Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Le Rapport RSA propose de découvrir comment aller vers un centre des opérations de sécurité (SOC) a

février 2011 par RSA, La Division Sécurité d’EMC

RSA, la Division Sécurité d’EMC, publie un rapport mettant en exergue un changement fondamental et déjà stratégique qui permet aux entreprises de mieux hiérarchiser leurs activités et identifier les menaces persistantes avancées (Advanced Persistent Threats). Le rapport intitulé « Mobiliser les opérations de sécurité intelligente pour les menaces persistantes avancées », rédigé par des experts en sécurité de RSA, EMC et VMware, propose une nouvelle vision ainsi qu’un modèle prévisionnel spécialement conçus afin d’aider les organisations à contrer efficacement ces nouvelles attaques sophistiquées.

Cette nouvelle vision pour le centre des opérations de sécurité (SOC) est construite autour de six éléments fondamentaux. RSA en illustre l’efficacité en simulant une attaque de type APT sur un SOC et en comparant les résultats avant et après l’implémentation des six éléments recommandés. Cette démonstration met en évidence la capacité des nouvelles technologies à déjouer efficacement l’attaque et à améliorer le modèle lorsqu’elles sont appliquées pendant et après l’incident. Ce SOC de nouvelle génération s’appuie sur des technologies d’EMC, de VMware et de RSA et consiste en une combinaison de technologies expérimentales et d’approches théoriques associées aux solutions et aux meilleures pratiques actuelles.

« La plupart des grandes entreprises ne peuvent éviter les menaces persistantes avancées, » souligne David Hunter, Directeur de la technologie pour le département Secteur Public Mondial, VMware, Inc. « Étant donné la complexité de l’environnement informatique actuel, nous pensons assister à une multiplication des APT ciblant la propriété intellectuelle des entreprises. Celles-ci devront alors adapter leurs opérations informatiques et de sécurité afin de lutter contre les APT et d’autres menaces qui évoluent sans cesse et très rapidement. »

« Afin d’assurer une gestion de la sécurité adaptée à la vitesse et à l’échelle du Cloud, et pour contrer des menaces imprévisibles en constante mutation telles que les APT, les entreprises doivent désormais s’appuyer sur les fonctionnalités des nouveaux SOC et faire évoluer leurs opérations de sécurité ; pour prendre réellement en charge ces nouvelles menaces », a précisé Bret Hartman, Directeur de la technologie chez RSA, la Division Sécurité d’EMC.

Une nouvelle vision pour les opérations de sécurité : six éléments fondamentaux

Cette vision est bâtie autour de six points fondamentaux et des conseils normatifs définissant la manière adéquate d’intégrer ces éléments au sein des opérations de sécurité existantes. Ces éléments sont les suivants :

· Planification des risques : Le nouveau SOC adoptera une approche de la planification des risques de sécurité davantage centrée sur l’information et s’attachera à identifier ceux des actifs de l’entreprise qui sont particulièrement sensibles et indispensables à protéger. Avec des priorités basées sur les politiques de GRC (Gouvernance, gestion des Risques et Conformité), les équipes de sécurité devront procéder à des évaluations de risques concentrées sur les actifs vitaux de l’entreprise.

· Modélisation des attaques : Pour comprendre la modélisation d’une attaque dans un environnement complexe, il est nécessaire, dans un premier temps, de déterminer les systèmes, personnes et processus ayant accès aux informations sensibles. Une fois que la zone de menace a été modélisée, les entreprises peuvent déterminer les vecteurs d’attaque potentiels et étudier les mesures de défense permettant d’isoler de manière efficace et rapide les points d’accès compromis. RSA® Laboratories a développé des modèles théoriques basés sur les techniques APT connues et également utilisé les principes de la théorie des jeux. afin d’identifier les moyens les plus efficaces pour rompre un chemin d’attaque tout en optimisant les coûts de défense.

· Environnements virtualisés : La virtualisation sera une fonctionnalité de base des SOC de demain en offrant de nombreux avantages en matière de sécurité. Par exemple, les entreprises peuvent utiliser un sandbox pour les emails, les pièces jointes et les URL soupçonnés d’héberger des logiciels malveillants. Tout objet suspect peut donc être lancé dans un hyperviseur isolé et la machine virtuelle être coupée du reste du système.

· Analyse prédictive par auto-apprentissage : Pour rester pertinent dans l’environnement informatique de demain, les futurs SOC devront réellement intégrer des fonctionnalités de surveillance de la conformité et de gestion des risques. Le système devra surveiller en permanence l’environnement afin d’identifier les états types considérés comme normaux et qui serviront ensuite à repérer d’avance et immédiatement les formes ou modèles d’états problématiques. La modélisation prédictive basée sur les statistiques contribuera à corréler les diverses alertes. Le développement d’un tel système nécessitera des innovations en matière d’analyse de comportement en temps réel, bien que certains de ces éléments soient déjà disponibles aujourd’hui.

· Systèmes décisionnels basés sur les risques automatisés : Un SOC plus intelligent se reconnaîtra principalement à sa capacité à évaluer les risques instantanément et à choisir des réponses adaptées en conséquence. À l’instar de l’authentification basée sur le risque, le SOC emploiera l’analyse prédictive pour reconnaître les événements à haut risque et déclenchera automatiquement des activités d’assainissement. La perspective d’une typographie dynamique est sans doute l’un des aspects les plus intéressants de ce type d’automatisation de systèmes à destination du Cloud. Pour mettre en œuvre une APT, un pirate doit comprendre la cartographie du réseau et être capable de la modéliser. En guise de riposte, les entreprises peuvent redessiner l’infrastructure de l’ensemble de leur réseau et perturber ainsi les efforts de reconnaissance d’un pirate. Cette procédure, semblable au réaménagement physique d’une ville à intervalles réguliers, peut être automatisée de sorte que les liens entre les systèmes restent intacts et que les dépendances soient traitées sans intervention humaine.

· Amélioration continue grâce à des analyses post-mortem et à l’apprentissage collectif : bien que l’analyse post-mortem soit gourmande en ressources, elle constitue un élément indispensable d’un SOC, puisqu’elle joue un rôle essentiel dans la minimisation de l’impact des attaques ultérieures. Les environnements virtualisés peuvent produire des images de l’environnement informatique au moment de l’événement de sécurité, les informations ainsi obtenues pouvant s’avérer précieuses dans les cas où la détection de l’attaque a été retardée. À l’avenir, le SOC permettra de partager des informations sur les modèles d’attaque. Ce concept sera idéal pour échanger les informations sur les menaces entre acteurs au sein des secteurs respectifs, et également mieux prévoir le chemin de l’APT et déterminer les contre-mesures à adopter.

Les auteurs du RSA Security Brief comptent parmi les meilleurs experts du secteur :

· Sam Curry, Chief Technology Officer, Global Marketing , RSA, Division Sécurité d’EMC

· Bret Hartman, Chief Technology Officer, RSA, la Division Sécurité d’EMC

· David Hunter, Chief Technology Officer, Worldwide Public Sector, VMware, Inc.

· David Martin, Chief Security Officer, EMC Global Security Organization, EMC Corporation

· Dennis R. Moreau, Ph.D, Senior Technology Strategist, RSA Laboratories, RSA, Division Sécurité d’EMC

· Alina Oprea, Ph.D., Senior Technology Strategist, RSA, Division Sécurité d’EMC

· Uri Rivner, Head of New Technologies, Consumer Identity Protection, RSA, Division Sécurité d’EMC

· Dana Elizabeth Wolf, Senior Manager, New Business Development, RSA, Division Sécurité d’EMC

Les RSA Security Briefs ont pour objectif de fournir des indications sur les risques et les opportunités de sécurité de l’information les plus importants actuellement. Chaque Brief est établi par une équipe d’experts sélectionnés dans diverses entreprises qui se mobilisent pour partager leurs connaissances spécialisées sur un sujet critique émergent. Offrant une vue d’ensemble de la situation et des conseils technologiques pratiques, ces rapports de RSA constituent une véritable bible indispensable pour les responsables sécurité actuels, qui travaillent tels des visionnaires sécurité au sein de leurs entreprises.


Voir les articles précédents

    

Voir les articles suivants