CDS VS SIEM
Comment la technologie CDS de StreamScan est t-elle différente d’un SIEM ?
Tout d’abord, débutons par la technologie de type SIEM.
Comment fonctionne le SIEM?
Le SIEM est à la base un outil d’agrégation de données et d'informations de sécurité. Les SIEM collectent et stockent des journaux (logs) provenant de diverses sources réseau, telles que les serveurs, les bases de données, les équipements de télécommunications, les coupes-feu et autres systèmes de sécurité. Chaque action qu’une organisation souhaite suivre à la trace doit être identifiée puis configurée et activée dans le parc informatique par un technicien. À partir du SIEM, il sera ensuite possible de consulter les données agrégées ou de les corréler pour détecter des cas d’attaques informatiques par exemple.
La plupart des SIEM offrent un tableau de bord dans lequel les données collectées sont organisées et présentées à l’utilisateur pour analyse, corrélation et prise de décision. Les SIEM stockent également les données pour une période de temps définie par l’organisation (ex. : 1an), ce qui permet aux équipes de sécurité de plonger dans les données recueillies aux fins d'enquête, le cas échéant.
Qu’est-ce que le CDS?
CDS est l’abréviation pour Cyberthreats Detection System ou en français Système de détection de cybermenaces.
Le CDS est un logiciel développé spécialement pour détecter plusieurs types d’attaques informatiques (tentatives d’intrusions, ransomwares et virus, etc.). À partir d’un seul point dans le réseau, il peut surveiller la sécurité de la totalité du parc informatique de l’organisation.
Le CDS est composé de deux modules qui permettent de détecter sans configuration supplémentaire une variété de cybermenaces.
Module 1 – Détection par Intelligence artificielle
- Détection de comportements anormaux ou douteux dans le réseau
- Détection d’outils malicieux (rancongiciels, virus, etc.) inconnus
- Détection d’exfiltration de données (s’appuyant sur de nouvelles méthodes)
- Détection des brèches de sécurité
- Détection des mouvements latéraux (mouvement nord-sud, est-ouest) dans le réseau
- Adaptation permanente et en continu avec le réseau grâce à l'entraînement périodique de l’engin d’intelligence artificielle
Module 2 – Signatures
- Détection d’intrusions connues
- Détection d’outils malicieux connus
- Détection de rançongiciels connus
- Détection de violations de politiques de sécurité
- Détection d’attaques venant de plusieurs millions de sources
- Détection d’exfiltration de données (s’appuyant sur des méthodes connues)
Ensemble, les deux modules offrent une protection complète et centralisée contre les cybermenaces qui touchent les organisations.
Le CDS possède également une vue complète à 360 degrés sur le trafic du réseau ce qui lui procure deux avantages :
- Pour chaque alerte ou événement de sécurité, le CDS est capable de fournir l’ensemble des communications réseaux impliquées (historique des communications) dans un format exploitable (fichier PCAP). Ce fichier accélère fortement les investigations.
- Aucun angle mort pour les cybermenaces dans le réseau.
CDS VS SIEM
Vous l’aurez remarqué, la mise en place et la gestion quotidienne d’un SIEM requièrent beaucoup d’effort. Une configuration particulière doit être mise en place sur chaque système que l’on désire surveiller. Si l’on oublie d’activer la journalisation sur un système, sa sécurité ne sera pas surveillée par le SIEM. De plus, l’organisation doit constamment définir de nouveaux scénarios qu’elle souhaite surveiller (aussi appelés « cas d’usage »), ce qui peut consommer beaucoup de temps. Avec l’explosion du nombre de cybermenaces, il est irréaliste aujourd’hui de définir l’ensemble des scénarios d’attaques auxquels une organisation peut être confrontée. Enfin, le SIEM est aussi un outil passif dans la mesure où il ne dispose pas de fonctionnalité permettant de bloquer les cybermenaces.
Concernant le CDS, sa mise en place ne prend qu'une heure. La gestion de l’outil ne requiert aucune création de cas d’usage ou de scénario d’attaque. Le CDS est prêt à détecter les cybermenaces dès qu’il est activé dans le réseau. Le CDS s'entraîne constamment via son moteur d’intelligence artificielle, ce qui lui permet de détecter les nouveaux cas douteux ou anormaux en continu. En parallèle, son moteur d’analyse par signatures détecte les cybermenaces connues.
Le CDS a une vue à 360 degrés de la sécurité du réseau et peut être utilisé en mode actif, ce qui lui permet de bloquer les cybermenaces.
Le CDS peut-il remplacer un SIEM?
Très souvent la mise en place d’un SIEM est exigée par une obligation légale, réglementaire ou contractuelle (ex. : la norme de l’industrie des cartes de paiement PCI DSS). En dehors de ces considérations et si l’on raisonne uniquement en termes de cyber sécurité, une organisation qui met en place le CDS n’a pas besoin de déployer un SIEM. En effet, le CDS peut détecter tous les scénarios d’attaques que le SIEM peut détecter. Il va encore plus loin en étant capable de détecter les cas inconnus ou nouveaux contrairement au SIEM.
Toutefois, si vous avez déjà mis en place un SIEM et souhaitez fermer le gap en mettant en place les fonctionnalités offertes par le CDS, il faut savoir que le CDS est interopérable avec tous les SIEM du marché (Arcsight, Splunk, AlienVault, QRadar, etc.). En effet, les événements et alertes de sécurité générés par le CDS peuvent être envoyés à un SIEM de manière native (via SYSLOG).