Passer au contenu

Opter pour une solution spécifique

Entre consoles de supervision et outils propriétaires, les Security Information Managers sont la nouvelle génération d’outils de gestion de la sécurité.

Les Security Information Managers (SIM) sont à la sécurité ce que les OpenView et autres Unicenter sont aux réseaux. Moins lourds et moins chers (entre 35 000 à 50 000 e) que ces derniers, ils n’en demeurent pas moins capables d’assurer la centralisation des événements de sécurité, leur corrélation et parfois même leur pilotage, et ce à partir d’une console unique.Chez les éditeurs, on n’hésite d’ailleurs pas à offrir des SIM au lieu des consoles de supervision : Computer Associates propose ainsi son portail Clever Path pour la centralisation des événements de sécurité, de préférence à Unicenter. Mais Clever Path, encore trop généraliste, ne peut centraliser les alertes des équipements de sécurité que si ces derniers suivent l’un des standards du moment (XML, OPSec, IPSec, SNMP). En outre, l’outil ne peut être acquis seul. Chez IBM, Risk Manager, qui peut être déployé sans acheter Enterprise Manager de Tivoli, fonctionne à base d’agents spécifiques, installés sur les équipements de sécurité. Ils peuvent lire le format propriétaire des journaux des outils et des systèmes d’exploitation. Risk Manager reconnaît les solutions de nombreux acteurs du marché de la sécurité (Check Point, Cisco, Network Associates, Symantec, ISS, NFR, etc.) et il est possible de développer des agents spécifiques.Le marché des SIM est cependant caractérisé par des produits spécifiques et issus d’éditeurs spécialisés. C’est le cas de la suite VigilEnt (PentaSafe), de netForensics (netForensics), de SystemWatch (OpenService) ou de e-Sentinel (e-Security).

Multiplier les agents

Tous ces produits fonctionnent à partir d’agents déployés sur les systèmes, capables de lire leurs journaux et de mettre cette information en forme selon un format unique, avant de la remonter vers le moteur de corrélation centralisé du SIM.Leur force tient à leur spécialisation et à l’expertise de leurs éditeurs. Leurs équipes de développement suivent de près les produits de sécurité et sont plus réactives lorsqu’il s’agit d’offrir un nouvel agent. En outre, ces éditeurs garantissent en général la sécurité des échanges entre les agents et la console. Mais tous ces produits se limitent dans leur application à la corrélation d’événements. Seuls nsControl de Ponte et Solsoft NP du français Solsoft ne disposent pas de ce moteur mais permettent de contrôler les équipements de sécurité hétérogènes. Hélas, aucun des deux n’est encore satisfaisant : Solsoft est orienté filtrage (Check Point, Cisco et Linux en particulier), et nsControl nécessite de développer ses propres pilotes en langage de script Tcl. De plus, aucun ne permet de centraliser les événements, ce qui exige d’utiliser un autre SIM en parallèle.“L’avantage des SIM est la souplesse de leur moteur de corrélation plus adapté à la sécurité : on peut définir divers types de corrélations dans le temps ou l’espace”, apprécie Luis Delabarre, directeur de projet chez Thales Secure Solutions.Reste que le marché des SIM est émergent et que le manque de standard dans la sécurité conduit à devoir multiplier les agents et à les mettre à jour régulièrement.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Saiz