pas grand-chose pour arrêter la menace.
Parce que la plupart des solutions SIEM peuvent aujourd'hui intégrer des données à partir de n'importe quel système, application, etc., il est très probable qu'elles puissent être utilisées pour détecter une menace potentielle. Le défi est de savoir si ce sera trop peu, trop tard?
Une action commune que tous les attaquants doivent effectuer est la connexion - l'authentification est une partie nécessaire du processus de mouvement latéral ou les attaquants ne vont pas plus loin que le point de terminaison initialement compromis. Les initiés doivent également s'authentifier, la connexion devient donc un point crucial dans les deux attaques.
Ainsi, plutôt que de vous concentrer sur les innombrables façons dont les pirates peuvent tenter d'infecter les points de terminaison, compromettre les informations d'identification, se déplacer latéralement et agir de manière malveillante contre votre organisation, pourquoi ne pas surveiller l'action commune qu'ils ne peuvent pas contourner – la connexion. Regardons comment la gestion des connexions traiterait les attaques internes et externes.
Aucun initié ne veut être pris, donc l’utilisation malveillante de leurs informations d'identification se produit souvent après les heures de travail, ou à distance, pour éviter d'attirer l'attention. Les stratégies de gestion de connexion doivent être configurées en fonction du risque lié au rôle d'une personne au sein de l'organisation: si elles ont accès à des données financières ou personnelles par exemple, leurs connexions doivent être surveillées plus minutieusement que celles sans accès aux données précieuses.
Alors, quand ils se connectent à la maison un samedi à 23h30, que se passe-t-il? La gestion des connexions repère l'activité anormale et agit en conséquence, en fonction des stratégies définies. Tout, depuis les alertes, les approbations de connexion ou même le refus de connexion peut entrer en ligne de compte.
Les attaquants externes établissent un point d'ancrage via un point de terminaison compromis. Ils travaillent ensuite pour identifier les informations d'identification élevées et les utiliser pour se déplacer latéralement sur le réseau, pour éventuellement trouver un chemin vers un système contenant des données précieuses.
Lorsqu'un attaquant externe tente d'authentifier, disons, un serveur depuis un point de terminaison compromis, il ne cherche pas à lui donner l'apparence d'une fonction normale - il s'agit d'obtenir des données précieuses aussi rapidement que possible sans être remarqué.
Ainsi, lorsqu'une demande de connexion sur ce serveur est demandée, la solution de gestion des connexions détecte la demande d'ouverture de session anormale et, en fonction des stratégies définies, refuse l'ouverture de session et informe le département informatique de la tentative de connexion échouée.
Premièrement, la connexion elle-même est détectée comme une action potentielle de menace, identifiant le potentiel de menace très tôt dans le processus d'attaque.
Ensuite, la connexion est refusée, arrêtant la menace.
Les faux positifs sont évités grâce à un certain nombre de méthodes qui incluent : des stratégies configurables pour définir ce qui est "normal" et granulaire par compte, une analyse des ouvertures de session normales afin que seules les occurrences de connexion vraiment anormales se déclenchent et des actions de stratégie qui ne refuse pas la connexion, mais demande l'approbation d'un pair ou d'un responsable. C'est ce dernier qui évite vraiment les faux positifs. Un simple coup de fil d'un gestionnaire à son employé est tout ce qu'il faut pour permettre l'accès lorsque cela est jugé approprié, empêchant ainsi le service informatique de perdre leur temps en quête de fausses menaces potentielles.
Le tableau suivant fournit une vue d'ensemble de la façon dont SIEM et la gestion des connexions tentent chacun d'aborder la détection des menaces.
Fonctions de détection des menaces | La gestion des connexions | Solution SIEM |
---|---|---|
Génère peu de faux positifs | Oui | |
Faible probabilité de rater des menaces potentielles | Oui | Dépend de la configuration |
Identifie les menaces avant qu'elles agissent | Oui | |
Fournit un contexte autour de l'activité de la menace | Connexions seulement | Oui |
Arrête les menaces potentielles avant qu'elles agissent | Oui |
En bref, SIEM, bien que capable de détecter une activité inhabituelle, fait peu pour détecter une menace sans les paramètres de définition spécifiques de l'informatique. Et même lorsqu'un potentiel de menace est identifié, il est déjà trop tard, car les fichiers ont été consultés et les données exfiltrées.
La gestion des connexions fournit une couche de protection à l'ouverture de session, qui existe logiquement avant qu'un acteur de menace puisse agir, avec la possibilité supplémentaire d'arrêter complètement l'acteur - aucune connexion, aucune menace.
La plupart des organisations estiment qu'elles ont besoin de visibilité sur l'ensemble de l'environnement afin d'arrêter une menace. La raison est simple: vous ne savez pas de quelle direction va venir l'attaque, quelles méthodes seront utilisées, etc. Mais tout ce dont vous avez réellement besoin est de concentrer vos efforts sur la partie de la chaîne d'attaque qui ne peut pas être contournée - la connexion. En regardant la connexion, vous pouvez voir si une attaque est éminente, plutôt que de savoir qu’elle est en train de se produire, comme c'est le cas avec SIEM.
En termes simples, lorsque vous essayez de détecter des menaces, SIEM est excessif. Et parce que les attaquants ne peuvent pas contourner une connexion, la gestion des connexions avec UserLock est un moyen simple et efficace de détecter les menaces potentielles.