Security intelligence (SI)

Le renseignement de sécurité (SI) est l'information pertinente pour protéger une organisation contre les menaces externes et internes, ainsi que les processus, politiques et outils conçus pour recueillir et analyser cette information.

Le renseignement, dans ce contexte, est une information exploitable qui fournit à une organisation une aide à la décision et éventuellement un avantage stratégique. Le SI est une approche globale qui intègre de multiples processus et pratiques conçus pour protéger l'organisation.

Les éléments du renseignement de sécurité comprennent:

La gestion des journaux : Les processus et politiques collectifs utilisés pour administrer et faciliter la génération, la transmission, l'analyse, le stockage et l'élimination finale des grands volumes de données de logs créés au sein d'un système d'information.

Gestion des informations et des événements de sécurité (SIEM) : Une approche de la gestion de la sécurité qui cherche à fournir une vue holistique de la sécurité des technologies de l'information (TI) d'une organisation. La plupart des systèmes SIEM déploient plusieurs agents de collecte pour recueillir les événements liés à la sécurité provenant des appareils des utilisateurs finaux des serveurs, des équipements de réseau et des équipements de sécurité spécialisés comme les pare-feu les antivirus ou les systèmes de prévention des intrusions. Les collecteurs transmettent les événements à une console de gestion centralisée, qui effectue des inspections et signale les anomalies. 

Détection des anomalies de comportement du réseau (NBAD) : La surveillance continue d'un réseau à la recherche d'événements ou de tendances inhabituels. Un programme NBAD suit les caractéristiques critiques du réseau en temps réel et génère une alarme en cas de détection d'un événement ou d'une tendance étrange qui pourrait indiquer la présence d'une menace. La NBAD fait partie intégrante de l'analyse du comportement du réseau (NBA).

Gestion des risques : Le processus d'identification, d'évaluation et de contrôle des menaces pour le capital et les bénéfices d'une organisation. Ces menaces comprennent l'incertitude financière, les responsabilités juridiques, les erreurs de gestion stratégique, les accidents, les catastrophes naturelles et les menaces pour la sécurité des technologies de l'information (TI).

La criminalistique de réseau : La capture, l'enregistrement et l'analyse des événements du réseau dans le but de découvrir la source des attaques de sécurité ou d'autres incidents problématiques. Les systèmes "Catch-it-as-you-can" capturent tous les paquets passant par un certain point de trafic, stockent les données et effectuent l'analyse ultérieurement en mode batch. Les systèmes "Stop, look and listen" effectuent une analyse rudimentaire en mémoire et ne sauvegardent que certaines données pour une analyse ultérieure. 

.