Accueil > Accueil > Global Security Mag Online
http://www.globalsecuritymag.fr/
Articles
-
How to Select the Right SIEM Solution- An Incident Response Specialist Opinion
21 mars, par SecurityHQ — OpinionSameer Shaikh is a Subject Matter Expert, specialising in Incident Response, as part of the Cyber Defence Team at SecurityHQ. In this article understand what a SIEM is and how to select the best one for your requirements, based on the opinions of a cyber security expert.
SIEM Essentials From an Organisational Perspective
‘SIEM stands for Security Information and Event Management. It is a software/application which is usually offered by Managed Security Service Providers (MSSPs) as a service to organisations wishing to enhance their security posture. SIEM provides real-time log monitoring and correlation amongst events, to trigger alerts. SIEM technology is now over a decade old. Just monitoring logs is no longer enough to keep up with advanced cyber-attacks. SIEM solutions must adopt advance features like User Behavioural Analytics (UBA), Threat and Risk Intelligence (TRI), with significant log retentions and capabilities, proficient at running complicated use cases to detect advanced multistage attack detections. With this information, SecurityHQ can build complex use cases, which can corelate and validate the use case condition against the logs received, and trigger alerts.' – ShaikhWhen looking at a potential SIEM solution, it is important to take into consideration the following four capabilities, as listed by Microsoft.
1. Collect data, at different scale, across all users, devices, applications, and infrastructure, both on-premises and in multiple clouds.
2. Detect previously uncovered threats and minimise false positives using analytics and unparalleled threat intelligence.
3. Investigate threats with AI and hunt suspicious activities at scale, tapping into decades of cybersecurity work.
4. Respond to incidents rapidly with built-in orchestration and automation and containment. of common tasks.Action Plan Moving Forward
According to Shaikh, ‘In today's complex and evolving threat landscape, organizations of all sizes are recognizing the importance of investing in robust Security Information and Event Management (SIEM) solutions to protect their digital assets and sensitive information. A well-implemented SIEM platform can provide valuable insights into security events, facilitate rapid incident response, and ensure compliance with regulatory requirements. However, with a plethora of options available in the market, selecting the right SIEM solution can be a daunting task.'
Here are some key considerations to help guide your decision-making process:
• It is important to be able to understand organization specific security needs, objectives, and constraints. Consider factors such as the size and complexity of your IT infrastructure, regulatory compliance requirements, budgetary considerations, and existing security tools and processes. By understanding your requirements upfront, you can narrow down your options and focus on solutions that best align with your goals.• Organizations must evaluate their SIEM's core capabilities, in elements such as log management, event correlation, threat detection, incident response. Look for features such as real-time monitoring, customizable alerting, automated response workflows, and integration with third-party security tools. A comprehensive SIEM platform should provide visibility across your entire IT environment, including on-premises, cloud, and hybrid infrastructure, to effectively detect and respond to security threats.
• As your organization grows and evolves, so too should your SIEM solution. Assess the scalability and performance capabilities of each SIEM platform under consideration to ensure it can accommodate your future needs. Consider factors such as data ingestion rates, storage capacity, query performance, and support for distributed environments. A scalable SIEM solution will be able to handle increasing volumes of security data without compromising performance or reliability.
• Organizations must consider ease of deployment and management. Look for SIEM platforms that offer ease of deployment, configuration, and ongoing management to minimize the burden on your IT and security teams. Cloud-based SIEM solutions can offer advantages in terms of rapid deployment, scalability, and reduced maintenance overhead. Additionally, consider the user interface and reporting capabilities of the SIEM platform to ensure they meet the needs of your security analysts and stakeholders.
• Organizations must prioritize threat intelligence and analytics. Evaluate the threat intelligence capabilities of each SIEM solution, including support for threat feeds, vulnerability databases, and machine learning algorithms. Look for SIEM platforms that can enrich security events with contextual information, prioritize alerts based on risk levels, and provide actionable insights to accelerate incident investigation and response.
• While selecting your SIEM, ensure compliance and reporting capabilities.
• While the upfront cost of a SIEM solution is an important consideration, it's equally important to evaluate its total cost of ownership over the long term. Organization must consider factors such as licensing fees, subscription costs, hardware infrastructure, implementation services, and ongoing maintenance and support. Consider whether a cloud-based or managed SIEM solution might offer cost advantages and operational efficiencies compared to an on-premises deployment.
• Seek vendor support and reputation, consider the reputation and track record of the SIEM vendors under consideration. Evaluate factors such as vendor stability, financial viability, customer references, and industry recognition. Choose a vendor that demonstrates a commitment to customer support and ongoing product innovation, with a track record of delivering timely updates, security patches, and responsive technical support.
Choosing the right SIEM solution requires careful consideration of your organization's specific requirements, core capabilities, scalability, ease of deployment, threat intelligence, compliance, cost, and vendor support. By following these guidelines and conducting thorough due diligence, you can select a SIEM platform that not only meets your current security needs but also positions your organization for long-term success in an increasingly challenging cybersecurity landscape.
You cannot stop cyber threats. The only way to make your security stronger is with a Zero Trust method. Every company should follow the zero-trust method, there should not be any relaxation in that.‘SHQ Response Platform is unique in the industry as it follows a combination of different sources and is always viewed within the context of the customer. The Risk Centre itself is what makes this such a unique offering, as the user is now able to calculate the impact of security threats to the business, the likelihood of risks happening, identify all the different tactics and techniques, and highlight how best to mitigate these risks, all from a single location.' – Chris Cheyne, SOC Director & CTO, SecurityHQ
-
Tenable lance une fonctionnalité Zero Trust Cloud
21 mars, par Marc Jacob — ProduitsTenable annonce étendre les capacités de Tenable Cloud Security, sa plateforme de protection des applications cloud natives (CNAPP), pour les environnements Kubernetes sur site et dans le cloud public.
Tenable Cloud Security facilite l'accès aux développeurs et aux professionnels et responsables de la sécurité en simplifiant les données techniques sur les risques dans un langage clair. Elle offre la possibilité de hiérarchiser les actions grâce à l'analyse automatisée des risques contextuels sur l'ensemble de la pile cloud.
Tenable Cloud Security pour Kubernetes permet de :
• Bénéficier d'une visibilité sur les déploiements : protection des clusters Kubernetes exécutés sur site, dans des réseaux privés, gérés et autogérés, grâce à une visibilité et un reporting complets à l'échelle. Une visibilité totale sur les ressources d'un cluster, y compris les charges de travail, les utilisateurs, les liaisons de rôles, les espaces de noms et bien plus encore.
• Intercepter les déploiements à risque : blocage des déploiements de ressources Kubernetes non conformes avec des contrôles de sécurité préventifs, tels qu'un contrôleur d'admission et des politiques de sécurité zero trust personnalisés.
• Éviter les privilèges de longue durée : recours aux politiques de moindre privilège et à l'accès juste-à-temps (JIT) dans les clusters Kubernetes. -
Zoom renforce ses capacités de conformité avec Zoom Compliance Manager
21 mars, par Marc Jacob — ProduitsZoom Video Communications Inc lance Zoom Compliance Manager, une offre tout-en-un qui fournit des fonctionnalités d'archivage, d'eDiscovery, de conservation légale et de protection des informations.
Zoom Compliance Manager permet de répondre aux exigences réglementaires et à atténuer les risques de conformité des communications organisationnelles sur l'ensemble de la plateforme Zoom :
• Archivage et capture de contenu : optimisation de l'utilisation de Zoom et réponse aux exigences réglementaires et de conservation des enregistrements à long terme grâce à la capture automatique des données de réunions, des résumés AI, des enregistrements téléphoniques, des chats d'équipe, du contenu des tableaux blancs, etc.
• eDiscovery : identification des informations sur la plateforme Zoom via une interface intuitive, facilitant l'accès aux archives des communications et offrant la possibilité d'analyser, d'évaluer et d'exporter le contenu.
• Conservation légale : capture et conservation des communications d'utilisateurs spécifiques grâce à un flux de travail personnalisé, au case management et aux demandes d'exportation de données lorsque la loi l'exige.
Une future version de Zoom Compliance Manager inclura :
• Détection des risques : surveillance et détection intelligente de contenu parlé, écrit ou partagé à l'échelle des produits qui identifient les risques en matière de réglementation, de confidentialité, de conduite et de sécurité, afin de réduire les risques.
• Prévention de la perte de données : identification et limitation des risques potentiels dans les flux de communication via des politiques personnalisées et prédéfinies par le biais d'une surveillance et d'une analyse approfondie.
Zoom Compliance Manager intègre la solution de conformité de Theta Lake, un leader de la gouvernance des communications numériques. Grâce à des améliorations spécifiques à Zoom, les clients bénéficieront des avantages de Theta Lake tout en conservant une expérience fluide via la console d'administration.Zoom Compliance Manager fournit des fonctionnalités de conformité à travers la plateforme Zoom, y compris AI Companion, Zoom Meetings, Zoom Team Chat, Zoom Phone, Zoom Whiteboard, Zoom Rooms, Zoom Webinars, Zoom Events et Zoom Contact Center. Zoom Compliance Manager est disponible en tant qu'extension pour les clients de Zoom disposant d'un forfait payant. La prise en charge d'autres produits Zoom, notamment Workvivo, Zoom Revenue Accelerator, Zoom Mail, Zoom Calendar, et d'autres, sera disponible plus tard dans l'année.
-
Sophos is a Leader in the IDC MarketScape Report for Worldwide Modern Endpoint Security for Small Businesses 2024 Vendor Assessment
21 mars, par Marc Jacob — MAGIC QUADRANTSophos announced it is a Leader in the IDC MarketScape: Worldwide Modern Endpoint Security for Small Businesses 2024 Vendor Assessment,* which evaluates the product offerings and business strategies of 18 modern endpoint security (MES) vendors. This news closely follows Sophos being named a Leader in the IDC MarketScape: Worldwide Modern Endpoint Security for Midsize Businesses 2024 Vendor Assessment.**
We believe Sophos being named a Leader in both reports validates its commitment to understanding and meeting the needs of small and midsize businesses (SMBs) with an expansive portfolio of world-class products and managed security services that are compatible with virtually any environment or tech stack.
The IDC MarketScape for Modern Endpoint Security for Small Businesses notes, Sophos is a “strong consideration for small businesses, particularly those with large business security requirements that have little to no in-house security expertise.” In addition, the IDC MarketScape recognizes Sophos' constant innovation to stay ahead of the evolving threat landscape: “Even with the most diligent efforts to deflect attackers, there are no guarantees that all manner of attacks can be thwarted. Addressing this potential, Sophos recently added several new capabilities: adaptive attack protection, critical attack warning, and data protection and recovery.”
Sophos Endpoint defends more than 300,000 organizations worldwide against advanced attacks with anti-ransomware, anti-exploitation, behavioral analysis, and other innovative technologies. With an extensive range of integrated capabilities, Sophos Endpoint seamlessly integrates with other Sophos products and managed security services, including Sophos Managed Detection and Response (MDR), the most widely adopted MDR offering. The IDC MarketScape noted, “Sophos MDR, already in use by over 20,000 Sophos customers, is a time-tested MDR service combined with Sophos' engagements with cyberinsurance providers delivers the confidence small businesses need to attain their endpoint security objectives without being security experts.”
“We know from Sophos' threat intelligence that cyberattackers are actively stealing SMBs' credentials and other critical data and targeting them with ransomware. While ransomware can disrupt any organization for weeks at the time, the difference with small businesses, especially those with 500 or less employees, is that ransomware attacks could potentially wipe out these organizations,” said Rob Harrison, senior vice president for endpoint and security operations product management at Sophos. “Small businesses need quality endpoint security that adapts in real-time to prevent or slow down cyberattacks. We're proud that the IDC MarketScape has recognized Sophos for consistently delivering defenses that protect small businesses from relentless and determined cybercriminals.”
"Every organization, regardless of size, suffers from resource constraints. The stakes in cybersecurity, with small businesses in particular, are massive, and many of these companies are struggling to keep up," said Michael Suby, research vice president, Security & Trust, IDC. "Sophos, with an expansive set of protection technologies and proven MDR service offering, is a great option to help a small business improve its security posture in whatever way fits best - either with the tools to help its experts in-house or by leveraging the expertise of the dedicated MDR security team."
Sophos Endpoint solutions, including the flagship Intercept X, are managed in the cloud-native Sophos Central platform, which is part of the Sophos Adaptive Cybersecurity Ecosystem that collects, correlates and enriches security data with additional context to enable automatic and synchronized responses to active threats. This platform is further optimized by Sophos X-Ops threat intelligence, a cross-operational task force of more than 500 security experts within SophosLabs, Sophos SecOps and SophosAI.
* Doc #US50521424, March 2024.
** Doc #US50521323, February 2024. -
Certification HDS : gare aux faux semblants !
21 mars, par Bertrand Servary, PDG de NetExplorer — Points de VueDans un univers de plus en plus numérisé, la certification HDS (Hébergement de Données de Santé) s'avère incontournable pour la sécurité et la conformité des données de santé. Cependant, l'existence de solutions prétendument certifiées HDS, sans l'être véritablement, crée des risques et brouille les repères. Cette situation expose les données de santé à des vulnérabilités et soulève d'importantes questions de conformité légale pour les utilisateurs de ces solutions. Regardons de plus près.
Certification HDS : plus qu'une nécessité
Gage de sécurité et de conformité, la certification HDS assure que les fournisseurs de solutions hébergeant des données de santé respectent des normes strictes pour protéger les informations sensibles. Cependant, l'usage de la mention “certifié HDS” peut être équivoque.
Les entreprises et les professionnels traitant des données de santé (médecins libéraux, cabinets d'infirmiers, sages-femmes libérales, cabinets de radiologie, établissements de santé, etc.) doivent naviguer avec prudence dans un marché où la distinction entre offres réellement certifiées HDS et prétendues telles n'est pas toujours claire. Les risques juridiques liés à une mauvaise interprétation ou à une utilisation inappropriée de solutions non certifiées sont considérables. Le non-respect de la réglementation peut entraîner des sanctions financières, la responsabilité civile et pénale en cas de préjudice important, mais aussi des sanctions supplémentaires liées à la RGPD. Sans parler du risque d'interruption de service ou de fermeture forcée des services et ses conséquences !
Un exemple concret : un médecin utilisant Gmail pour des communications professionnelles et l'échange de données de santé (ordonnance, bilans…) s'expose à des sanctions de la part de la CNIL pour non respect des obligations réglementaires, d'autant plus dans le cas où les données échangées seraient l'objet de fuites. Google Cloud est bien certifié HDS, mais cela ne s'étend pas à tous les services de Google. En effet, la certification HDS est accordée à un service, une offre, un logiciel, ou un produit, et non à toutes les activités d'une entreprise. Les éditeurs de solutions sérieux le précisent d'ailleurs dans leur documentation ou leur site internet (ce que fait très bien Google d'ailleurs). La vigilance est donc de mise pour vérifier que les outils utilisés sont spécifiquement certifiés HDS et conformes, légalement parlant, pour y stocker des données de santé.Des critères de conformité essentiels
La version actuelle de la certification HDS, alignée sur les normes ISO internationales (ISO 27001 notamment), est entrée en vigueur en 2018. L'Agence du Numérique en Santé (ANS), qui édite le référentiel HDS, a opté pour une certification moins stricte que SecNumCloud.
C'est une bonne chose dans le sens où cela rend la certification accessible à une pluralité d'acteurs, géants du cloud comme hébergeurs/éditeurs locaux. Tous valorisent cette certification pour des outils SaaS destinés au personnel médical, qui bénéficient de ce fait d'un éventail large de prestataires possibles.
Ainsi, l'ANS indique que 284 acteurs disposent de la certification HDS en décembre 2023.
La certification HDS relève d'un processus d'audit très strict. En outre, elle se décompose en plusieurs niveaux - qui vont de l'infrastructure physique à la sauvegarde externalisée des données (voir encadré). C'est là que le diable se cache dans les détails : certains fournisseurs de solutions s'affichent comme certifiés HDS, simplement parce qu'ils recourent à un hébergeur certifié (niveau 1, 2, et éventuellement 3), alors qu'ils ne sont pas certifiés pour les niveaux supérieurs (infogérance et sauvegarde notamment).Choix du prestataire HDS : points clés à vérifier
Lors du choix du prestataire, il est donc essentiel de vérifier les informations suivantes :
• Certification sur toute la chaîne : Assurez-vous que le fournisseur est certifié HDS, et que toutes les couches sont couvertes, notamment les couches 4, 5 et 6. Ces couches 4, 5 et 6 se réfèrent à des aspects spécifiques du traitement et de la gestion des données de santé : l'infogérance des infrastructures virtuelles, l'exploitation et l'administration des applications et la sauvegarde des données. Si toutes les couches ne sont pas couvertes, vérifier que les sous-traitants (notamment hébergeur) sont certifiés. A noter : lors de votre passage chez un fournisseur certifié HDS, vérifiez que vous prenez bien la partie de l'offre qui est certifiée en le faisant noter précisément sur votre contrat.
• Références ANS* VS Certification HDS : Veillez à ne pas confondre solutions référencées ANS et solutions certifiées HDS. L'ANS a en effet référencé un certain nombre de solutions dans le cadre du Ségur Numérique. Elles répondent à des critères de qualité, de sécurité et d'interopérabilité des systèmes d'information de santé. Ce référencement est distinct de la certification HDS, qui concerne spécifiquement les services d'hébergement de données. Une solution référencée par l'Agence Numérique en Santé (ANS) n'est pas automatiquement certifiée HDS, et vice versa.
Il incombe aux utilisateurs de faire preuve de vigilance et de choisir des solutions certifiées HDS sur toute la chaîne. Ils peuvent aussi anticiper les évolutions futures du référentiel HDS. Celui -ci va se renforcer en termes d'exigences relatives à la souveraineté des données. Dès aujourd'hui, le choix d'un hébergement souverain en France ou en Europe sera plus judicieux sur le long terme.HDS : 6 niveaux de certification
Les différents niveaux de certification HDS portent sur la mise à disposition et de maintien en condition opérationnelle.1. Infrastructure physique des data centers : Ce niveau inclut des aspects tels que la sécurité physique, la protection contre les incendies, l'alimentation électrique, la climatisation, et la gestion des accès.
2. Infrastructure virtuelle : Ce niveau inclut la virtualisation des serveurs, le stockage et les réseaux. Les exigences couvrent la mise en place de mesures de sécurité pour protéger l'environnement virtuel et assurer la continuité des services.
3. Plateforme d'hébergement : À ce niveau, la certification évalue la plateforme utilisée pour l'hébergement des applications et des données. Cela inclut la gestion des bases de données, l'administration des systèmes d'exploitation, et les aspects liés à la mise à jour et à la maintenance de la plateforme.
4. Gestion de la sécurité du système d'information : Ce niveau inclut la mise en place d'une politique de sécurité, la gestion des risques, les procédures de sauvegarde et de reprise après sinistre, ainsi que les processus de gestion des incidents de sécurité.
5. Gestion des processus d'exploitation du service d'hébergement : Ce niveau couvre la gestion et l'exploitation quotidienne des services d'hébergement. Il s'agit notamment de la gestion des changements, des mises à jour, de la surveillance du système, et du support client.
6. Gestion du processus de fin de contrat : Le dernier niveau concerne la fin de contrat d'hébergement. Il inclut les processus pour la restitution ou la destruction des données, la transition vers un autre hébergeur, et s'assure que toutes les données sont traitées de manière sécurisée lors de la fin de l'hébergement.