gestion des incidents de sécurité
Post on 18-Jun-2022
4 Views
Preview:
TRANSCRIPT
Gestion des incidents de sécurité
Une approche MSSP
216 juin 2011CONFERENCE > GESTION DES INCIDENTS
Gestion des incidents : Une approche MSSP
CLUSIF >
Agenda
Présentation du Threat Management Center
Le rôle d’un MSSP dans la supervision de sécurité
La gestion d’incidents
316 juin 2011CONFERENCE > GESTION DES INCIDENTS
Gestion des incidents : Une approche MSSP
CLUSIF >
Agenda
Présentation du Threat Management Center
Le rôle d’un MSSP dans la supervision de sécurité
La gestion d’incidents
416 juin 2011CONFERENCE > GESTION DES INCIDENTS
Gestion des incidents : Une approche MSSP
CLUSIF >
Security Global Competence Security Global Competence CenterCenter
516 juin 2011CONFERENCE > GESTION DES INCIDENTS
Gestion des incidents : Une approche MSSP
CLUSIF >
Tentative de connexion à un réseau sans autorisation
Intrusion physique dans un système
Elément de preuve au sens juridique
Access Control
Serveurs communs (DNS, DHCP, NTP, AAA)
Pare-feux / IDS
Equipementsréseaux : commutateurs
Intrusion Detection
Usurpation d'identité /Abus de droits
Vulnérabilités logicielle & de configuration
des utilisateurs des exploitants
des administrateurs
Changement de configurationdes équipements supervisés
Authentification des sessions,durée limitée
Accès illégitime applications métiersInterception ou falsification
de données métiers confidentielles
616 juin 2011CONFERENCE > GESTION DES INCIDENTS
Gestion des incidents : Une approche MSSP
CLUSIF >
Equipe Niveau 1 :
8 analystes*, (24/7)
Equipe Niveau 2 :
9 experts*,
Astreintes
* Equipe type sur réseau de dimension multinationale
Utilisateurs
Niveau 1Supervision sécurité 24/7Intervention sur consigne ou alerte provenant de la supervisionEnregistrement des incidents, analyse de premier niveau, gestion de la sécurité
Experts sécurité HO/JO + astreinteToute opération escaladée par le niveau 1 nécessitant une forte expertise sécurité. Investigation, gestion des incidents, crise.
Niveau 2
Constructeurs, éditeurs, distributeurs, équipe en back officeConstructeurs, éditeurs, distributeurs, équipe en back office Niveau 3
Gestion des incidents
Gestion des problèmes
Gestion des configurations
Gestion des demandes
Infrastructures
CERT R. Client
716 juin 2011CONFERENCE > GESTION DES INCIDENTS
Gestion des incidents : Une approche MSSP
CLUSIF >
Agents Syslog, Windows, LEA, SQL…
Agents Syslog, Windows, LEA, SQL…
Infra mutualisée TMC Centre de pilotage
Concentrateur
Concentrateur
Collecteur
Infra mutualisée TMC
Collecteur
Interconnexion
816 juin 2011CONFERENCE > GESTION DES INCIDENTS
Gestion des incidents : Une approche MSSP
CLUSIF >
Equipements réseau
PC et serveurs Windows
Autres serveurs
Collecteur d’événements Windows
Renvoien syslog
Syslog, SMTP, SNMP, RDEP, connecteurs de bases de données, fichiers plats, etc.
Pré-traitement :parsing, normalisation,
classification, priorisation,préfiltrage éventuel
Tableaux de bord, rapports
Données environnementales pour enrichissement
Corrélation, escalade, recorrélation,
règles d’exclusion
Envoi sécurisévia SCP
Mise en base des logs parsés, archivage des logs bruts et
parsés (pour rejeu)
Envoi sécurisévia SCP
Génération d’alertes
Gestion des alertes, pondération,
calcul de risque
Mise en base des alertes
Exécution de scripts
Outils d’analyse
Gestion d’incidents
Visualisation des alertes
Présentation des données
Affichagedes alertes
916 juin 2011CONFERENCE > GESTION DES INCIDENTS
Gestion des incidents : Une approche MSSP
CLUSIF >
Agenda
Présentation du Threat Management Center
Le rôle d’un MSSP dans la supervision de sécurité
La gestion d’incidents
1016 juin 2011CONFERENCE > GESTION DES INCIDENTS
Gestion des incidents : Une approche MSSP
CLUSIF >
Les TMS aujourd’hui c’est :
•Un peu moins de 2500 équipements supervisés pour 14 Clients
•5 milliards de lignes de logs par jour
• Un archivage brut et scellé
• Un pré filtrage de pertinence
•Un outil d’agrégation, de taxonomie et de (re)corrélation générant en moyenne:
• 50 alertes (jour) -> (prétraitement N1, faux positifs, alertes déjà en cours, etc.)
• 5 escalades N2 (jour)
•3 familles d’indicateurs
• Métrologie
• pertinence
• tendanciel
•17 investigations « cliniques » (mois) -> missions spécifiques forensics/réquisition/demande
particulière
1116 juin 2011CONFERENCE > GESTION DES INCIDENTS
Gestion des incidents : Une approche MSSP
CLUSIF >
Indicateurs de type « Métrologie Sécurité »
Service à vocation technique qui permet de donner des tendances et de faire
du capacity planning macroscopique et de l’ajustement de seuils.
� Volumétrie de base par exemple :
� accept/deny
� nombre d’événements
� pics d’activité
� etc.
� Volumétrie sur alertes :
� Permet de voir le bruit de fond
� Anticiper une réévaluation de seuil
1216 juin 2011CONFERENCE > GESTION DES INCIDENTS
Gestion des incidents : Une approche MSSP
CLUSIF >
Indicateurs de type « Pertinence »
Service plus complexe et relativement consommateur de
charge à l’implémentation et en maintien.
Ce service veille à la bonne prise en compte du contexte global
autour de l’équipement (segmentation, @IP, stratégie de
sécurité, etc.) moins que l’équipement lui-même.
L’idée est de corréler les journaux des équipements
périphériques (à un équipement concerné) à son contexte et
d’identifier quel est son niveau de porosité (fait il bien son
travail ?).
1316 juin 2011CONFERENCE > GESTION DES INCIDENTS
Gestion des incidents : Une approche MSSP
CLUSIF >
Indicateurs de type « Pertinence »
Exemples :
� deux firewalls remontent des demandes d’authentifications avec le même UID.
� Un firewall et un proxy mandatory :
�le firewall remonte des journaux de connexion directe en http depuis l’environnement bureautique, etc. ->problème de mauvaise redirection ou configuration en bureautique ?
�le firewall remonte des tentatives de connexion sur des sites libidino-ludiques en provenance du proxy -> le proxy n’est plus correctement configuré et ne dispose plus de ses blacks lists, …
1416 juin 2011CONFERENCE > GESTION DES INCIDENTS
Gestion des incidents : Une approche MSSP
CLUSIF >
Indicateurs de type « Veille tendancielle »
Service à haute valeur ajoutée. Permet d’intégrer des règles de tendances sur une actualité sécurité. C’est un service alimenté par la veille technologique qui en fonction d’une tendance associée à une signature d’attaque va permettre de faire du reporting sur un niveau d’exposition.
Par exemple :
� Nouveau vers se propageant sur port 80 -> identifier s’il y a une augmentation significative de paquets TCP/80 (firewall)
� Risque facebook type click jacking -> surveillance spécifique des patterns type sur les proxys
Comme l’actualité change, le service est en perpétuelle évolution, il faut se restreindre à 1 voire 2 corrélations de ce type sur une fenêtre glissante.
Contraintes : nécessite parfois des modifications de configuration (journalisation spécifique, etc.)
1516 juin 2011CONFERENCE > GESTION DES INCIDENTS
Gestion des incidents : Une approche MSSP
CLUSIF >
Agenda
Présentation du Threat Management Center
Le rôle d’un MSSP dans la supervision de sécurité
La gestion d’incidents
1616 juin 2011CONFERENCE > GESTION DES INCIDENTS
Gestion des incidents : Une approche MSSP
CLUSIF >
Qu’est ce qu’un incident de sécurité ?
RFC 2828 :
« A security event that involves a security policy violation »
POLSEC
IT behavior
1716 juin 2011CONFERENCE > GESTION DES INCIDENTS
Gestion des incidents : Une approche MSSP
CLUSIF >
� Confiance
� Véracité et complétudes des informations
�Qualification du risque
�Garantie de la confidentialitédes informations "privées"
�Indépendance : garantie de l'Objectivité
� Expertise reconnue en
traitement d’incidents de sécurité
Les acteurs sont Les acteurs sont
ciblcibléés : s : «« Trop Trop
dd’’information tue information tue
ll’’informationinformation »»
Les produits Les produits
sont ciblsont ciblééss
Les clients Les clients
sont sont
accompagnaccompagnééss
Les services Les services
ss’’incluent dans incluent dans
les les workflowworkflow
de lde l’’entrepriseentreprise
Gain de temps pour les équipes sécurité
Services de prServices de prééventionvention
CertCert--IST : Veille & assistance sur incidentIST : Veille & assistance sur incident
1816 juin 2011CONFERENCE > GESTION DES INCIDENTS
Gestion des incidents : Une approche MSSP
CLUSIF >
Quelques exemples !
Glissement dans les usages d’un opérateur
Trafic libidino ludique
Rejeu de paquets multicasts
1916 juin 2011CONFERENCE > GESTION DES INCIDENTS
Gestion des incidents : Une approche MSSP
CLUSIF >
Le véritable rôle d’un MSSP
1. Centralisation et archivage des logs
� Enregistrement conforme aux réglementations en vigueur et normes du Client
2. Analyse des journaux, corrélation et détection d’incidents de sécurité
� Agrégation, corrélation, contextualisation des événements collectés
� Qualification & génération d’alerte sur attaques ou vulnérabilités avérées
3. Vérification du niveau de sécurité en temps réel
� Analyse des alertes du Cert-IST, qualification de la menace sur les systèmes du Client
� Analyse et fourniture d’un avis sur des changements opérés par le Client
4. Gestion des incidents de sécurité (proposition & suivi de plans d’actions)
� Description de l’incident, des risques, proposition de mesure palliative
� Suivi des opérations effectuées par les exploitants
5. Mise à disposition de rapports et tableaux de bords
� Consolidation des alertes et des incidents sous forme d’indicateurs pertinents
� Consolidation des alertes et des incidents sous forme de rapports réguliers
6. Investigation à posteriori (à la demande)
� Rejeu, enquête
2016 juin 2011CONFERENCE > GESTION DES INCIDENTS
Gestion des incidents : Une approche MSSP
CLUSIF >
� Perte de l’univers de référence
• Activation d’une cellule d’expertise (N2, PM, Cert, Client)
• Outillage (procédures, moyens humains et techniques, information à détenir, plan
de communication)
• Diagnostic et investigation (qualification, quantification)
• Cercle vertueux (situation, évolution, tache à effectuer)
� Retour à la normale
• Forensics
• Analyse post mortem
� Une équipe d’astreinte 24/7/365
Gestion de crise
top related