En 2017, la division réseau Aruba de Hewlett Packard Enterprise a annoncé Aruba 360 Secure Fabric, une solution de sécurité réseau complète. Cette solution protège le réseau d'entreprise à 360 degrés contre les menaces de l'extérieur et de l'intérieur du réseau dans un périmètre de sécurité en constante évolution, avec l'avènement des appareils sans fil et des services cloud.
La solution est construite sur la base de plusieurs composants clés. Tout d'abord, c'est une infrastructure sécurisée et fiable. L'équipement de réseau Aruba a été conçu dès le départ en termes de sécurité maximale. Les contrôleurs modernes peuvent fournir un traitement à grande vitesse (jusqu'à 100 Gbit / s) du trafic réseau, en tenant compte de la fonction d'inspection approfondie des paquets (DPI). Associée à cela, l'émergence du protocole spécialisé Advanced Monitoring (AMON), qui est conçu pour transférer une grande quantité d'informations diverses entre les contrôleurs WLAN et le système de contrôle et sert de source supplémentaire d'informations pour les systèmes de sécurité.
Le composant suivant de l'usine Aruba 360 est le système de contrôle d'accès à l'infrastructure ClearPass d'Aruba, qui appartient à la famille de produits logiciels sous le nom de contrôle d'accès réseau (NAC). Ce produit mérite un examen détaillé et nous prévoyons de lui consacrer une série distincte d'articles. Commençons par examiner pourquoi, dans les conditions modernes, il est impossible de compter uniquement sur le périmètre de la sécurité du réseau et d'où vient le besoin de systèmes SIEM.
Le périmètre de sécurité est construit sur la base d'une intégration profonde des solutions partenaires situées à l'interface avec les réseaux non sécurisés et le segment DMZ. Ce sont des appareils qui fournissent un pare-feu, une analyse de signature des données transmises, fonctionnent avec du trafic crypté, un audit cryptographique, etc.
Il est difficile pour les attaquants de surmonter les systèmes de sécurité classiques susmentionnés qui protègent le périmètre des réseaux d'entreprise, ils choisissent donc souvent une approche différente pour les attaques. Une attaque peut être construite sur la base de l'introduction et de la diffusion de code malveillant via l'équipement des employés de l'entreprise. Un utilisateur légitime peut perdre ou laisser son appareil d'entreprise sans surveillance, se connecter à des réseaux WiFi publics non sécurisés. Une autre option courante pour créer un point de départ pour une attaque consiste à envoyer à l'utilisateur un faux lien ou à lui envoyer une pièce jointe malveillante, ce qui vous permet par la suite d'injecter le code malveillant sur l'ordinateur d'un utilisateur légitime. Récemment, de plus en plus souvent, nous voyons des exemples d'actions malveillantes utilisant des appareils IoT, dont les principales faiblesses sont les paramètres «par défaut» et les anciens logiciels avec des vulnérabilités bien connues (par exemple, presque personne n'installe de correctifs sur les caméras IP exécutant Windows 95 ou MS DOS).
Parfois, un employé d'une organisation peut devenir un attaquant et commencer à collecter de précieuses données d'entreprise à des fins de chantage ou de profit commercial. L'année dernière, des ransomwares tels que WannaCry et Pyetya ont été activement diffusés. Avant l'émergence des rançongiciels auto-propagateurs, les logiciels malveillants se propageaient de trois manières: par téléchargement à partir de sites, par courrier électronique ou à partir de supports physiques, tels que des périphériques USB malveillants. Par conséquent, afin d'infecter un appareil ou un système avec un programme de rançongiciel, la participation humaine était requise à un degré ou à un autre.
Les attaquants ont appris à utiliser des techniques d'ingénierie sociale et à l'avenir, ces compétences ne feront que s'améliorer. Selon les analystes, si une organisation s'appuie uniquement sur la technologie pour corriger les failles de sécurité, cela ne résoudra que 26% des problèmes. Si les organisations utilisent uniquement des politiques pour résoudre les problèmes de sécurité, cela n'éliminera que 10% des problèmes; et s'ils utilisent uniquement la formation des utilisateurs - seulement 4%. Par conséquent, il est nécessaire de contrôler l'ensemble des trois aspects de la sécurité. Ajoutez à cela une pénurie aiguë de personnel informatique qualifié, qui est en mesure de traiter les informations sur les événements du réseau dès que possible et de rendre un verdict sans équivoque sur l'état de la sécurité.
Dans ce cas, les systèmes dits SIEM (informations de sécurité et gestion des événements) peuvent venir à la rescousse, conçus pour collecter une grande variété d'événements de sécurité des informations et aider les centres de sécurité réseau (SOC) à analyser les événements, à construire des rapports. Mais même eux, il s'est avéré qu'ils ne peuvent pas donner une image complète en raison de la complexité du traitement de l'information par les humains et du grand nombre de faux positifs. Selon un
rapport analytique pour les petites entreprises avec un revenu inférieur à 100 millions de dollars, l'enquête sur l'incident prend environ 10 minutes. Dans les entreprises de 1 001 à 5 000 salariés, dans 26 entreprises sur 85 répondants, le temps d'enquête sur un incident peut prendre de 20 minutes à une heure. Les principales conclusions de ces statistiques peuvent être que si chaque analyste consacre autant de son temps à enquêter sur un incident de sécurité, et qu'il peut y avoir 10 incidents ou plus, alors enquêter sur les incidents de sécurité peut épuiser toutes les ressources humaines disponibles.
Selon le même rapport, les systèmes SIEM peuvent générer jusqu'à 10 000 événements par minute, qui incluent des fausses alarmes et nécessitent parfois une analyse immédiate du personnel. La séparation d'un signal du bruit n'est pas un vain mot dans le cas des systèmes SIEM. Dans ce cas, les systèmes à intelligence artificielle peuvent venir en aide aux services de sécurité. À suivre!