Au coeur des SOC, les outils SIEM peuvent présenter des lacunes

Les systèmes de gestion des informations et des événements de sécurité (SIEM) restent le pilier d'un centre d'opérations de sécurité (SOC), rappelle l'éditeur israélien CardinalOps dans une récente étude consacrée à cet outil de protection des SI. Le rapport s'attache notamment à évaluer la couverture de détection des SOC actuels. Pour ce faire, une masse de données de configuration issues de différents outils SIEM en production (dont Splunk et Microsoft Cardinal) a été passée au peigne fin, prenant en compte plus de 10 000 règles de détection et plus de 1,2 million de sources de logs sur une période de quatre ans. 

Pour mesurer la portée effective des outils SIEM contre les cybermenaces, l'étude s'appuie sur le référentiel ATT&CK de MITRE qui, selon CardinalOps, est utilisé par la plupart des entreprises et décrit aujourd'hui plus de 500 techniques et sous-techniques utilisées par les principaux gangs de cyberpirates. 

Les résultats de cette analyse révèlent que 81% des techniques MITRE ATT&CK ne sont pas détectées par les SIEM en production. En fait, les centres opérationnels de sécurité (SOC) ne couvrent en moyenne que 38 techniques sur 201, soit 19% des techniques potentiellement utilisées par les acteurs malveillants. En outre, il est apparu que près de neuf SIEM sur dix collectent suffisamment de données pour couvrir toutes les techniques. La solution ne résiderait donc pas dans la collecte de davantage de données, mais plutôt dans un ajustement des processus d'ingénierie de détection. 

Selon CardinalOps, 18% des règles SIEM sont défectueuses et ne se déclenchent jamais en raison de problèmes courants tels que des sources de données mal configurées et des champs manquants. Ces problèmes sont souvent dus à au changement permanent de l'infrastructure informatique, aux modifications du format des logs par les fournisseurs, ainsi qu'à des erreurs logiques ou accidentelles lors de l'écriture des règles.

L’analyse d’un spécialiste en Suisse romande

Des résultats qui ne surprennent pas le spécialiste contacté par la rédaction. Selon David Routin, SOC manager chez le prestataire romand e-Xpert Solutions SA, beaucoup de techniques MITRE ATT&CK ne sont pas détectée car bien souvent, conditions définies dans le référentiel sont utilisées dans les entreprises de façon légitime (de nombreuses règles MITRE ATT&CK sont par exemple liées à l’utilisation de PowerShell). «Il est essentiel de comprendre que bien que détecter 100% des techniques du framework MITRE ATT&CK soit techniquement possible, le véritable défi réside dans la capacité à filtrer efficacement les faux positifs pour éviter de surcharger inutilement l'équipe de sécurité», fait observer l’expert. Avant d’expliquer qu’intégrer énormément de données dans un SIEM, selon l’approche appelée «input-driven model», n’est pas nécessairement pertinent. «Il vaut mieux privilégier la qualité à la quantité», résume David Routin, e-Xpert Solutions ayant ainsi opté pour «l’output-driven model»: «L’idée générale étant que si l’on envoie quelque chose dans le SIEM, c’est que l’on en a vraiment besoin, qu’il y a des use cases derrière, ou que le coût de collecte permettra de couvrir différents use cases.»  

Le spécialiste d’e-Xpert Solutions a en outre conscience des risques posés par d'éventuelles défaillances au niveau des règles SIEM configurées. Pour prévenir ce genre de manquements, les équipes du prestataire romand mettent en place des solutions pour ses clients via «une approche de Purple Teaming automatisé». L’idée est de tester les différentes use cases via des simulations d'attaques continues, assurant ainsi en permanence que toute la chaîne de détection, de la collecte jusqu'à l'alarme, fonctionne parfaitement.