Threat Detection
Comment retrouver une aiguille dans une botte de foin avec Security Analytics
Les remarques relatives aux menaces pour la sécurité se perdent aisément dans les «bottes de foin» que sont les fichiers de journaux. Security Analytics vous aide à retrouver «l’aiguille» sous la forme d’informations pertinentes et cela, tout en identifiant les interdépendances qui vous auraient échappé avec une analyse manuelle.
Texte: Andreas Heer, Images: iStock by Getty Images, 22
Une analyse d’incidents de sécurité informatique ressemble terriblement à la recherche d’une aiguille dans une botte de foin. Mais cette fois-ci, il s’agit de chercher dans une botte d’aiguilles... Les fichiers de journaux enregistrent un immense volume d’entrées de périphériques de réseau: routeur, pare-feu, ordinateur, serveur proxy, etc. Lesquelles nous intéressent vraiment pour nos questions de sécurité?
Compliquons-nous encore un peu plus la vie: arrêtons de chercher une aiguille dans une botte d’aiguilles mais deux aiguilles identiques dans plusieurs bottes d’aiguilles. Une initiative vouée à l’échec. Pourtant, ceci est exactement la procédure dont vous avez besoin pour analyser les fichiers de journaux et autre sources: une fois les rapprochements faits entre les incidents à partir des différentes sources, vous aurez une idée concrète de ce qui menace votre sécurité.
Comment mieux détecter les menaces avec Security Analytics
Par chance, vous n’êtes pas seul dans vos recherches: une plateforme de mégadonnées comme base et une application nommée Security Analytics collecteront les informations pertinentes tout en identifiant les interactions des différents incidents sur l’ensemble du volume de données. Les voilà, vos deux aiguilles! Et même si vous ne savez pas exactement ce que vous cherchez: les anomalies également détectées peuvent signaler des cyberattaques.
Security Analytics détecte les cybermenaces à temps et fait la différences entre fausses alertes et réels dangers. Le résultat de la «security alert» permet de poursuivre d’autres analyses et d’apporter une réponse correspondant à la menace. L’analyse et la réaction sont du ressort d’un spécialiste de la sécurité.
Prenons un exemple: un collaborateur trouve un courrier de hameçonnage dans sa boîte de réception. Avec le «security analytics dashboard», les spécialistes peuvent voir les collègues qui ont reçu le même courrier. Et cela, par le biais de l’objet dans le journal du serveur de courrier électronique.
Ce n’est pas encore une raison pour traiter l’affaire prioritairement. Mais malheureusement, deux collaborateurs ont déjà cliqué sur le lien. Les spécialistes le savent parce qu’ils ont recherché le domaine du courrier de hameçonnage dans les fichiers de journaux du proxy sur la plateforme Security Analytics. Ce fut facile de retrouver les ordinateurs des deux collaborateurs par leur adresse IP. Les enregistrements du serveur DHCP ont encore une fois apporté leur contribution. Grâce à la sauvegarde centralisée sur la plateforme de mégadonnées et les outils Security Analytics, la réactivité des spécialistes face à l’incident a été excellente; ils ont pu rapidement prendre les mesures adéquates.
Différents scénarios
S’agissant de la détection de menaces («threat detection»), l’exemple ci-dessus n’est qu’un scénario d’application de Security Analytics. L’intervention peut se déployer sur plusieurs niveaux. Techniquement parlant, Security Analytics fournit une assistance dans la détection de cyberattaques et de flux de données. «Threat detection use cases» possibles: détection d’attaques sur terminaux, d’activités suspectes sur les accès à internet, de situations dangereuses sur les applications de cloud.
De plus, l’analyse de différentes sources permet de reconnaître différents scénarios de menace spécifiques à l’entreprise. Voici un exemple: le collaborateur S. est entré avec son badge au siège principal de Berne à 7h53. 19 minutes plus tard l’environnement Remote Desktop constate un accès du même collaborateur à partir de l’Extrême-Orient. La plateforme Security Analytics lance l’alerte. Le recoupement de deux informations — sans importance si on les considère séparément — provenant du système d’accès et des fichiers de journaux a permis de définir une potentielle menace.
Security Analytics est un outil efficace de détection et d’analyse de dangers connus ou inconnus et enfin de prise de mesures adéquates. Pour que votre entreprise ne développe pas ses processus de sécurité informatique à la va-vite.
Newsletter
Vous souhaitez recevoir régulièrement des articles et Whitepapers passionnants sur des activités TIC actuelles?
En savoir plus sur ce thème
