Qu’est ce que la corrélation d’événements ?

Le terme  » corrélation d’événements  » désigne généralement tous mécanismes d’analyse en temps réel des événements générés par un Système d’Information. La corrélation permet de passer d’une  » analyse à posteriori des logs  » (forensic) à une véritable  » gestion du risque métier ».

Sur le plan technique, la corrélation s’effectue à plusieurs niveaux. Ainsi elle va d’abord permettre d’établir une relation entre les logs et alarmes produits par les différents dispositifs (pare-feu, IDS, antivirus, application et système …) pour en diminuer leur nombre et identifier des formes d’attaques ou d’activités anormales invisibles sans une vision transversale de l’activité du Système d’Information. La corrélation consiste également à croiser les messages avec des informations propres au Système d’Information considéré. L’enrichissement apporté par l’utilisation d’une base de connaissance telle qu’une base d’inventaires ou de vulnérabilité permet de fiabiliser les messages d’alarmes (élimination des fausses alertes) et d’ajuster leurs priorités en fonction de critères spécifiques (ex : critères métiers).

Pourquoi faire de la corrélation d’événements ?

Jusqu’à présent les efforts en sécurité, portaient sur la brique traditionnelle  » protection « , seule la fiabilité et la sécurité de ces équipements étaient importantes. aujourd’hui, on s’aperçoit que cela ne suffit plus, la gestion du risque passe par une meilleure visibilité de l’activité du Système d’Information. Cependant, les informations générées par les dispositifs ne sont pas suffisamment pertinentes car ces derniers ne prennent pas en compte le contexte dans lequel l’événement a été généré.

De plus, les informations sont bien trop nombreuses pour envisager une analyse manuelle. La corrélation va permettre de maîtriser l’hétérogénéité et la volumétrie des informations pour assister les équipes sécurité dans leur travail quotidien. Cette approche consiste à privilégier les briques  » détection  » et  » réaction « .

A qui s’adresse la corrélation d’événements de sécurité ?

La corrélation d’événements s’adresse à plusieurs catégories d’utilisateurs, on pense bien évidemment aux équipes techniques en charge de la supervision de la sécurité d’un Système d’Information, mais également à celles qui exploitent des applications métiers et qui doivent reconnaître une activité anormale parmi une importante quantité d’informations (ex: lutte contre le blanchiment d’argent).

Sur le plan réglementaire et normatif, les organisations qui souhaitent être en conformité avec les normes et réformes, telles que BS7799-2, Bale 2 ou bien Sarbanes-Oxley, doivent à un moment ou un autre mettre en oeuvre des mécanismes de corrélation d’événements.

Quels sont les challenges de la corrélation d’événements sécurité ?

Les challenges sont nombreux, dans un contexte où le nombre de dispositifs à superviser est croissant, il faudra collecter l’information depuis des sources multiples, évaluer son impact sur le Système d’Information, l’enrichir pour enfin la présenter de manière synthétique à la bonne personne dans l’organisation. La corrélation d’événements doit être capable d’extraire, parmi une quantité de données phénoménale, une information fiabilisée qui sera utilisée pour alimenter les indicateurs des tableaux de bord de l’organisation.

Quelles sont les normes qui existent aujourd’hui en matière « messages de sécurité » / format de logs ?

Les standards SNMP et Syslog ne répondant pas aux exigences de sécurité, il était nécessaire de définir un protocole d’échanges de données entre équipements de protection, plus robuste. Ainsi, plusieurs initiatives sont apparues tel que IDXP soutenu par l’IETF et SDEE (Security Device Event Exchange) porté par Cisco. Dans le monde des serveurs Microsoft Windows on assiste en ce moment à la naissance de l’ACS (Audit Collection Services).

Mais normaliser les mécanismes de communication ne suffit pas, il faut également s’attacher à la forme même du message. Actuellement, chaque éditeur possède son propre format. Toutefois un premier standard issu de l’industrie a vu le jour : le format WELF (Webtrends Enhanced Log Format) qui a pour objectif de rendre homogènes les logs issus de pare-feu, serveur VPN et Proxy. Plusieurs éditeurs de pare-feu ont choisi de supporter ce format, cependant il est trop spécifique aux équipements filtrants et ne s’adapte pas à tous les types de dispositifs.

Pour une corrélation efficace des événements, un format plus ouvert et permettant une description d’informations de tout type est nécessaire, le format IDMEF (Intrusion Detection Message Exchange Format) basé sur IDXP a été conçu avec cet objectif. Il s’agit d’un standard définissant précisément le format des données. Actuellement IDMEF est encore à l’état de  » draft  » mais il s’agit du seul format générique uniformément reconnu et qui commence à être implémenté dans plusieurs applications commerciales. Un forum d’échange a été constitué autour d’IDMEF (www.idmef.fr), ce forum travaille notamment sur une nomenclature visant à uniformiser le contenu des messages afin que, quelle que soit la source, un message correspondant à un même événement contienne toujours les mêmes informations.

Quels sont les équipements qui remontent des informations pouvant servir à la corrélation d’événements de sécurité ?

La corrélation d’événements concerne tous équipements, dispositifs, systèmes ou applications susceptibles de générer une information pertinente pour la sécurité. Ainsi par exemple dans le cadre de la supervision des accès physiques et logiques, il peut être intéressant de rapprocher les informations provenant d’une badgeuse avec les informations provenant d’un serveur d’authentification. Ceci permet par exemple d’identifier le cas où un utilisateur se signe sur une application sans s’être préalablement identifié physiquement (tentative d’usurpation d’identité ?).

Pour conclure ?

Pour conclure, on peut dire que la corrélation d’événements est une étape préalable à toutes actions de contre mesure efficaces. En effet, si les organisations ont jusqu’à présent renoncées à mettre en oeuvre des systèmes de réponses automatiques, c’est bien parce qu’elles les jugent  » hasardeux « . La vision globale offerte par la corrélation d’événements donne la possibilité de déclancher des actions de contre-mesure beaucoup plus  » réfléchies  » et de tendre vers une sécurité proactive.