Comment votre organisation peut-elle empêcher les violations de données ?


This post is also available in: Anglais Allemand Italien Portugais - du Brésil Espagnol Russe

Contrairement à ce que l’on pourrait croire, empêcher les violations de données n’est pas une question de détection. Les systèmes de sécurité modernes détectent énormément. Ils détectent même trop ; selon une étude de la société de sécurité informatique Bricata, un Centre opérationnel de sécurité (SOC) moyen reçoit chaque jour plus de 10 000 alertes d’une large gamme de systèmes de surveillance et de détection. Clairement, le problème ne vient pas d’un manque de détection.

Le problème, c’est la corrélation.

Détecter, d’accord, mais après ?

La détection, dans sa forme la plus simple, est une alerte. Un utilisateur effectue une activité, et un journal est généré. Les systèmes de sécurité modernes dans le cloud sont conçus pour détecter. Un SOC moyen peut générer entre 5000 et 40 000 alertes par jour (voire plus pour les grands réseaux).

L’inconvénient de la détection, c’est que l’analyse des différentes alertes ne nous apprend presque rien. En fonction du contexte, presque tous les journaux peuvent être justifiés ou injustifiés.

Prenez les activités suivantes ; pourriez-vous dire si chacune d’elles est justifiée ou injustifiée ?

  • Un administrateur système se connecte depuis un endroit inhabituel. Est-ce parce qu’il travaille sur un dossier urgent depuis son lieu de vacances, ou parce que des pirates ont subtilisé ses informations d’identification depuis l’Europe de l’Est ?
  • Un utilisateur accède au réseau en dehors des heures de bureau. Est-ce parce qu’il a une urgence au travail, ou s’agit-il de pirates qui tentent de passer inaperçus ?
  • Un ingénieur DevOps appelle une API qu’il n’a jamais utilisée auparavant. Est-il en train de déployer une nouvelle version du produit, ou s’agit-il d’un pirate fomentant une expansion latérale au sein de votre réseau ?
  • Un administrateur de base de données accède à un compartiment de stockage basé sur le cloud et en exporte toutes les données. Cela fait-il partie de son travail, ou quelqu’un vient-il de dérober toute votre base de données d’utilisateurs ?

Le fait est que l’analyse d’une seule alerte ne peut en elle-même révéler l’intention sous-jacente.

[Sur le même thème : Est-il trop tard pour se protéger contre les vulnérabilités du cloud ?]

Les pirates passent sous le radar

Notre expérience de l’analyse des violations de données nous apprend que, dans la plupart des cas, les activités malveillantes sont identifiées à temps, mais passent sous le radar.

Pourquoi ?

  • Trop de journaux : les responsables de la sécurité sont tellement inondés d’alertes qu’ils n’ont pas le temps d’en analyser beaucoup. Des événements importants sont donc noyés dans la masse.
  • Alertes à faible risque : de nombreuses activités constituant une violation de données ne sont ni à haut risque ni à fort impact. Il s’agit plutôt d’actions banales auxquelles est attribué un faible risque, et qui sont donc fréquemment négligées.
  • Absence de contexte : l’analyse de chaque activité indépendamment des autres ne permet pas d’en connaître l’intention.
  • Étalement dans le temps : les violations de données peuvent se dérouler sur plusieurs semaines, voire des mois. Chaque jour apporte son lot de journaux, très nombreux : il est donc impossible de se souvenir d’une alerte survenue plusieurs semaines auparavant et d’y associer des activités individuelles.

Compte tenu de ces réalités quotidiennes, toute tentative d’analyser manuellement les alertes et de les contextualiser pour identifier une activité malveillante est vouée à l’échec.

Une image contenant texte, rideau, corbeille

Description générée automatiquement

La détection est importante, mais la corrélation est cruciale

La solution n’est donc pas de renforcer la détection, mais de privilégier la corrélation.

La corrélation consiste à prendre des événements de prime abord indépendants les uns des autres, et à les relier à des surfaces d’attaque, des ressources et des périodes de temps.

Revenons à la liste d’exemples ci-dessus.  Pris individuellement, ces événements ne signifiaient rien de particulier ; il était impossible d’en discerner l’intention sous-jacente.

Mais examinons la chaîne d’événements suivante :

  1. Un utilisateur accède au réseau depuis un site distant, en dehors des heures de bureau.
  2. Quelques jours plus tard, le même utilisateur appelle pour la première fois une API afin de répertorier tous les privilèges de l’utilisateur.
  3. En l’espace de quelques semaines, l’utilisateur effectue une série de connexions à plusieurs compartiments de stockage contenant des informations sensibles.
  4. L’utilisateur télécharge les données d’un compartiment de stockage vers un emplacement situé hors du réseau

La contextualisation de ces événements dans une chaîne d’occurrences liées donne une image bien différente de celle résultant des analyses individuelles. Voilà pourquoi la corrélation est si importante : elle permet d’identifier une violation de données dans sa globalité, et pas seulement les différents événements individuels qui la composent.

La corrélation est un élément fondamental de la cybersécurité. Celui qui pourra faire la différence entre tuer une attaque dans l’œuf, ou la voir à la une des journaux.

[Vous avez aimé cet article ?Abonnez-vous et recevez chaque semaine dans votre boîte de réception les derniers contenus Radware, ainsi qu’un accès exclusif aux contenus Radware Premium.]

Eyal Arazi

Eyal is a Product Marketing Manager in Radware’s security group, responsible for the company’s line of cloud security products, including Cloud WAF, Cloud DDoS, and Cloud Workload Protection Service. Eyal has extensive background in security, having served in the Israel Defense Force (IDF) at an elite technological unit. Prior to joining Radware, Eyal worked in Product Management and Marketing roles at a number of companies in the enterprise computing and security space, both on the small scale startup side, as well as large-scale corporate end, affording him a wide view of the industry. Eyal holds a BA in Management from the Interdisciplinary Center (IDC) Herzliya and a MBA from the UCLA Anderson School of Management.

Contact Radware Sales

Our experts will answer your questions, assess your needs, and help you understand which products are best for your business.

Already a Customer?

We’re ready to help, whether you need support, additional services, or answers to your questions about our products and solutions.

Locations
Get Answers Now from KnowledgeBase
Get Free Online Product Training
Engage with Radware Technical Support
Join the Radware Customer Program

CyberPedia

An Online Encyclopedia Of Cyberattack and Cybersecurity Terms

CyberPedia
What is WAF?
What is DDoS?
Bot Detection
ARP Spoofing

Get Social

Connect with experts and join the conversation about Radware technologies.

Blog
Security Research Center