Alertes de sécurité dans le Cloud : Les fichiers de logs ne sont pas une réponse suffisante

Après avoir migré les applications de production et les charges de travail dans le cloud, la réévaluation de la politique de sécurité de l'entreprise et l'ajustement des processus utilisés pour sécuriser les données et les applications contre les cyberattaques sont les prochaines étapes critiques.

L'infrastructure cloud est idéale pour fournir des ressources à la demande et réduire considérablement le coût d'acquisition, de déploiement et de maintenance des ressources internes.

De plus, les entreprises peuvent rapidement augmenter ou réduire les ressources cloud. Mais perdre le contrôle de l'infrastructure physique signifie aussi ne pas être en mesure d'utiliser des outils familiers pour comprendre ce qui se passe à l’intérieur de cette infrastructure.

Tout responsable de la sécurité informatique a besoin d'une stratégie pour surveiller ce qui se passe dans le cloud de son entreprise, afin de pouvoir stopper toute attaque et en limiter les impacts.

L'utilisation de fichiers de logs

Bien que les utilisateurs n'aient pas un accès direct à l'infrastructure de cloud public, les fournisseurs de cloud offrent un accès aux journaux des événements qui ont eu lieu dans le cloud de l'utilisateur. Grâce à ceux-ci, les administrateurs peuvent visualiser, rechercher, analyser et même réagir à des événements spécifiques s'ils utilisent des API pour intégrer ces données à une solution de gestion des événements et des incidents de sécurité (SEIM).  Alors pourquoi les fichiers de logs ne sont-ils pas suffisants pour maintenir la sécurité ?

1-   Il se peut que toutes les données nécessaires ne soient pas recueillies au moyen des fichiers de logs. Alors que les événements de gestion sont automatiquement enregistrés, les événements de données ne le sont pas. Certains fournisseurs peuvent prendre en charge la collecte de journaux personnalisés, mais les utilisateurs devraient spécifier et activer les logs à l'avance. Il est donc difficile et parfois même impossible, de revenir en arrière et d'enquêter sur des zones qui n'ont pas déjà fait l'objet d'un suivi. 

2-    Bien que les journaux d'événements permettent d’identifier le moment de déclenchement d’une alerte, ils ne fournissent pas suffisamment d'informations pour en déterminer la cause. Des informations plus détaillées sont nécessaires pour effectuer une analyse approfondie des causes et déployer des correctifs en temps opportun. La montée des menaces persistantes avancées (APT), qui constituent le type de violation le plus dommageable, ne peut être stoppée par une simple analyse des fichiers de logs. Les solutions de sécurité réseau les plus avancées nécessitent des données détaillées en temps réel pour avoir une chance de détecter les APTs. Les fichiers de logs sont généralement générés à des intervalles spécifiés, en fonction du niveau de service payé par l'utilisateur. Les utilisateurs doivent ensuite mettre en place un mécanisme de stockage des fichiers de logs pour une analyse future. Ainsi, bien que des données utiles dans le cadre d'une enquête sur une atteinte à la vie privée puissent être recueillies, elles ne sont pas disponibles en temps réel et limitent la vitesse de confinement et de récupération.

3-   Les menaces les plus sophistiquées sont de plus en plus capables d’avancer dans une organisation sans déclencher d'alertes. Dans de nombreux cas d'attaques, des logiciels malveillants ont pu pénétrer dans une organisation sans être détectées et ainsi exfiltrer des données durant plusieurs mois. De nos jours, la sécurité exige une surveillance plus rigoureuse que de simples fichiers de logs.

4-    À long terme, la gestion des fichiers de logs peut s'avérer coûteuse. Obtenir suffisamment de données de fichiers de logs et les passer au crible exige du temps, de l'argent et un engagement envers l'intégration des données. Les outils de surveillance existants qui utilisent les données des journaux peuvent ne pas être suffisants pour enquêter sur de nouvelles menaces. Des investissements peuvent donc s’avérer nécessaires pour des outils supplémentaires. Les analystes de sécurité pourraient finir par consacrer plus de temps à l'administration de données complexes, plutôt que de se concentrer sur l'analyse de corrélation et la réponse aux incidents.

En quoi les paquets de données peuvent être utiles ?

Les paquets de données sont comme des poupées russes. Différents en-têtes sont imbriqués les uns aux autres et travaillent pour déplacer efficacement le paquet qui renferme le contenu à travers le réseau. Les en-têtes peuvent être très informatifs, mais la sécurité dépend aujourd'hui de ce qu'on appelle l'inspection approfondie des paquets (DPI), de la charge utile ou du contenu du paquet. Le DPI expose les sites Web spécifiques, les utilisateurs, les applications, les fichiers ou les hôtes impliqués dans une interaction-information qui n'est pas disponible en inspectant uniquement les données d'en-tête.

Les environnements cloud présentent de nombreuses vulnérabilités potentielles que les attaquants peuvent exploiter. Leurs attaques sont souvent menées en plusieurs étapes qui peuvent ne pas être détectées par les systèmes de détection d'intrusion ou les pares-feux de nouvelle génération. Pour garder une longueur d'avance, les analystes de sécurité utilisent de plus en plus souvent la corrélation de données et l'analyse multifactorielle pour trouver des modèles associés à des activités illégitimes. Ces solutions sophistiquées nécessitent des données granulaires pour fonctionner efficacement. La plupart des organisations ont des solutions comme celles-ci déployées sur place pour évaluer les données par paquets capturées à partir de l'infrastructure physique.

Comment accéder aux paquets de données dans le cloud ?

Contrairement à l'infrastructure physique qui peut être exploitée pour produire des copies de paquets de données, l'architecture cloud n'est pas directement accessible. Dans l'éventualité d'une attaque continue ou d'une violation de données, un utilisateur peut être frustré d'apprendre que les données dont il a besoin pour isoler et résoudre le problème ne sont pas incluses dans l'accord de niveau de service qu'il a conclu avec son fournisseur. Heureusement, il existe de nouvelles méthodes pour accéder aux paquets de données par paquets dans le cloud.

Il existe aujourd’hui des capteurs basés sur des conteneurs qui se trouvent à l'intérieur des instances du cloud et génèrent des copies des paquets de données et sont déployés à l'intérieur de chaque nouveau cloud, pour une évolutivité illimitée. Ces capteurs accèdent à tous les paquets bruts qui viennent ou vont de cette instance. Cette approche de l'accès aux données garantit qu'aucune d’entre elle n'est manquée, et renforce ainsi la sécurité du cloud.

Quels sont les avantages d’une plateforme de visibilité du Cloud ?

Bien sûr, le fait d'avoir accès à toutes les données au niveau des paquets de chaque instance du cloud présente un autre problème : les volumes de données peuvent submerger les solutions de sécurité et même les amener à abandonner des paquets. Une plate-forme de visibilité cloud filtre les paquets bruts selon des règles définies par l'utilisateur et supprime les données inutiles pour ne fournir que les données pertinentes à chaque solution de sécurité. Cela leur permet de fonctionner plus efficacement.

Aujourd'hui, deux types de plates-formes de visibilité sont disponibles pour les charges de travail dans le cloud. L'un d'entre eux utilise une approche lift-and-shift à partir d’un moteur de visibilité développé pour les data-centers et déplacé vers le cloud. Le moteur lui-même est un processeur monolithique qui regroupe et filtre toutes les données en un seul endroit.

L'autre approche distribue l'agrégation et le filtrage des données à chacune des instances du cloud et communique les résultats à une interface de gestion basée sur cloud. Les données peuvent être directement livrées de cette manière ou retournées vers le data-center. La solution distribuée a l'avantage d'être hautement évolutive, puisque les données n'ont pas besoin d'être transportées vers un emplacement central pour le traitement. C’est également une solution plus fiable dans la mesure où il n’existe pas de point de défaillance unique.

Qu'il s'agisse de réagir à un incident de sécurité, à une brèche de données ou à l'appui d'un litige, une organisation doit disposer d'une plate-forme de visibilité du cloud très efficace pour accéder et préserver le trafic numérique qui a une incidence sur ses activités. Les fichiers de logs ne sont tout simplement pas en mesure de répondre à cette exigence.

Conclusion

En fin de compte, les fichiers de logs sont des outils de diagnostic et non des solutions de sécurité. Ils ne peuvent pas aider à une réponse efficace face à une menace ou à une brèche de sécurité. Avec la croissance persistante des menaces avancées et des attaques multi-étapes, une sécurité efficace exige des données détaillées au niveau des paquets, pour chaque interaction qui se produit dans le cloud. Le coût de la capture et du filtrage des paquets de données sera compensé par la capacité accrue de l'équipe de sécurité à détecter les attaques et à accélérer l'intervention en cas d'incident.

Lora O’Haver, Cloud Solution Marketing Manager chez Ixia, groupe Keysight