Accueil Cyber Sécurité Comment le Next Gen SIEM aborde les risques des outils de sécurité...

Comment le Next Gen SIEM aborde les risques des outils de sécurité disjoints

96
0

Présenté par Rene Mulyandari

L’utilisation de plusieurs applications provenant de différents fournisseurs est la norme dans les organisations depuis des décennies maintenant. Il arrive rarement qu’une entreprise utilise un logiciel fourni par le même développeur dans tous les domaines. Cela se remarque lorsqu’il s’agit de la des entreprises, car les organisations ont tendance à utiliser différents outils pour leur pare-feu d’application Web, la défense contre les virus et les logiciels malveillants, l’analyse des emails et d’autres objectifs liés à la .

Bien qu’il existe des raisons impérieuses d’adopter un modèle multifournisseur pour répondre aux besoins en logiciels des entreprises, il existe également des arguments en faveur de l’approvisionnement en logiciels auprès d’un ou de quelques fournisseurs. Dans le cas de Gestion des informations et des événements de sécurité (SIEM), en particulier, il est beaucoup plus facile d’analyser les de sécurité et de répondre aux incidents de sécurité lorsque les contrôles de sécurité proviennent du même fournisseur ou de quelques développeurs intégrés.

Cependant, toutes les organisations ne peuvent pas facilement remplacer leurs contrôles de sécurité pour entreprendre SIEM plus facilement. Beaucoup ont déjà utilisé plusieurs contrôles de sécurité de différents fournisseurs avant que SIEM ne devienne une exigence pour la conformité avec GDPR, PCI DSS et d’autres réglementations.

SIEM nouvelle génération vs outils de sécurité disjoints

Relever les défis des logiciels d’entreprise multifournisseurs ne signifie pas forcément remplacer les outils existants par des outils intégrables ou ceux d’un fournisseur commun. Avec next gen SIEM, unifier les outils de sécurité et les sources de données disjointes est plus facilement réalisable.

Nex gen SIEM est une approche globale de la cybersécurité qui résout les risques liés aux outils de sécurité disjoints. Elle répond aux limites des solutions SIEM traditionnelles, notamment en termes de gestion de la fragmentation des outils de cybersécurité. Les outils disjoints ne sont pas seulement inefficaces, ils se traduisent aussi par une mauvaise visibilité de la sécurité et une plus grande possibilité de ne pas réussir à repérer les vulnérabilités et à remédier aux faiblesses.

Le SIEM nouvelle génération est conçu pour fournir une plateforme unifiée permettant d’intégrer tous les outils de sécurité et les sources de données, ce qui permet une gestion et une analyse rapides des informations ainsi qu’une réponse rapide aux attaques. Cependant, l’intégration n’est pas la seule amélioration qu’il offre. Pour résoudre de manière exhaustive les défis posés par les contrôles de sécurité disjoints, il offre également les améliorations suivantes.

Meilleure couverture et gestion des données

La nouvelle génération de SIEM va au-delà des journaux et événements système, le type de données couvertes par les SIEM classiques. Il analyse les données de toutes les sources disponibles, y compris les données des services en nuage, les journaux sur site et les données du réseau. Les données du cloud et sur site sont celles générées par les contrôles de sécurité, les bases de données et les apps. Les données réseau proviennent des points d’extrémité, des outils de détection des intrusions, des flux et des paquets. Le SIEM nouvelle génération est construit pour une visibilité totale et garantit que les données de toutes les sources pertinentes sont obtenues pour faciliter une gestion efficace des informations et des incidents de sécurité.

Lire aussi :  Scattered Spider exploite les failles de sécurité de Windows pour contourner la sécurité » TechWorm

Normalisation et enrichissement des données

Pour que les données recueillies soient utilisables, il est crucial de les rendre cohérentes ou compatibles entre elles. De plus, dans les cas où les données sont incomplètes, il est essentiel de combler les lacunes des données pour établir une image complète. C’est là que l’accent mis par le SIEM next gen sur la normalisation et l’enrichissement des données est vital. La normalisation garantit la cohérence et la compatibilité des données pour accélérer l’analyse, tandis que l’enrichissement est entrepris pour découvrir les données manquantes afin d’obtenir une plus grande précision dans les analyses et la réponse aux événements. De plus, les données doivent être normalisées et enrichies pour être utiles aux systèmes d’IA ou d’apprentissage automatique.

Intelligence Artificielle

L’IA ou l’apprentissage automatique n’est pas une technologie nouvelle, mais il a fallu du temps pour qu’elle soit intégrée à la gestion des informations et des événements de sécurité. Le SIEM nouvelle génération est construit pour permettre une détection proactive des menaces à l’aide de l’intelligence artificielle. Il ne s’appuie pas uniquement sur les renseignements sur les menaces pour détecter et traiter les attaques.

L’apprentissage automatique facilite l’analyse comparative du comportement normal qui sert de base à la détection des activités anormales ou suspectes. Appelée User and Entity Behavior Analytics (UEBA), cette technologie basée sur l’IA surveille en permanence les activités dans un réseau pour détecter les activités potentiellement dangereuses ou celles qui s’écartent des comportements considérés comme normaux ou sûrs.

Une autre utilisation de l’IA dans le SIEM next gen consiste à résoudre le problème de la surcharge d’informations. Avec plusieurs outils de sécurité disjoints produisant divers types de données, les alertes et autres informations peuvent devenir écrasantes. Cela peut entraîner fatigue des alertes, qui pousse les organisations à manquer des notifications cruciales ou à ne pas agir rapidement en cas d’événements de sécurité urgents.

Une étude d’IDC estime que jusqu’à 30 pour cent des alertes de sécurité sont ignorées ou ne font pas l’objet d’une enquête appropriée en raison de la complexité de leurs systèmes de sécurité et du déluge d’informations auxquelles les analystes de sécurité doivent faire face. L’apprentissage automatique peut trier et hiérarchiser les alertes pour s’assurer que les préoccupations les plus urgentes sont traitées en temps voulu et automatiser les réponses aux alertes de base.

Utilisation optimale du Cloud &amp ; Hybride

De nombreuses plateformes SIEM de nouvelle génération disponibles aujourd’hui sont conçues pour être natives du cloud, ce qui est logique étant donné que la technologie du cloud permet de partager les informations et de les déployer de n’importe où de manière transparente. Les SIEM de nouvelle génération peuvent rassembler différents contrôles de sécurité non seulement au sein d’un réseau local mais aussi sur différents sites géographiques.

Certaines plateformes SIEM de nouvelle génération intègrent des fonctionnalités multi-tiers, multi-locataires et multi-sites pour soutenir la stratégie adoptée par une organisation au lieu de faire en sorte que la stratégie s’adapte à la plateforme. Une architecture multi-tiers prend en charge le partage efficace des ressources, ce qui permet non seulement un déploiement plus facile et plus rapide mais aussi une grande évolutivité.

Lire aussi :  Les cyberattaques de l'IA sont une menace critique

La multi-location est destinée aux entreprises complexes qui ont besoin d’un contrôle granulaire sur la façon dont leur système de sécurité est déployé et permet de créer des vues opérationnelles spécialisées pour répondre à des besoins spécifiques. La fonctionnalité multisite, quant à elle, garantit une visibilité complète de la sécurité, même pour les données qui doivent être physiquement stockées et sécurisées dans des lieux spécifiques, conformément aux réglementations sur la confidentialité et la sécurité des données.

Le problème des outils disjoints

L’utilisation d’outils de sécurité disjoints est-elle un problème sérieux ? Il ne fait aucun doute qu’elle peut être problématique car elle entraîne une inefficacité, une efficacité réduite et une mauvaise visibilité de la sécurité. Les contrôles de sécurité de différents développeurs ne sont généralement pas conçus pour fonctionner ensemble. Le manque de cohérence entre plusieurs outils de sécurité rend difficile l’obtention d’une vue globale des menaces qui affectent une organisation.

De plus, les outils disjoints peuvent également créer des redondances et des incohérences. Celles-ci peuvent entraîner de la confusion, des complexités et des difficultés dans la gestion de la posture de sécurité. Elle permet aux vulnérabilités persistantes de continuer à affaiblir les postures de sécurité. Elle aggrave les failles de sécurité et rend plus difficile la recherche et la réponse aux menaces de sécurité. Elle aggrave également le problème de la fatigue des alertes.

Les outils de sécurité disjoints ne sont pas un problème nouveau dans le domaine de la cybersécurité. Cependant, en raison des nouvelles technologies et des nouveaux paradigmes, ce problème a évolué vers une forme qui ne peut pas être traitée par les méthodes classiques de gestion des informations et des événements de sécurité.

L’objectif des SIEM de nouvelle génération n’est pas si différent de celui des SIEM standard. Les deux sont conçus pour permettre une visibilité optimale de la sécurité et tirer le meilleur parti des contrôles de sécurité déployés dans une organisation. L’itération next gen met toutefois l’accent sur la nécessité de suivre les nouveaux défis en matière de sécurité, en particulier lorsqu’il s’agit d’infrastructures et d’environnements plus complexes, de la prédominance de l’utilisation du cloud, de l’utilisation de nouveaux types de biens informatiques et de l’évolution rapide des menaces.

Tu pourrais aussi lire :

Quatre cyberattaques majeures en 2022 : comment ne pas répéter l’histoire en 2023.:

___________________________________________________________________________________________

Si tu aimes ce site Web et que tu utilises l’annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports détaillés sur les directeurs, en t’inscrivant à l’abonnement. Abonnement Premium.

  • Individuel 5 £ par mois ou 50 £ par an. S’inscrire
  • Multi-utilisateur, entreprise &amp ; Comptes de bibliothèque disponibles sur demande

Renseignements sur la cybersécurité : Capturé Organisé & Accessible


” Un pirate informatique de expose les données personnelles de 37 millions de clients.
Article précédentLe pirate de T-Mobile expose les données personnelles de 37 millions de clients
Article suivant37 millions de comptes T-Mobile compromis dans une violation de données API