Un SIEM (Security Information and Event Management) dans sa simple définition est un collecteur d’informations et un outil de gestion d’événements de sécurité avec des fonctions d'analyse intelligente. Les efforts marketing des vendeurs de SIEM proposent de (re)prendre le contrôle du réseau pour en améliorer la sécurité avec des fonctions aussi alléchantes que la «surveillance proactive» ou bien « la protection contre les failles Zero-Day ».Cet article tente de présenter ce qu'il est possible de faire en terme de surveillance de sécurité et les axes d'amélioration de l'utilisation de votre SIEM. Nous allons utiliser les attaques ciblées pour structurer notre analyse.
1. Introduction
1.1 Contexte
Une attaque ciblée est plus ou moins avancée et de portée et d'envergure très large, une guerre de basse intensité où le temps n'est pas une contrainte forte et dans laquelle les attaquants connaissent les mécanismes de sécurité existants et tentent de rester invisibles, de fondre leurs actions dans la masse des actions des utilisateurs légitimes. Nous garderons également la définition donnée par Cedric Pernet dans un hors-série de MISC :
« Une attaque informatique persistante ayant pour but une collecte d’informations sensibles d’une entreprise publique ou privée ciblée, par la compromission et le maintien de portes dérobées sur le système d’information ».
L'objectif est de collecter des informations sensibles ou monnayables. Heureusement, ce type d'espionnage n'implique pas que des attaques parrainées par un État, auquel cas les chances ne seraient pas de votre côté.
Nous avons décomposé une attaque...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
- https://blogs.mcafee.com/mcafee-labs/
- http://blog.trendmicro.com/
- http://blogs.gartner.com/blog/category/security/
- http://blog.airbuscybersecurity.com
- http://www.blackstratus.com/blog/
- https://www.fireeye.com/blog.html
- Detecting-security-incidents-windows-workstation-event-logs : https://www.sans.org/reading-room/whitepapers/logging/detecting-security-incidents-windows-workstation-event-logs-34262
- Sans detecting security incident using Windows workstation event logs : https://www.sans.org/reading-room/whitepapers/detection/approach-detect-malware-call-home-activities-34480
- From_Malware_Analysis_to_Indications_of_Compromise : https://www.owasp.org/images/8/88/From_Malware_Analysis_to_Indications_of_Compromise.pdf
- HP Attack Life Cycle use case methodology : http://h20195.www2.hp.com/v2/getpdf.aspx/4aa4-9490enw.pdf
