Vous n’avez probablement jamais entendu une entreprise vanter le fait que la leur est une « solution héritée ». Bien sûr que non. Le terme héritage a une connotation négative – c’est le contraire de « nouveau et amélioré » dans le langage des spécialistes du marketing. Mais, en réalité, certaines solutions sont en effet héritées, et d’autres représentent la prochaine génération de technologie.
La nouvelle génération et l’héritage sont des termes surutilisés qui n’ont pas de sens toujours précis. Les responsables marketing peuvent les utiliser comme bon leur semble. Alors, comment déterminez-vous quelles plates-formes SIEM méritent le surnom d’héritage ou de nouvelle génération ?
Cet article explorera les cinq principales questions à se poser avant de choisir une plateforme SIEM en 2021 et au-delà. Vous pouvez utiliser ces questions pour décider vous-même de l’étiquette appropriée pour toute solution SIEM.
Question 1 : Comment fonctionne votre modèle de tarification ?
Cette question sur le modèle de tarification d’un fournisseur est bien plus importante qu’il n’y paraît à première vue. Cette question ne consiste pas simplement à demander « combien cela coûte-t-il ? » — comme s’il s’agissait d’un vélo ou d’une banane. Au lieu de cela, il essaie de déterminer quels seront les coûts lorsque vous augmenterez vos opérations de sécurité. Il essaie de découvrir si vous pourrez ou non vous permettre d’ingérer toutes les données dont vous avez besoin à partir de toutes les sources que vous devriez et de conserver les données aussi longtemps qu’elles sont utiles.
Une autre façon de reformuler cette question est de demander : « Aurai-je besoin de compromettre ma sécurité à l’avenir parce que votre solution devient trop coûteuse à grande échelle ? »
Les données de sécurité croissent de façon exponentielle et les équipes doivent s’assurer qu’elles ne sont pas submergées par le coût de licence des SIEM qui ne tiennent pas compte des échelles modernes. Les fournisseurs doivent penser en termes de TB et de PB et non plus de GB. Le problème actuel est que les coûts de licence très élevés dissuadent les équipes d’envoyer toutes les données dont elles ont besoin pour détecter et répondre de manière appropriée.
Question 2 : Mes données de sécurité sont-elles verrouillées ?
Les formats de stockage de données propriétaires empêchent les équipes d’effectuer un post-traitement personnalisé, d’exporter des données ou de changer de fournisseur selon les besoins. S’il y a jamais eu un indice fiable pour indiquer si une solution mérite ou non d’être qualifiée d' »héritée », un format de stockage de données propriétaire est cet indicateur.
En choisissant un SIEM soutenu par un entrepôt de données cloud, les équipes de sécurité bénéficient des avantages d’échelle du découplage du stockage et du calcul, ajoutent la possibilité de partager des données en externe avec d’autres organisations et d’enrichir leurs données. Et si, pour une raison quelconque, les équipes de sécurité ont besoin d’un accès direct aux données, elles peuvent effectuer tout traitement supplémentaire.
Question 3 : De quelles certifications de conformité disposez-vous ?
Les services SaaS sont aussi sécurisés que l’équipe qui les gère. Les normes de conformité telles que PCI, SOC, HIPAA et autres vous donnent, en tant que client potentiel, un niveau de confiance plus élevé dans le fait que le fournisseur fait preuve de diligence raisonnable et dispose de contrôles de sécurité appropriés et stricts.
Aujourd’hui, dans la plupart des cas, les équipes de sécurité peuvent transférer la responsabilité du renforcement du cloud au fournisseur. Les cadres de conformité, cependant, nécessitent un travail et des efforts continus pour être respectés. Le maintien des normes de conformité n’est pas la meilleure utilisation du temps de l’équipe de sécurité. Toute solution méritant d’être qualifiée de nouvelle génération devrait vous permettre de modéliser les normes des politiques en tant que code pour atteindre la conformité.
Question 4 : Dans quelle mesure les capacités de détection sont-elles personnalisables ?
Chaque solution SIEM adopte une approche unique de la détection. Certains sont plus pratiques, permettant aux équipes de se personnaliser entièrement en écrivant du code ou des expressions de détection personnalisées. En revanche, d’autres sont des « boîtes noires » et utilisent des technologies telles que l’apprentissage automatique pour détecter les comportements destructeurs.
Il n’y a pas de solution miracle, mais comprendre exactement ce que le SIEM peut ou ne peut pas faire donne aux équipes les connaissances nécessaires pour utiliser de manière appropriée les outils à leur disposition. Il est crucial de trouver une solution qui corresponde aux compétences et aux capacités de votre équipe et à la culture de votre organisation.
En fin de compte, le moyen le plus efficace de fournir une protection consiste à adopter une approche de détection en profondeur où plusieurs signaux sont combinés pour augmenter la confiance que quelque chose ne va pas. Ce principe de sécurité fondamental est la raison pour laquelle il est si crucial que votre solution vous donne l’accès le plus large possible à la plus grande quantité de données et vous offre les méthodes les plus flexibles pour créer des détections et enquêter sur les alertes.
Question 5 : Quelle est l’interface pour interroger mes données ?
Des capacités d’enquête robustes et expressives peuvent considérablement améliorer la réponse aux incidents. Si les analystes sont confus par ce qu’ils regardent ou ne savent pas comment poser les questions pour lesquelles ils ont besoin de réponses, la puissance derrière l’interface est largement gaspillée.
Les langages spécifiques au domaine (DSL) sont conçus pour troquer la facilité d’utilisation contre la flexibilité. Vous pouvez simplement effectuer des requêtes de routine, mais vous ne pourrez peut-être pas obtenir très facilement les informations dont vous avez vraiment besoin.
Un langage de programmation interprété, orienté objet et de haut niveau avec une sémantique dynamique, tel que Python ou même le langage informatique déclaratif de haut niveau, SQL, offrira une flexibilité maximale et est couramment utilisé par les équipes de sécurité. Cette familiarité combinée à la flexibilité fournit souvent la solution la plus efficace.
Conclusion
Le monde serait peut-être plus simple si nous pouvions compter sur les services marketing pour appliquer des étiquettes précises et bien définies à leurs produits, mais n’espérons pas que cela se produise de si tôt. En attendant, c’est à chacun de nous de poser les bonnes questions et d’interpréter et de peser les réponses. La prochaine fois qu’un fournisseur vous appelle, souvenez-vous de l’acronyme PPPCI :
- Prix — Il s’agit vraiment du coût de mise à l’échelle
- Propriétaire — Ne laissez pas vos données être verrouillées
- Performance — Une vitesse accrue réduira vos frais généraux d’exploitation
- Personnalisable — Personnaliser pour une détection en profondeur
- Interface — Si vous ne comprenez pas l’interface, la puissance est gaspillée
En vous concentrant sur ces aspects critiques et en posant les cinq questions clés décrites ici, vous pouvez obtenir les informations dont vous avez besoin pour prendre la meilleure décision concernant une solution SIEM potentielle.