Avantages d’une intégration Splunk-PAM

Dans cet article nous allons détailler les avantages liés à l’association des solutions de SIEM et de PAM, et nous intéresser plus particulièrement à l’intégration de Splunk au Bastion de WALLIX.

Définition rapide des acronymes :

SIEM signifie Security Information and Event Management, à savoir la gestion des informations et événements liés à la sécurité. Les solutions de SIEM synthétisent les journaux d’événements (ou « logs ») en provenance des différents systèmes de sécurité tels que les pare-feu et les appliances réseau, afin de fournir une analyse en temps réel des menaces potentielles. Une solution de SIEM performante peut détecter des motifs et des corrélations dans ces événements qu’il serait impossible à un être humain de repérer. Bien que Splunk soit davantage qu’une solution SIEM standard, en pratique il est souvent utilisé en tant que système « SIEM plus » …

PAM signifie Privileged Access Management, ou gestion des accès à privilèges. Une solution de PAM garantit que seuls les administrateurs disposant des droits d’accès appropriés peuvent se connecter aux systèmes de gestion. PAM permet également d’enregistrer les sessions des comptes à privilèges au cours desquelles les administrateurs peuvent ajouter, supprimer ou modifier des comptes d’utilisateurs ou intervenir sur d’autres paramètres.

Comment des solutions SIEM et PAM interagissent-elles ?

Il existe plusieurs scénarios d’intégration, mais la plus évidente consiste à utiliser la solution de PAM pour visualiser les détails d’une alerte de sécurité impliquant un compte à privilèges.

Une solution de SIEM doit être capable de repérer un événement dans lequel une configuration système a été modifiée de façon suspecte (par ex. à une heure inhabituelle, par un utilisateur dont le compte a été créé 10 minutes auparavant, depuis une adresse IP inattendue, etc.). Cependant, un rapport de SIEM seul peut ne pas fournir suffisamment de détails sur les actions réelles des utilisateurs à privilèges. Une solution de PAM-SIEM véritablement intégrée devrait permettre de visualiser précisément ce qu’il s’est passé.

Ici, le mot clé est « devrait ». Une des raisons pour lesquelles l’intégration PAM-SIEM est nécessaire provient d’un problème bien connu avec le SIEM. Une solution de SIEM peut être difficile à implémenter, et nécessiter une maintenance conséquente. Mal configurée, elle peut générer d’énormes volumes de reporting, difficiles à analyser. Les « faux positifs » peuvent masquer les vraies menaces.

Une autre raison est la capacité des solutions de PAM à fournir des informations suffisamment détaillées des événements de sécurité. Toutes les solutions de PAM ne remplissent pas parfaitement ce rôle.

Que devez-vous faire ? Dans certains secteurs d’activité, comme la finance, vous devez utiliser une solution de SIEM pour être en conformité. Vous avez l’obligation de journaliser tout ce qui entre dans le champ d’application, et d’analyser les rapports de journalisation. Bien souvent, cette tâche nécessite trop de temps pour être productive. Il est en effet inenvisageable qu’une personne, ou même une équipe, analyse quotidiennement des centaines de pages de rapports, afin de garantir que la conformité est parfaitement respectée. C’est là que l’intégration PAM-SIEM trouve son utilité.

Intégration de Splunk et de WALLIX

L’association de solutions de PAM et de SIEM appropriées peut faire toute la différence. Cette association offre la possibilité de détecter rapidement tout événement suspect, et d’identifier clairement s’il s’agit d’une menace réelle ou non.

Splunk et le Bastion de WALLIX s’intègrent parfaitement.

Lorsque WALLIX est associé à Splunk, un responsable sécurité peut, à partir d’un événement détecté, obtenir un rapport très détaillé de la session du compte à privilèges associé à l’événement. (Tous les événements de sécurité ne sont pas liés à des sessions de comptes à privilèges, mais certaines des menaces les plus sérieuses pour la sécurité proviennent de comptes à privilèges.)

D’un seul coup d’œil, le responsable sécurité saura qui s’est connecté à quel système. La solution WALLIX fournit également un enregistrement vidéo de la session, de sorte qu’il est possible de visualiser précisément ce que l’utilisateur à privilèges a fait au cours de la session. Si quelque chose de dommageable s’est produit, le responsable sécurité en connaîtra tout de suite tous les détails.

L’intégration de PAM et de SIEM ne se limite pas à une implémentation logicielle. Il est également nécessaire de définir et d’appliquer des stratégies et des procédures appropriées.

Voici les 10 étapes d’une intégration Splunk/WALLIX complète et performante :

1. Définir une politique de sécurité claire et applicable, fondée sur la conformité et les besoins de l’organisation.
2. S’assurer que tous les employés, ainsi que les utilisateurs externes, ont lu, compris et approuvé cette politique.
3. Veiller à l’application de cette politique ; inutile de définir une politique si elle n‘est pas appliquée.
4. Définir une stratégie d’accès basée sur le privilège moindre.
5. Mettre en place des workflows garantissant que les accès aux systèmes critiques sont systématiquement autorisés et approuvés.
6. Surveiller et enregistrer toutes les sessions de comptes à privilèges sur les systèmes critiques à l’aide du Bastion de WALLIX et de Splunk.
7. Prévenir les utilisateurs se connectant aux systèmes protégés que leurs sessions seront enregistrées, et possiblement surveillées en temps réel.
8. Pratiquer un audit systématique des logins aux systèmes critiques à l’aide de Splunk.
9. En cas de faille détectée par Splunk, exploiter l’enregistrement fait par le Bastion de WALLIX pour déterminer si la faille était accidentelle ou volontaire.
10. Tirer les leçons de chaque faille, et si nécessaire renforcer la politique de sécurité et limiter encore les droits d’accès.

Phase d’implémentation

Ces étapes peuvent paraître intimidantes, mais elles n’ont pas lieu de l’être. Même si la planification et l’implémentation d’une intégration PAM/SIEM peut nécessiter du temps, il n’est pas nécessaire de tout reconfigurer. Vous pouvez déployer la solution de WALLIX en quelques heures, et ce déploiement sera d’autant facilité qu’aucun agent n’est installé. Seules les connexions établies via le Bastion seront enregistrées et surveillées. Par conséquent, la confidentialité associée au courrier électronique et à l’utilisation d’internet est parfaitement respectée.

Problèmes potentiels avec les workflows

Selon notre expérience, certains responsables sécurité ont réagi à l’idée d’une intégration PAM-SIEM basée sur des procédures en exprimant la crainte que les administrateurs ne l’approuvent pas. Cependant, si cette intégration est réalisée de façon appropriée, elle n’aura qu’un impact limité sur les workflows existants des administrateurs.

Dans le cas d’une intégration Splunk-WALLIX, les administrateurs déclarent préférer de beaucoup le workflow amélioré :

• Ils peuvent toujours utiliser leurs outils habituels, tels que Putty, WinSCP, ou encore leurs solutions maison.
• Personne n’a besoin de se souvenir de mots de passe ou d’adresses IP.
• WALLIX intègre un portail pour les logins SSO (single sign-on) et les accréditations requises pour les serveurs, les périphériques réseau, les bases de données et les applications.
• WALLIX aide les administrateurs en leur permettant d’exploiter les enregistrements des sessions, révélant précisément quelles activités ont été menées dans le cadre des requêtes de modifications ou lors des interventions d’urgence.

Formation et administration

Si la formation du personnel peut être complexe pour certaines intégrations SIEM-PAM, en ce qui concerne Splunk/WALLIX, cela n’est pas le cas. WALLIX est simple à administrer, la plupart des utilisateurs ne devant renseigner que deux onglets : Préférences et Autorisations.

• L’onglet Préférences sert à renseigner/modifier les mots de passe, les adresses e-mail, etc.
• L’onglet Autorisations permet aux utilisateurs de sélectionner, d’un simple clic, le ou les hôte(s) sur lesquels ils souhaitent se connecter.

Lorsqu’un employé ou un prestataire n’a plus besoin de son compte, celui-ci se désactive très simplement. Ainsi, les risques liés à d’anciens employés sont réduits à un point d’audit unique.

Piste d’audit

WALLIX fournit une piste d’audit complète comprenant le nom d’utilisateur, le compte distant, la durée, et le protocole utilisé pour chaque session. Dans la mesure où les utilisateurs s’authentifient avec leur compte propre, les comptes génériques peuvent être réutilisés sur les hôtes distants. Cela aide au nettoyage des comptes système anciens ou inutilisés. WALLIX constitue une source unique d’authentification. La solution se connecte aux hôtes distants et fournit les accréditations nécessaires pour l’authentification et l’ouverture de la session.

Pour en savoir plus sur l’intégration de Splunk avec le Bastion de WALLIX, contactez-nous.