Un ensemble d’armes extrêmement important (mais souvent négligé) dans votre arsenal de sécurité est votre journaux de sécurité. Pourquoi?

Les journaux système et réseau peuvent être la clé pour éviter une attaque, répondre immédiatement à une violation et déterminer les détails critiques d’un incident de sécurité après qu’il s’est produit.

C’est comme trouver le « patient zéro » dans une pandémie – et avoir ces réponses sûres et à portée de main peut faire toute la différence dans les temps de récupération. Cependant, les pirates le savent aussi et ciblent souvent les journaux système lors d’une attaque.

Voici comment vous pouvez les protéger et pourquoi la sécurité des données des journaux est si importante.

1. Les journaux de sécurité peuvent vous aider à identifier et caractériser de manière proactive les menaces.

Lorsqu’il s’agit de protéger vos données et vos applications, les journaux de sécurité peuvent servir de signal d’avertissement précoce lorsque quelque chose de louche se produit. À l’aide de plates-formes d’analyse de journaux ou d’un logiciel de surveillance des journaux appropriés, vous pouvez être alerté d’un comportement d’utilisateur anormal, d’événements réseau ou d’un accès au système, ce qui pourrait indiquer un incident ou une menace de sécurité potentiel.

Certaines plates-formes d’analyse peuvent analyser les données des journaux pour identifier les menaces potentielles que les outils de sécurité plus traditionnels ne peuvent pas détecter. Ces avertissements précoces vous permettent de résoudre le problème de manière proactive avant qu’il ne puisse s’aggraver. Vous pouvez également utiliser des capacités de détection pour tester des scénarios et des hypothèses de sécurité, ce qui vous permet ensuite d’identifier et de résoudre les failles de sécurité ou d’autres vulnérabilités.

2. Les journaux de sécurité peuvent vous aider à détecter et à répondre aux attaques.

Une solution d’analyse des journaux peut surveiller en permanence vos journaux de sécurité pour vous aider à être immédiatement informé d’un incident de sécurité, qu’il s’agisse d’un accès non autorisé, d’une violation des politiques de sécurité, d’une modification des données ou des configurations système sans les autorisations appropriées, ou d’une attaque pure et simple.

Vos journaux de sécurité contiendront les informations dont vous avez besoin sur ce qui se passe actuellement (ou très peu de temps après), afin que vous puissiez agir immédiatement pour minimiser l’exposition et atténuer les énormes implications financières et de réputation d’une violation grave.

3. Les journaux de sécurité peuvent vous aider à savoir exactement ce qui s’est passé après une violation.

Une fois que vous avez identifié et corrigé une faille de sécurité, il est essentiel de retracer l’événement jusqu’à son point de départ. Tout comme les épidémiologistes travaillent dur pour analyser les populations et trouver le « patient zéro » lors d’une épidémie virale, votre organisation voudra examiner de manière médico-légale les journaux de sécurité existants pour identifier la personne ou l’appareil qui a infiltré le système, voir comment ils sont entrés, savoir exactement ce qu’ils ont l’a fait et quand, et déterminer si la menace est continue.

Cette tâche médico-légale est une partie essentielle de la récupération après l’événement. Sans cela, votre équipe informatique ne saura pas quels systèmes sont vulnérables ni comment les réparer.

Les journaux de sécurité peuvent être un puissant outil de cybersécurité, mais uniquement s’ils sont activés et utilisés correctement. Les experts en sécurité disent qu’il est important de tout enregistrer sur tous vos systèmes. Vous ne savez pas où une tentative de violation se produira, donc avoir des journaux sur votre tout l’infrastructure peut vous faire économiser à l’avenir.

Disposer d’une solide solution d’analyse des journaux est également essentiel pour tirer le meilleur parti des journaux de sécurité. En une seule journée, vos serveurs, votre réseau et les appareils des utilisateurs finaux peuvent générer des centaines de milliers ou des millions d’entrées de journal. Une étude a révélé qu’une entreprise moyenne accumule jusqu’à 4 Go de données de journal par jour. Ces données incluent toutes les transactions qui ont lieu sur votre réseau, y compris les informations sur les utilisateurs qui se connectent et se déconnectent du système, les pannes de serveur, le démarrage et l’arrêt des applications, les fichiers en cours d’accès, etc. C’est trop de données pour qu’un humain puisse les examiner quotidiennement.

Concentrez-vous sur la mise en place des bons outils d’analyse en plus de votre journalisation de sécurité dans trois domaines principaux : le réseau, les points de terminaison et les utilisateurs finaux. Une bonne plate-forme d’analyse des journaux peut surveiller votre volume quotidien de données de journal de sécurité et le traiter en temps réel pour détecter les anomalies, identifier les menaces potentielles et les indicateurs de compromission et alerter le service informatique des violations de sécurité. Après avoir collecté et analysé les journaux, il est important de disposer d’un outil d’orchestration capable d’enrichir les données transmises à vos chasseurs de menaces afin qu’ils disposent d’un ensemble d’informations organisé pour commencer leur examen.

Les journaux de sécurité peuvent être un puissant outil de cybersécurité

Étant donné que vos journaux de sécurité contiennent une telle richesse de données sur les problèmes et activités de sécurité potentiels, il est important de les protéger correctement. Les pirates savent à quel point ils sont précieux, ils peuvent donc souvent les supprimer ou les modifier pour masquer leurs traces.

Pour protéger les journaux de sécurité, vous pouvez :

Crypter ou protéger par mot de passeLes ajouter uniquement, ce qui signifie qu’un utilisateur peut ajouter aux journaux mais ne peut pas modifier ou effacer ce qui s’y trouve déjàCréer des copies des fichiers journaux et les stocker dans plusieurs environnementsStocker les fichiers journaux sur un système ou un serveur séparé complètementUtiliser inaltérable journaux d’audit pour garantir l’exactitudeMasquer les fichiers journaux dans le systèmeUtiliser un support à écriture unique pour enregistrer les fichiers journaux

Comment Pure Storage et nos partenaires peuvent vous aider

Il y a beaucoup d’avantages à utiliser Pure Storage® FlashBlade® ou FlashArray™ pour stocker vos fichiers journaux de sécurité. Les deux sont des solutions de stockage 100 % flash, hautement évolutives et connectées au réseau. FlashBlade et FlashArray consolident tous vos fichiers journaux et s’intègrent de manière transparente aux plates-formes d’analyse de journaux les plus avancées, y compris les solutions de nos partenaires, Elastic et Splunk. FlashBlade et FlashArray permettent d’obtenir des informations plus rapidement à un coût total de possession inférieur.

FlashBlade et FlashArray ont également des fonctionnalités qui protègent encore plus vos journaux de sécurité. En exécutant la solution dans notre fonctionnalité SafeMode™ avec l’analyse des journaux Splunk ou Elastic, vous vous assurez que vos journaux ne peuvent pas être supprimés. De cette façon, vous pouvez récupérer en toute confiance après une faille de sécurité et disposerez des informations dont vous avez besoin pour analyser l’événement et prendre des mesures pour éviter qu’il ne se reproduise.

Quel que soit le nombre de solutions de sécurité que vous déployez, qu’il s’agisse de contrôle d’accès au réseau, de protection contre la perte de données, de pare-feu, de systèmes de prévention des intrusions, de gestion de l’accès aux identités, de courtiers de sécurité d’accès au cloud, de logiciels anti-programme malveillant, de détection des points de terminaison ou de tout ce qui précède, il est essentiel d’avoir un plan d’action pour détecter et corriger une faille de sécurité quand ou si elle se produit. Téléchargez 10 questions à poser à votre RSSI pour mettre votre plan en branle.

Auteur : Andy Stone

Andy Stone est un cadre informatique accompli avec une passion pour la technologie et la création de solutions innovantes qui résolvent les problèmes et produisent des résultats. En tant que CTO pour les Amériques chez Pure Storage, Andy se concentre sur la fourniture de technologies de stockage et de protection des données de nouvelle génération qui aident les entreprises à obtenir de meilleures informations, à améliorer les délais de mise sur le marché et… Voir le profil complet ›