ITIL est un cadre relativement répandu et très complet pour la gestion des services informatiques. Originaire du Royaume-Uni et conçu pour servir à la fois le gouvernement et les entreprises privées, il s'agit d'un ensemble de processus, de recommandations et de pratiques hautement structurés. Il est séparé en plusieurs domaines spécifiques, la gestion de la sécurité n'étant rien de plus qu'un des nombreux aspects de celui-ci. Mais comme la sécurité est un sujet si important, en particulier lorsque l'on considère la scène des menaces modernes et la façon dont les organisations sont constamment ciblées par des pirates informatiques sans scrupules, nous avons décidé d'examiner certains des meilleurs outils de gestion de la sécurité ITIL.
Nous commencerons par expliquer plus en détail ce qu'est ITIL avant de passer au domaine spécifique de la gestion de la sécurité ITIL. Ensuite, nous présenterons le concept de gestion des informations et des événements de sécurité, décrirons en quoi il consiste et expliquerons comment il peut être lié à la gestion de la sécurité ITIL. Nous allons enfin passer à la partie intéressante et présenter un examen rapide de certains des meilleurs outils de gestion de la sécurité ITIL, décrivant les meilleures fonctionnalités et fonctionnalités de chaque outil.
ITIL en bref
ITIL, qui était autrefois synonyme de bibliothèque d'infrastructure de technologie de l'information, a commencé dans les années 80 dans le cadre d'un effort de la Central Computer and Telecommunications Agency (CCTA) du gouvernement britannique pour développer un ensemble de recommandations et de pratiques standard pour la gestion des services informatiques au sein du gouvernement et le secteur privé aussi. Il est à l'origine une collection de livres, chacun couvrant une pratique spécifique au sein de la gestion des services informatiques et a été construit autour d'une vue basée sur un modèle de processus de contrôle et de gestion des opérations.
Initialement composé de plus de 30 volumes, il a ensuite été quelque peu simplifié et les services ont été regroupés, réduisant le nombre de volumes à 5. Il est toujours en constante évolution et la dernière version du livre Foundation a été publiée en février dernier, ITIL regroupe divers éléments de gestion des services informatiques. dans les pratiques, ITIL Security Management n'étant qu'un exemple parmi tant d'autres.
À propos de la gestion de la sécurité ITIL
Quant au processus ITIL de gestion de la sécurité, il « décrit la mise en place structurée de la sécurité de l'information dans l'organisation de gestion ». Il est largement basé sur le code de pratique pour le système de gestion de la sécurité de l'information (SGSI) maintenant connu sous le nom d'ISO/IEC 27001.
L'objectif principal de la gestion de la sécurité est, bien entendu, d'assurer une sécurité adéquate de l'information. Et à son tour, l'objectif principal de la sécurité de l'information est de protéger les actifs informationnels contre les risques, maintenant ainsi leur valeur pour l'organisation. En règle générale, cela s'exprime en termes d'assurance de sa confidentialité, de son intégrité et de sa disponibilité, mais également avec des propriétés ou des objectifs connexes tels que l'authenticité, la responsabilité, la non-répudiation et la fiabilité.
La gestion de la sécurité comporte deux aspects principaux. D'abord et avant tout, les exigences de sécurité qui peuvent être définies dans les accords de niveau de service (SLA) ou d'autres exigences spécifiées dans les contrats, la législation ainsi que les politiques internes ou externes. Le deuxième aspect est simplement la sécurité de base qui garantit la gestion et la continuité du service. Il est quelque peu lié au premier aspect car il est nécessaire de parvenir à une gestion simplifiée des niveaux de service pour la sécurité de l'information.
Bien que la gestion de la sécurité ITIL soit un concept large, il est un peu plus circonscrit dans le contexte des outils logiciels. Lorsqu'on parle d'outils de gestion de la sécurité, plusieurs types d'outils peuvent venir à l'esprit. Un type, cependant, semble être plus intéressant que les autres : les outils de Security Information and Event Management (SIEM).
Présentation de la gestion des informations et des événements de sécurité (SIEM)
Dans sa forme la plus simple, la gestion des informations et des événements de sécurité est le processus de gestion des informations et des événements de sécurité. Concrètement, un système SIEM n'apporte aucune réelle protection. Ceci est différent, par exemple, des logiciels antivirus qui empêchent activement les virus d'infecter les systèmes protégés. L'objectif principal de SIEM est de faciliter la vie des administrateurs réseau et sécurité. Un système SIEM typique collecte simplement des informations à partir de divers systèmes, notamment des périphériques réseau et d'autres systèmes de détection et de protection. Il met ensuite en corrélation toutes ces informations, assemblant les événements connexes et réagit de différentes manières aux événements significatifs. Les systèmes SIEM incluent également une forme de reporting et, plus important encore, des tableaux de bord et des sous-systèmes d'alerte.
Qu'y a-t-il dans un système SIEM
Les systèmes SIEM varient considérablement d'un fournisseur à l'autre. Il y a cependant un certain nombre de composants qui semblent être présents dans beaucoup d'entre eux. Ils n'incluront pas tous tous ces composants et, lorsqu'ils le font, ils pourraient fonctionner différemment. Examinons plus en détail certains des composants les plus importants et les plus courants des systèmes SIEM.
Collecte et gestion des journaux
La collecte et la gestion des journaux sont sans aucun doute l'élément le plus important d'un système SIEM. Sans elle, il n'y a pas de SIEM. La première chose qu'un système SIEM doit faire est d'acquérir des données de journal à partir d'une variété de sources différentes. Il peut soit l'extraire (à l'aide, par exemple, d'un agent installé localement), soit différents appareils et systèmes peuvent le pousser vers l'outil SIEM.
Étant donné que chaque système a sa propre façon de catégoriser et d'enregistrer les données, la tâche suivante de l'outil SIEM est de normaliser les données et de les rendre uniformes, quelle que soit leur source. La manière dont cette étape est effectuée varie principalement en fonction du format d'origine des données reçues.
Une fois normalisées, les données enregistrées seront souvent comparées à des modèles d'attaque connus afin d'essayer de reconnaître le plus tôt possible les comportements malveillants. Les données peuvent également être comparées aux données précédemment collectées, contribuant ainsi à établir une base de référence qui améliorera encore la détection d'activités anormales.
Réponse à l'événement
C'est une chose de détecter un événement mais, une fois qu'un événement est détecté, un processus de réponse doit être lancé. C'est à cela que sert le module de réponse aux événements de l'outil SIEM. La réponse à l'événement peut prendre plusieurs formes. Dans sa mise en œuvre la plus basique, un message d'alerte sera généré sur le tableau de bord du système. Des alertes par e-mail ou SMS peuvent également être générées comme réponse principale.
Cependant, les meilleurs systèmes SIEM vont encore plus loin et ils peuvent généralement lancer une sorte de processus de correction. Encore une fois, c'est quelque chose qui peut prendre plusieurs formes. Les meilleurs systèmes ont un système de workflow de réponse aux incidents complet qui peut être personnalisé, fournissant exactement le type de réponse dont vous avez besoin. La réponse à l'incident n'a pas besoin d'être uniforme et différents événements (ou différents types d'événements) peuvent déclencher différents processus. Les meilleurs outils SIEM peuvent vous donner un contrôle total sur le workflow de réponse aux incidents.
Rapports
C'est une chose d'avoir la collecte et la gestion des journaux et d'avoir un système de réponse aux événements en place, mais vous avez également besoin d'un autre élément important : le reporting. Même si vous ne le savez peut-être pas encore, vous aurez besoin de rapports ; clair et simple. Les dirigeants de votre organisation auront besoin d'eux pour voir par eux-mêmes que leur investissement dans un système SIEM porte ses fruits. Mais ce n'est pas tout, vous pourriez également avoir besoin de rapports à des fins de conformité. Se conformer aux normes telles que PCI DSS, HIPAA ou SOX est beaucoup plus facile lorsque votre système SIEM peut générer des rapports de conformité.
Les rapports ne sont peut-être pas au cœur de chaque système SIEM, mais ils restent l'un de leurs composants essentiels. En effet, le reporting est l'un des principaux facteurs de différenciation entre les systèmes concurrents. Les rapports sont comme des bonbons, vous ne pouvez jamais en avoir trop. Lors de l'évaluation des systèmes, regardez quels rapports sont disponibles et à quoi ils ressemblent et gardez à l'esprit que les meilleurs systèmes vous permettront de créer des rapports personnalisés.
Tableau de bord
Le dernier composant important de la plupart des outils SIEM est le tableau de bord. C'est important car c'est votre fenêtre sur l'état de votre système SIEM et, par extension, sur la sécurité de votre environnement informatique. Nous aurions pu dire tableaux de bord - avec un S - tout aussi bien qu'il pourrait y avoir plusieurs tableaux de bord disponibles dans certains systèmes. Différentes personnes ont des priorités et des intérêts différents et le tableau de bord parfait pour un administrateur réseau sera différent de celui d'un administrateur de sécurité. De même, un cadre aura également besoin d'un tableau de bord complètement différent.
Bien que nous ne puissions pas évaluer les systèmes SIEM uniquement sur le nombre de tableaux de bord qu'ils offrent, vous devez en choisir un qui possède le ou les tableaux de bord dont vous avez besoin. C'est certainement quelque chose que vous voudrez garder à l'esprit lorsque vous évaluerez les fournisseurs. Et tout comme pour les rapports, les meilleurs outils vous permettent de créer des tableaux de bord personnalisés à votre convenance.
Utiliser SIEM comme outil de gestion de la sécurité ITIL
Quelle que soit la complexité du concept de gestion de la sécurité dans le contexte du cadre ITIL. Cela se résume en fait à un objectif principal : s'assurer que les données sont sécurisées. Et bien que l'ensemble du paradigme de gestion de la sécurité informatique ait plusieurs aspects différents, en ce qui concerne les outils logiciels que vous pouvez utiliser, il ne semble pas exister de progiciel de gestion de la sécurité ITIL. D'autre part, les offres des différents éditeurs de logiciels d'outils visant à assurer la sécurité de vos données sont innombrables.
Nous avons également vu comment les outils SIEM ont un objectif similaire de préservation de la sécurité des données. C'est, à notre avis, cet objectif commun qui en fait l'un des meilleurs types d'outils pour la gestion de la sécurité informatique. Gardez à l'esprit, cependant, que la pratique de la gestion de la sécurité ITIL va bien au-delà du SIEM et, bien qu'ils soient un bon point de départ, ils ne sont qu'une partie de la solution, bien qu'importante.
Les meilleurs outils de gestion de la sécurité ITIL
Depuis que nous avons établi que les meilleurs outils de gestion de la sécurité ITIL étaient bien des outils SIEM, nous avons parcouru le marché à la recherche des meilleurs d'entre eux. Nous avons trouvé une grande variété d'outils de certaines des organisations les plus connues. Tous les outils de notre liste possèdent toutes les fonctionnalités principales que vous attendez d'un outil de gestion de la sécurité. Choisir celui qui convient le mieux à vos besoins particuliers est souvent une question de goût personnel. Ou peut-être que l'un des outils a une caractéristique unique qui vous intéresse.
1. Gestionnaire d'événements de sécurité SolarWinds (ESSAI GRATUIT)
SolarWinds est un nom commun dans le monde de la surveillance de réseau. Son produit phare, appelé Network Performance Monitor, est l'un des meilleurs outils de surveillance SNMP disponibles. La société est également connue pour ses nombreux outils gratuits tels que son avancée Subnet Calculator ou son libre SFTP S erver .
En ce qui concerne SIEM, SolarWinds l'offre de est le SolarWinds Security Event Manager . Anciennement appelé SolarWinds Log & Event Manager , l'outil est mieux décrit comme un outil SIEM d'entrée de gamme. C'est pourtant l'un des meilleurs systèmes d'entrée de gamme du marché. L'outil a presque tout ce que vous pouvez attendre d'un système SIEM. Cela inclut d'excellentes fonctionnalités de gestion des journaux et de corrélation ainsi qu'un moteur de génération de rapports impressionnant.
L'outil dispose également d'excellentes fonctionnalités de réponse aux événements qui ne laissent rien à désirer. Par exemple, le système de réponse détaillé en temps réel réagira activement à chaque menace. Et comme il est basé sur le comportement plutôt que sur la signature, vous êtes protégé contre les menaces inconnues ou futures et les attaques zero-day.
En plus de son ensemble impressionnant de fonctionnalités, le tableau de bord de SolarWinds Security Event Manager est probablement son meilleur atout. Grâce à sa conception simple, vous n'aurez aucun mal à vous repérer dans l'outil et à identifier rapidement les anomalies. À partir d'environ 4 500 $, l'outil est plus qu'abordable. Et si vous voulez l'essayer et voir comment il fonctionne dans votre environnement, une version d'essai gratuite de 30 jours entièrement fonctionnelle est disponible en téléchargement.
2. Sécurité d'entreprise Splunk
Splunk Enterprise Security — ou Splunk ES , comme on l'appelle souvent — est probablement l'un des systèmes SIEM les plus populaires. Il est particulièrement célèbre pour ses capacités d'analyse. Splunk ES surveille les données de votre système en temps réel, à la recherche de vulnérabilités et de signes d'activité anormale et/ou malveillante.
En plus d'une excellente surveillance, la réponse de sécurité est un autre point fort de Splunk ES . Le système utilise ce que Splunk appelle l' Adaptive Response Framework ( ARF ) qui s'intègre aux équipements de plus de 55 fournisseurs de sécurité. L' ARF effectue une réponse automatisée, accélérant les tâches manuelles. Cela vous permettra de prendre rapidement le dessus. Ajoutez à cela une interface utilisateur simple et épurée et vous avez une solution gagnante. Parmi les autres fonctionnalités intéressantes, citons la fonction Notables qui affiche des alertes personnalisables par l'utilisateur et Asset Investigator pour signaler les activités malveillantes et prévenir d'autres problèmes.
Splunk ES est vraiment un produit de qualité professionnelle, ce qui signifie qu'il est proposé à un prix adapté à une entreprise. Les informations sur les prix ne sont malheureusement pas facilement disponibles sur le site Web de Splunk . Vous devrez contacter le service commercial pour obtenir un devis. Contacter Splunk vous permettra également de profiter d'un essai gratuit, si vous souhaitez essayer le produit.
3. RSA NetWitness
Depuis 2016, NetWitness s'est concentré sur des produits prenant en charge « une connaissance approfondie de la situation du réseau en temps réel et une réponse agile du réseau ». Après avoir été acquis par EMC , qui a ensuite fusionné avec Dell , le Ne tW de la marque fait désormais partie de la RSA branche de la société. C'est une bonne nouvelle car RSA est un nom très respecté dans le domaine de la sécurité informatique.
RSA NetWitness est idéal pour les organisations à la recherche d'une solution complète d'analyse de réseau. L'outil intègre des informations sur votre organisation qu'il utilise pour aider à hiérarchiser les alertes. Selon RSA , le système « collecte des données sur plus de points de capture, de plates-formes informatiques et de sources de renseignements sur les menaces que les autres solutions SIEM ». L'outil propose également une détection avancée des menaces qui combine l'analyse comportementale, les techniques de science des données et les renseignements sur les menaces. Enfin, le système de réponse avancé offre des capacités d'orchestration et d'automatisation pour vous aider à vous débarrasser des menaces avant qu'elles n'affectent votre entreprise.
L'un des principaux inconvénients de RSA NetWitness tel que rapporté par sa communauté d'utilisateurs est qu'il n'est pas le plus simple à configurer et à utiliser. Il existe cependant une documentation complète qui peut vous aider à configurer et à utiliser le produit. Il s'agit d'un autre produit de qualité professionnelle et, comme c'est souvent le cas, vous devrez contacter le service commercial pour obtenir des informations sur les prix.
4. Gestionnaire de sécurité d'entreprise ArcSight
ArcSight Enterprise Security Manager permet d'identifier et de hiérarchiser les menaces de sécurité, d'organiser et de suivre les activités de réponse aux incidents et de simplifier les activités d'audit et de conformité. Auparavant, il était vendu sous la marque HP , mais ArcSight a maintenant été fusionné avec Micro Focus , une autre filiale de HP .
Présent depuis plus de quinze ans, ArcSight Enterprise Security Manager est un autre outil SIEM extrêmement populaire. Il compile des données de journal provenant de diverses sources et effectue une analyse approfondie des données, à la recherche de signes d'activité malveillante. Pour faciliter l'identification rapide des menaces, l'outil vous permet de visualiser les résultats de l'analyse en temps réel.
Quant aux caractéristiques du produit, elles ne laissent rien à désirer. Il dispose d'une puissante corrélation de données distribuées en temps réel, d'une automatisation des flux de travail, d'une orchestration de la sécurité et d'un contenu de sécurité axé sur la communauté. Le ArcSight Security Enterprise Manager intègre également avec d' autres ArcSight produits tels que la plate - forme de données ArcSight et courtier d' événements ou ArcSight Enquêter . Il s'agit d'un autre produit de qualité professionnelle et, en tant que tel, les informations sur les prix ne sont pas facilement disponibles. Il vous faudra contacter l' équipe commerciale d' ArcSight pour obtenir un devis personnalisé.
5. Gestionnaire de sécurité d'entreprise McAfee
McAfee est définitivement un autre nom connu dans le secteur de la sécurité. Il est cependant mieux connu pour sa gamme de produits de protection contre les virus. Contrairement à d' autres produits dans cette liste, le McAfee Enterprise S écurité M GESTIONNAIRE est non seulement un logiciel, il est un appareil que vous pouvez obtenir soit comme un morceau de matériel ou sous une forme virtuelle.
En termes de capacités d'analyse, McAfee Enterprise Security Manager est considéré par beaucoup comme l'un des meilleurs outils SIEM. Le système collecte des journaux sur un large éventail d'appareils et ses capacités de normalisation sont inégalées. Le moteur de corrélation compile facilement des sources de données disparates, ce qui facilite la détection des événements de sécurité lorsqu'ils se produisent.
Mais pour être vrai, cette solution McAfee ne se limite pas à son Enterprise Security Manager . Pour obtenir une solution SIEM complète, vous avez également besoin d' Enterprise Log Manager et de Event Receiver . Heureusement, tous les produits peuvent être emballés dans un seul appareil. Et pour ceux d'entre vous qui voudront peut-être essayer le produit avant de l'acheter, un essai gratuit est disponible.
6. IBM QRadar
IBM est sans aucun doute l'un des noms les plus connus de l'industrie informatique. Il n'est donc pas surprenant que l'entreprise ait réussi à faire de sa solution SIEM, IBM QRadar , l'un des meilleurs produits du marché. L'outil permet aux analystes de sécurité de détecter les anomalies, de découvrir les menaces avancées et de supprimer les faux positifs en temps réel.
IBM QRadar propose une suite de fonctionnalités de gestion des journaux, de collecte de données, d'analyse et de détection d'intrusion. Ensemble, ils contribuent au bon fonctionnement de votre infrastructure réseau. Il existe également des analyses de modélisation des risques qui peuvent simuler des attaques potentielles.
Certaines des fonctionnalités clés d' IBM QRadar incluent la possibilité de déployer la solution sur site ou dans un environnement cloud. Il s'agit d'une solution modulaire qui permet d'ajouter rapidement et à moindre coût de la puissance de stockage ou de traitement au fur et à mesure que ses besoins augmentent. Le système utilise l'expertise en matière d'intelligence d' IBM X-Force et s'intègre de manière transparente à des centaines de produits IBM et non IBM .
IBM étant IBM , vous pouvez vous attendre à payer un prix plus élevé pour sa solution SIEM. Mais si vous avez besoin de l'un des meilleurs outils SIEM du marché et d'un outil soutenu par une organisation solide, IBM QRadar pourrait très bien valoir l'investissement.
Les balayages de ping peuvent être utilisés à votre avantage de nombreuses façons. Continuez à lire pendant que nous discutons de la façon dont nous présentons les 10 meilleurs outils de balayage Ping que vous pouvez trouver.
Les sites Web sont importants et doivent être constamment surveillés de près pour des performances adéquates. Voici quelques-uns des meilleurs outils de surveillance des sites Web.
Le marché des logiciels de gestion de réseau est très encombré. Raccourcissez votre recherche en suivant nos recommandations des meilleurs outils de gestion de réseau.
Voici un aperçu de certains des meilleurs outils de déploiement de logiciels pour faciliter la gestion d'un nombre illimité de machines
Si vous êtes dans l'industrie de la santé ou si vous êtes impliqué d'une manière ou d'une autre dans l'informatique dans cette industrie, il y a de fortes chances que vous ayez entendu parler de la HIPAA. La portabilité de l'assurance maladie
sFlow est un protocole d'analyse de flux intégré à de nombreux périphériques réseau. Nous passons en revue les cinq meilleurs collecteurs et analyseurs sFlow gratuits.
Pour vous aider à choisir le bon, nous avons présenté les meilleurs outils de surveillance d'infrastructure sans agent et vous ont donné un aperçu rapide de chacun.
Si vous êtes un utilisateur expérimenté de Windows, vous savez probablement et comprenez comment effectuer diverses opérations sur votre PC peut avoir plus d'une approche et
La latence semble être l'ennemi numéro un des réseaux. Ces outils de mesure de la latence vous apprendront comment tester la latence pour détecter, localiser et résoudre les problèmes.
Le moniteur de réseau Windows nécessite des outils avec des exigences limitées. Aujourd'hui, nous examinions les meilleurs outils de surveillance réseau pour Windows 10.
