siem
Un nombre important d’incidents modernes trouvent leur origine dans le piratage d’un compte. Étant donné que les courtiers en accès initial sont devenus une véritable industrie criminelle, il est désormais beaucoup plus facile pour les pirates d’organiser des attaques contre les infrastructures des entreprises en achetant simplement des ensembles de mots de passe et d’identifiants d’employés. La pratique généralisée consistant à utiliser diverses méthodes d’accès à distance a simplifié davantage leur tâche. En même temps, les premières étapes de ces attaques ressemblent souvent à des actions tout à fait légitimes de la part des employés et restent longtemps indétectables par les mécanismes de sécurité traditionnels.
Il n’est pas envisageable de se fier uniquement aux mesures de protection des comptes et aux politiques en matière de mots de passe. Il existe toujours un risque que des pirates informatiques s’emparent des identifiants des employés à l’aide de diverses attaques de phishing, de programmes malveillants voleurs d’informations ou simplement du fait de la négligence des employés qui réutilisent le même mot de passe pour leurs comptes professionnels et personnels et ne prêtent pas suffisamment attention aux fuites de données sur des services tiers.
Par conséquent, pour détecter les attaques visant l’infrastructure d’une entreprise, il faut disposer non seulement d’outils capables de détecter les signatures de menaces individuelles, mais aussi de systèmes d’analyse comportementale en mesure de repérer tout écart par rapport au comportement normal des utilisateurs et des systèmes.
Utilisation de l’IA dans les systèmes SIEM pour détecter les compromissions de comptes
Comme nous l’avons mentionné dans notre précédent article, afin de détecter les attaques impliquant le piratage de comptes, nous avons équipé le système SIEM de notre solution Kaspersky Unified Monitoring and Analysis Platform d’un ensemble de règles UEBA conçues pour détecter les anomalies dans les processus d’authentification, l’activité réseau et l’exécution de processus sur les postes de travail et serveurs Windows. Dans la dernière mise à jour, nous avons continué à développer le système dans la même direction, en ajoutant l’utilisation d’approches basées sur l’IA.
Le système crée un modèle correspondant au comportement normal des utilisateurs lors de l’authentification et suit les écarts par rapport aux scénarios habituels : heures de connexion atypiques, enchaînements d’événements inhabituels et tentatives d’accès anormales. Cette approche permet au SIEM de détecter à la fois les tentatives d’authentification via des identifiants volés et l’utilisation de comptes déjà compromis, y compris dans des scénarios complexes qui auraient pu passer inaperçus par le passé.
Au lieu de rechercher des indicateurs individuels, le système analyse les écarts par rapport aux modèles normaux. Cette approche permet de détecter plus rapidement les attaques complexes tout en réduisant le nombre de faux positifs, ce qui allège considérablement la charge opérationnelle des équipes SOC.
Auparavant, lorsque l’on utilisait les règles UEBA pour détecter les anomalies, il était nécessaire de créer plusieurs règles qui effectuaient un travail préalable et généraient des listes supplémentaires dans lesquelles les données intermédiaires étaient stockées. Désormais, dans la nouvelle version du SIEM dotée d’un nouveau corrélateur, il est possible de détecter le piratage de compte à l’aide d’une seule règle dédiée.
Autres mises à jour apportées à Kaspersky Unified Monitoring and Analysis Platform
Plus l’infrastructure est complexe et plus le volume d’événements est important, plus les exigences en matière de performances de la plateforme, de flexibilité de la gestion des accès et de facilité d’utilisation au quotidien prennent de l’importance. Un système SIEM moderne doit non seulement détecter les menaces avec précision, mais aussi rester « résilient » sans nécessiter de mises à niveau constantes des équipements ni de réorganisation des processus. C’est pourquoi, dans la version 4.2, nous avons franchi une nouvelle étape pour rendre la plateforme plus pratique et plus adaptable. Les mises à jour portent sur l’architecture, les mécanismes de détection et l’expérience utilisateur.
Ajout de rôles flexibles et contrôle d’accès détaillé
L’une des principales innovations de la nouvelle version du SIEM est un modèle de rôle flexible. Désormais, les clients peuvent créer leurs propres rôles pour différents utilisateurs du système, dupliquer des rôles existants et personnaliser un ensemble de droits d’accès pour les tâches de certains spécialistes. Ce système permet une répartition plus précise des responsabilités entre les analystes SOC, les administrateurs et les responsables, réduit le risque d’attribution de privilèges excessifs et reflète mieux les processus internes de l’entreprise dans les paramètres SIEM.
Nouveau corrélateur et, par conséquent, stabilité améliorée de la plateforme
Dans la version 4.2, nous avons introduit une version bêta d’un nouveau moteur de corrélation (2.0). Celui-ci traite les événements plus rapidement et mobilise moins de ressources matérielles. Concrètement, voici ce que cela signifie pour les clients :
- Fonctionnement stable même sous forte charge
- Possibilité de traiter de grandes quantités de données sans besoin d’extension urgente des infrastructures
- Performances plus prévisibles
Couverture TTP selon la matrice MITRE ATT&CK
Nous continuons également à étendre systématiquement notre couverture de la matrice MITRE ATT&CK recensant les techniques, tactiques et procédures : aujourd’hui, Kaspersky SIEM couvre plus de 60 % de l’ensemble de la matrice. Les règles de détection sont régulièrement mises à jour et accompagnées de recommandations d’intervention. Les clients peuvent ainsi identifier les scénarios d’attaque déjà sous contrôle et planifier le développement de leur défense selon un modèle communément accepté dans le secteur.
Autres améliorations
La version 4.2 introduit également la possibilité de sauvegarder et de restaurer des événements, ainsi que d’exporter des données vers des archives sécurisées avec contrôle d’intégrité, ce qui est particulièrement important pour les enquêtes, les audits et la conformité réglementaire. Des requêtes de recherche en arrière-plan ont été mises en place pour faciliter le travail des analystes. Désormais, les recherches complexes et gourmandes en ressources peuvent être effectuées en arrière-plan sans perturber les tâches prioritaires. Cette innovation accélère l’analyse des ensembles de données volumineux.
Nous mettons régulièrement à jour Kaspersky SIEM, en élargissant ses capacités de détection, en améliorant son architecture et en ajoutant des fonctionnalités d’IA afin que la plateforme réponde au mieux aux conditions réelles des équipes de sécurité informatique et permette non seulement de réagir aux incidents, mais aussi de développer un modèle de protection durable pour l’avenir. Suivez les mises à jour de notre système SIEM, Kaspersky Unified Monitoring and Analysis Platform, sur la page officielle du produit.
Conseils