L’architecture SIEM de StreamScan selectionnée comme la référence par le Cloud Security Alliance (CSA)
L’architecture SIEM de StreamScan selectionnée comme la référence par le Cloud Security Alliance (CSA)
Le Cloud Security Alliance (CSA) est l’organisation internationale de référence dans le domaine de la sécurité des environnements Cloud.
Pour permettre aux organisations de bien se sécuriser dans le Cloud, le CSA a créé le Guide de mise en œuvre de la gestion des informations et des événements de sécurité (SIEM) dans le Cloud. Ce guide décrit entre autres:
- Les fonctionnalités attendues d’un SIEM dans le Cloud
- Les considérations et préoccupations relatives à la mise en place d’un SIEM dans le Cloud
- L’architecture conceptuelle de référence d’un SIEM
- Etc.
Notre architecture SIEM sélectionnée comme la référence
StreamScan est fier que l’architecture conceptuelle SIEM développée par son fondateur Karim Ganame (lors de son doctorat en cybersécurité) ait été sélectionnée par le Cloud Security Alliance comme l’architecture de référence SIEM dans le Cloud.
Les travaux de Recherche de Dr Karim Ganame sur la gestion des événements de sécurité ont montré qu’une architecture SIEM idéale devrait être composée entre autres des éléments suivants :
- Un module de collecte de données/logs utilisant des agents de protocoles. Les agents de protocole sont conçus pour recevoir des informations provenant de protocoles spécifiques, tels que syslog, snmp, smtp, html, etc. Leur but est d'écouter les connexions entrantes provenant des systèmes surveillées (ordinateurs, serveurs, équipements télécom, etc.) et de mettre les données collectées à la disposition d’un répartiteur (dispatcher).
- Le répartiteur (Dispatcher): l'objectif du répartiteur est de déterminer le type de source d'un événement entrant, puis de transmettre le message original à l'agent d'application approprié.
- Les agents applicatifs reçoivent les messages du répartiteur et le mettent dans un format compréhensible par le SIEM. C’est ce message formaté que le SIEM va analyser pour identifier les activités malicieuses.
- La base de données : stocke les événements de sécurité reçus par le SIEM et formatés par les agents d’application. Elle peut aussi être un fichier plat.
- La base de connaissance du SIEM stocke des informations sur les vulnérabilités des systèmes, les politiques et règles créées pour détecter les activités malicieuses, etc.
- Le moteur d’analyse : analyse les événements reçus de chaque serveur/ordinateur en s’appuyant sur la base de données et génère des alertes en cas d’activités malicieuses détectées.
- Le moteur de corrélation met en relation plusieurs événements collectées par le SIEM et les analyse pour détecter des attaques plus complexes (attaques distribuées ou coordonnées, etc.).
- Une interface de gestion du SIEM qui peut être de type web ou console.
- Un module de Réaction qui permet de prendre une action lorsqu'une alerte est générée: notification par courriel, sms, blocage de la communication dans un coupe-feu, etc.
Notre architecture SIEM a été présentée lors de conférences académiques internationales. Elle a aussi été publiée dans un journal académique spécialisé en cybersécurité.
Vous pouvez la télécharger à partir d’un lien inclus dans le guide SIEM du Cloud Security Alliance (voir section Références). Voici le lien pour la télécharger sur notre site web.
L’expertise R&D en cybersécurité et AI de StreamScan est reconnue
Ce n’est pas la 1ere fois que l’expertise en R&D de StreamScan est reconnue en cybersécurité:
- Notre technologie de détection de cybermenaces CDS a été sélectionnée comme Innovation par le Gouvernement fédéral du Canada à travers le programme PICC. Elle utilise l’IA pour détecter les cyberattaques et les trafics malicieux. Nous détenons un brevet américain pour le CDS.
- Nous avons déjà remporté un contrat de l’Aviation Royale Canadienne pour développer un prototype de système de détection d’intrusions ciblant ses avions de combat.
StreamScan est heureux de contribuer à la R&D académique et industrielle internationale en cybersécurité, afin d’avoir un monde plus sécuritaire.
Voici une représentation de l’architecture de référence SIEM du Cloud Security Alliance.
Voici notre architecture SIEM. Pour les détails, consulter notre article A High Performance System for Intrusion Detection and Reaction Management