Ce que ISO, GDPR, PCI, SOX, HIPAA et MITRE ATT & CK ont à voir avec SIEM / UEBA – Sécurité informatique – LANline – Yoga

Les solutions de sécurité traditionnelles visent à protéger les frontières extérieures de votre propre réseau, le périmètre. Cependant, cela ne peut pas être étendu à volonté. Afin de pouvoir protéger le nombre croissant de soi-disant guerriers de la route, des employés de bureau à distance et à domicile qui travaillent en déplacement ou dans des lieux qui changent fréquemment, il faut des technologies qui fonctionnent indépendamment du périmètre. Une combinaison coordonnée d'analyse du comportement et de surveillance / gestion des événements montre ici d'excellents résultats, offre des rapports conformes aux normes ISO, GDPR, PCI, SOX et HIPAA et renforce également la capacité de défense générale.

La tentative d'étendre la protection du périmètre à tous les modèles de travail modernes se transforme rapidement en une tâche Sisyphe pour les entreprises. Avec un nombre gérable de bureaux à domicile, cela peut encore fonctionner dans une certaine mesure. Cependant, s'il y en a de plus en plus, la gestion des connexions VPN utilisées à cet effet devient incontrôlable et devient non rentable. Cependant, les employés principalement mobiles et / ou en déplacement à différents endroits ne peuvent pas être intégrés dans un concept de sécurité basé sur le périmètre, même avec le plus grand effort. Du point de vue de l'entreprise, il n'y a aucun moyen de protéger les guerriers de la route – mais il y a de les garder.

Matching: Démo en direct avec un groupe d'experts

La mise en œuvre d'une telle garde tourmente actuellement de nombreuses entreprises, selon des études pertinentes telles que le «Future Workforce Report 2019» par Upwork d'ici 2028 dans 73% de tous les départements de l'entreprise, il y aura également des postes de travail à distance. Le défi est donc énorme. Les tentatives d'installer encore plus de scanners de virus et d'outils similaires sur les terminaux se révèlent contre-productives dans la pratique et finalement inefficaces. Des pare-feu encore plus nombreux et de meilleure qualité ne sont d'aucune utilité – ils enregistrent uniquement le trafic organisé de manière centrale.

SIEM et UEBA – les deux «mains de la garde»

Le premier composant pour une sécurité solide est la gestion des incidents et événements de sécurité (SIEM). Sur la base du fonctionnement normal appris, des outils appropriés reconnaissent quand des activités inhabituelles ont lieu dans le trafic de données et les signalent. Ainsi, si, par exemple, des dizaines de Go de données sont soudainement accédées à partir d'un compte Office 365, qui produit normalement un trafic de données plutôt modéré, le SIEM y examinera de plus près.

Le deuxième composant, User Behavior Analytics (UBA) ou User and Entity Behavior Analytics (UEBA), fournit une analyse encore plus précise. Selon Gartner, il s'agit d'un type spécial d'analyse de sécurité qui se concentre sur le comportement des systèmes et des personnes qui l'utilisent. Ces outils fonctionnent de plus en plus avec des technologies telles que l'apprentissage automatique (ML) et l'apprentissage en profondeur (DL) afin de détecter les comportements anormaux et à risque des utilisateurs, groupes, machines et autres entités d'un réseau d'entreprise. Puisqu'elles utilisent non seulement les règles de corrélation ou les modèles d'attaque prédéfinis, mais créent également des relations logiques elles-mêmes et incluent en même temps plusieurs systèmes organisationnels et sources de données, les solutions UEBA peuvent trouver des incidents de sécurité que les outils conventionnels ne reconnaissent pas, ou elles peuvent donner le tout-clair où un système SIEM seul peut envoyer un message générerait.

Par exemple, si l'utilisateur qui était précédemment suspecté dans le SIEM appartient à un groupe «Business Development», l'UEBA inspectera également les autres membres de ce groupe. S'il y trouve des activités similaires, il classera le cas comme "normal" – il n'y a pas de message (faux positif) à l'opérateur. Mais si rien de la même chose ne se passe là-bas, l'UEBA envoie une alarme. Ceci n'est qu'un exemple simple – l'UEBA inclut en fait de nombreux autres facteurs dans son évaluation afin de sécuriser son «jugement» le plus haut possible.

SIEM / UEBA doit être peu coûteux et clairement calculable

Jusqu'à présent, l'un des principaux points qui a dissuadé les entreprises d'utiliser largement les outils SIEM / UEBA était les coûts difficilement calculables et, dans l'ensemble, qui augmentaient facilement. Par exemple, les fournisseurs sont en déplacement et calculent leurs prix en fonction du volume journalier des journaux (en Go) ou des événements par seconde (événements par seconde, EPS). L'entreprise n'a aucune influence sur ces paramètres, du moins pour les clients – et c'est ce qui préoccupe les routiers et les télétravailleurs. Mais si les mêmes prix s'appliquent alors que pour le volume de logs des serveurs et des pare-feu, le calcul des clients devient rapidement un jeu de devinettes opaque, risqué et coûteux. Pratique courante dans les entreprises: les clients ne sont pas inclus – les soucis de la route sont laissés à eux-mêmes et les antivirus les moins performants et ne sont plus surveillés.

Licences LogPoint dans le SIEM en fonction des nœuds, c'est-à-dire des appareils – divisés en "nœuds complets" (pare-feu, serveur) et "nœuds légers" (clients) – et avec UEBA selon entité (utilisateur + PC = 2 licences). Les "nœuds légers" ne coûtent qu'un dixième d'un nœud complet. Il existe également un prix échelonné pour les nœuds en fonction de la quantité. Le facteur décisif: SIEM / UEBA devient abordable et calculable avec précision. Le nombre de systèmes peut être déterminé très facilement, idéalement en interrogeant la solution d'inventaire. Dans le cas des rachats d'entreprises, par exemple, les entreprises n'ont plus à se demander à quoi s'attendre – le nombre de nouveaux appareils est rapidement déterminé.

Rapports ISO, DSGV, PCI et HIPAA sur simple pression d'un bouton

Le SIEM sert à fournir à la direction d'une entreprise une image à jour, précise et claire de la situation sécuritaire dans l'entreprise. Les rapports correspondants, qui listent tous les points pertinents et ont une coche verte ou rouge, proviennent généralement du SIEM seul. Jusque-là médiocre, car en combinaison avec UEBA, il y a beaucoup plus: LogPoint est capable de sortir les informations groupées directement sous la forme de rapports conformes ISO, DSGVO, PCI, SOX ou HIPAA, qui incluent également les exigences des auditeurs officiels suffisent. Un certain nombre de rapports peuvent déjà être appelés à partir des informations automatiquement enregistrées par le système, d'autres peuvent être intégrés à l'aide des fonctions d'importation du logiciel standard. Cela permet de traiter très facilement des sujets tels que la gestion des utilisateurs et des actifs, le contrôle d'accès, l'évaluation des risques, les changements de politique et bien plus encore. Les flux de données peuvent également être divisés en fonction de la géolocalisation IP et affichés graphiquement. Les flux de données suspects vers des pays avec lesquels l'entreprise n'a aucune relation commerciale peuvent être identifiés très rapidement.

Cette fonctionnalité apporte de grands avantages pour la direction: d'une part, elle gagne un degré accru de sécurité opérationnelle, d'autre part, un soulagement significatif de l'équipe informatique. Parce que dans le cas d'une visite d'auditeur – et ils viennent régulièrement dans l'entreprise et veulent souvent tout savoir sur l'informatique jusque dans les moindres détails – il y a généralement une activité intense pendant des jours jusqu'à ce que toutes les informations soient fournies. Avec LogPoint, tout ce que vous avez à faire est d'appuyer sur un bouton. Et les gestionnaires obtiennent non seulement une coche verte dans les rapports pour les questions SIEM, mais également pour tous les autres rapports relatifs à la conformité.

Mais ce n'est pas tout: avec un réglage et une coordination appropriés entre SIEM et UEBA, la solution LogPoint peut également mettre en œuvre des exigences de sécurité conformes à la norme ISO / GDPR dans toute l'entreprise. Les tentatives d'exfiltration de données, par exemple, avec lesquelles les cyber-attaquants réussissent à plusieurs reprises même avec des entreprises très grandes et populaires et qui entraînent également des sanctions sévères pour l'entreprise concernée, sont évitées de manière fiable – y compris l'obligation de fournir des preuves aux autorités.

Pour un fonctionnement coordonné de manière optimale, une installation conforme ISO ou BSI (Office fédéral de la sécurité de l'information) de la solution est fortement recommandée. Pour cette raison, Tech Data soutient ses partenaires avec des recommandations ISO / BSI, qui sont continuellement mises à jour dans le portail Web du distributeur à valeur ajoutée. De cette manière, le client peut être sûr que sa solution SIEM / UEBA est mise en place selon les plus hauts standards.

Sécurité supplémentaire grâce à l'intégration MITRE ATT & CK

La sécurité informatique est un problème permanent difficile dans les entreprises – et ne fonctionne finalement que si elle est configurée en tant que processus. Cela inclut également l'identification des attaquants le plus rapidement possible. Le problème: les cybercriminels ne laissent aucune «empreinte digitale», leur traçage n'est possible que grâce à une analyse approfondie du code et des schémas d'attaque. Dans le cas de modèles d'attaque, par exemple, le type, la combinaison et la séquence des outils d'attaque peuvent fournir des conclusions sur la source d'une attaque – à condition que l'on dispose du savoir-faire spécialisé correspondant. En fait, même dans les centres d'opérations de sécurité professionnels (SOC), il n'y a pratiquement pas d'analystes qui maîtrisent vraiment cela. En matière de sécurité, les entreprises sont souvent désespérément débordées – les attaquants savent généralement beaucoup plus précisément ce que sont les véritables trésors de données d'une entreprise et où ils se trouvent.

Dans ce contexte, le support MITRE ATT & CK (Adversarial Tactics, Techniques & Common Knowledge) fourni par LogPoint entre en jeu. MITRE ATT & CK est une base de connaissances accessible dans le monde entier pour les tactiques d'attaque et les techniques basées sur des observations du monde réel. La base de connaissances ATT & CK est utilisée comme base pour développer des modèles et des méthodologies de menaces spécifiques dans le secteur privé, le gouvernement et la communauté des produits et services de cybersécurité. ATT & CK est ouvert et disponible à toute personne ou organisation pour une utilisation gratuite.

LogPoint associe désormais les alarmes et les messages d'événements de son propre système aux méthodes et techniques d'attaque décrites dans le framework MITRE. Les analystes de sécurité reçoivent une affectation directe et économisent un travail d'analyse fastidieux. La portée de cette cartographie est continuellement élargie.

LogPoint SIEM / UEBA est bien plus qu'une solution rentable pour la sécurité à l'intérieur et à l'extérieur du périmètre. Il délivre des rapports SIEM standard sur simple pression d'un bouton, ainsi qu'en combinaison avec des rapports conformes UEBA ISO, DSGVO, PCI, SOX et HIPAA, détecte plus rapidement les attaquants grâce à l'intégration MITRE ATT & CK et soulage le SOC et l'IT Business .
Les entreprises veulent la conformité, mais ont besoin des deux: conformité et sécurité. Soutenu par une installation conforme ISO / BSI, LogPoint SIEM / UEBA offre exactement cela, créant une liberté pour les analystes de sécurité et les opérations informatiques.

Wolfgang Rieger, Senior Budiness Development chez Tech Data.

© Données techniques

Wolfgang Rieger, Senior Business Development chez Tech Data.

Approche de solution de sécurité pour les partenaires Tech Data

Tech Data propose aux partenaires commerciaux en D / A / CH une approche unique afin de pouvoir réagir efficacement et globalement en fonction de la situation de menace de sécurité respective. Cela offre aux partenaires commerciaux une valeur ajoutée claire pour la conception de solutions de sécurité pour leurs clients.

Avec BSI IT-Grundschutz et ISO 27001, il existe une boîte à outils établie, reconnue au niveau national et international pour construire une sécurité informatique durable. L'accent est mis sur des mesures techniques et organisationnelles étendues. L'outil de vente de sécurité innovant de Tech Data comble le fossé et propose des recommandations de produits et de solutions spécifiques avec lesquelles les mesures de sécurité peuvent être mises en œuvre. https://marketing-de.techdata.com/blog/tdsr/

Vous pouvez trouver plus d'informations sur www.techdata.com et de.techdata.com ou sur le blog à l'adresse http://de.techdata.com/blog.

Partager sur Facebook "src =" http://www.lanline.de/fileadmin/sitedesign/Resources/Public/img/iconsSocial/facebook.svg "uk-img ="Partager sur Twitter "src =" http://www.lanline.de/fileadmin/sitedesign/Resources/Public/img/iconsSocial/twitter.svg "uk-img ="Partager sur Linkedin "src =" http://www.lanline.de/fileadmin/sitedesign/Resources/Public/img/iconsSocial/linkedin.svg "uk-img ="Partager par e-mail "src =" http://www.lanline.de/fileadmin/sitedesign/Resources/Public/img/iconsSocial/mail.svg "uk-img ="

Articles Liés

Tech Data GmbH & Co. OHG

<img onerror = "this.src =" http://www.lanline.de/fileadmin/sitedesign/Resources/Public/img/logos/logo-lanline-grey.svg "" class = "lozad" src = "https : //cdn3.weka-fachmedien.de/thumbs/media_uploads_lanline/images/190618-LLO-Security-PC-mit-Schloss.png.150×0.png "width =" 100% "data-src =" https: // cdn3.weka-fachmedien.de/thumbs/media_uploads_lanline/images/190618-LLO-Security-PC-mit-Schloss.png.850×0.png” alt=”Un grand pas vers un futur sans mot de passe” title=”190618 PC de sécurité LLO avec serrure”/>

sauvegarde de données

Sécurité du cloud