internal use -confidential - dell emc france · deny de service evénementsids/ips patchs/...
TRANSCRIPT
5Internal Use - Confidential
La transformation dans la Sécurité a trois priorités
1.Business-drivenLier le contexte métier aux menaces pour détecter et réagir plus vite aux risques Cyber
2. Intelligence-drivenDevenir mieux informé par de l’échange sur les menaces, de l’analytiqueet du partage d’expertisepour un meilleur résultat
3.Risk-drivenPrenez les commandes de votre exposition au risquepour prendre de meilleuresdécisions et délivrer des résultats en lien avec le métier
6Internal Use - Confidential
L’offre Securité au sein de Dell Technologies
Security operations
Governance Risque et Compliance
Gestion des Identités et de Accès
Prévention contre la Fraude en ligne
Sécurité périmétrique et du Endpoint
Internal Use - Confidential
LA SECURITÉ D’AUJOURD’HUI NE FONCTIONNE PAS
1 RSA Cybersecurity Poverty Index 20162 RSA Threat Detection Effectiveness Survey 20163 RSA Estimate
70%
Des entreprisescompromises
l’année dernière1
Ne sont pas satisfaites par leur
rapdidité de réponseà ces attaques 2
90%
RSSI vont revoir leurstratégie dans les
12-18 mois à venir3
80%
Internal Use - Confidential
LE PROBLÈMETECHNOLOGIQUEEST DEVENU UN
PROBLEMEBUSINESS
Transformation Digitale
Sophistication des attaques
Complexité
Contrôle des Dirigeants
Internal Use - Confidential
A quel point sont-ils malintentionnés ? Qui sont-ils?Comment sont-ils entrés?Quelles informations ont-ils pris?Quelles sont les implications légales?Est-ce sous contrôle ? Quels sont les dégats ?Comment commnique-t-on ?
R I S Q U E S M E T I E R SComptes bloquésTentatives d’accès en échecSupressions Web ShellBuffer overflowsInjections SQLScripts Cross-siteDeny de ServiceEvénements IDS/IPSPatchs / Vulnerabilités
D E T A I L S d e S E C U R I T E
Le focus de la plupart des fournisseurs
Le focus du métier
Internal Use - Confidential
POURQUOI CE GAP EXISTE-T-IL ?
Manque de contexteet de prioritésTrop d’alertes
Des solutions multiples et deconnectées
SECURITE EXCLUANT SECURITE INCLUANT GESTION DU RISQUE IT/METIER
FW
A/VIDS / IPS
SIEM
NGFW
SANDBOX
GW 2FA
ACCESSMGMT
PROV
SSO
PAM
FEDERATION
GRC
SPREADSHEETS
VULNMGMT
CMDB
Internal Use - Confidential
Whitespace
Acteursmalveillants
Hacks réussis
EVOLUTION DES MENACES & CONSEQUENCES SUR LA DETECTION
Au début, il y avait des attaquesLes contrôles préventifs filtraient les attaques connues1
Actifs de l’entreprise
Firewall
IDS/IPS
Antivirus
SIEM
Session bloquée
Session bloquée
Session bloquée
Alerte
Puis d’autres attaquesMalgré l’investissements dansd’autres contrôles, y compris le SIEM2 Plus de logs
Internal Use - Confidential
Le temps de détection augment sans cesse
84 % des compromissionsse font enquelques joursou moinsLe temps de découverte enquelques joursn’arrive que dans20% en moyenne
Le temps de compromission“s’améliore” plus vite que le temps de découverte : le problème ne fait qu’empirer
Verizon, 2016 Data Breach Investigations Report, Pg. 10
Internal Use - Confidential
Les Attaquants transforment les compromissions enBRECHES de plus en plus vite.
Minutes Heures Jours Semaines Mois
Breach Detected
Détection de la Brèche
DétectionPar un tiers
Compromis enMINUTES82% Des exfiltrations en
quelques JOURS99% Détection enMOIS64%
Spear PhishingAttack
MalwareInstalled
Compromissioninitiale
Communicate toExternal Server
(C2)
Brèche
LateralMovement Discover
Critical AssetsData
Exfiltration
Internal Use - Confidential
ConfidentialData
NGFW IDS / IPS NGFW
Outils Anti-Malware ne voient pas les
nouvelles menaces NON CONNUES
NGFW n’a pas de règle contre
un traffic légitimecontenant une
menace
IPS n’a pas de signature pour
stopper un traficmalicieux
NetFlow Analyzer voitun mouvement latérald’un utilisateur connu
NGFW n’a pas de règle contre
un traffic légitimecontenant une
menace
AV ne voyant pas un utilisateur
téléchargeant un malware inconnu
VMs encore plus oppaques aux
nouvellesmenaces
La visibilités des menaces dans le Cloud est encore un
challenge plus important
Les Logs fournissent une visibilité LIMITEE
Internal Use - Confidential
La Masse de données des autres sources peut êtreACCABLANTE
SIEM / Logs NetFlow / NBAD PCAP / Forensics Réseau Sécurité Endpoint Capture de donnée dans le Cloud
Le besoin de visibilité pousseles organisationa collecter plus
de données
Mais trop de données de
sources disparatespeut cacher les menaces réelles
Une Corrélation et une analysemanuelle rend QUASI IMPOSSIBLE un
détection et une réponse dans les temps
!
!!! !
! !!
!
!!
!!
!
!!!
! ! !!
!! !! !
! !!! !
!!
!!!
!
!! !!! !
!! !!!
!
!!
Internal Use - Confidential
Comment prendre la bonne décision ?
!
!
!
! !
! !!
!
!!
!
!
!
!! !!!
!
!
!! !! !!
?
Est-ce un incident réel ? • Quels sont les process qui s’execute sur la
cible ?
• Y-a-t-il eu une communication versl’attaquant ?
Quelle est la portée de l’incident ? • Par rapport au premier incident, quels sont
les éventuels autres systèmes touchés ?
Quel est l’impact de l’incident ? • Quelles données ont été exfiltrées ?
Quelles actions à prendre limiter l’impact ?
Internal Use - Confidential
LES NOUVEAUX BESOINS
Contextemétier
Visibilité totale Un aperçu rapide Alignée aux prioritésBusiness
RéponseEfficace et
compréhensive
Internal Use - Confidential
PRESENTATON DE RSA NETWITNESS SUITERépondre en minutes, pas en mois
• ORCHESTRATION DE L’INFRASTRUCTURE DE SECURITE
• WORKFLOWS ET GESTIONS DES PRIORITES PAR ROLE DES INCIDENTS DE SECURITE
• INVESTIGATIONS AVEC RECONSTRUCTION TOTALE DES SESSIONS
Apercu Des attaquesEn profondeur
• PAQUETS
• LOGS
• ENDPOINT
• MENACES
• NETFLOW
• CLOUD
• CONTEXTE BUSINESS
CONTROLE completde la REPONSE
Sources de visibilitésélargies ANALYSE COMPORTEMENTALE
Internal Use - Confidential
RSA NETWITNESS SUITE
Investigation
RapportsConformité
AnalyseEndpoint
Reconstruction de Session
Gestion desIncidents
Action
Analyseavancée
Analyse LIVE
AnalyseComport.
Archive
DétectionTemps Réel
LIVE
FLEXIBLE IN
TEGR
ATIO
N (A
PI)
• Cloud• On Prem
Intelligence & Contexte
Visibilité
PAQUETS
LOGS
ENDPOINT
NETFLOW
LIVE
Enrich.
Threat Intel | Contexte Biz. Règles | Parsers Rapports | Contenu
Fourni par la R&D RSA, “Incident Response”, L’ingéniérie & la CommunitéRSALIVE
Internal Use - Confidential
PLUSIEURS SOURCES D’INTELLIGENCE DE MENACES
NetWitnessSuite NetWitness Suite
Internal Use - Confidential
POUR ÉRADIQUER LES ATTAQUES ET DIMINUERLE RISQUEIL FAUT UNE REPONSE ORCHESTREE
ANALYTICS ENGINE
PaquetsLogs
EndpointsIntelligence
Comprehension totale de l’attaques• Understand Attack Ingress, Lateral Movement,
and Threat Actor Behavior• Incidents Prioritized and Triaged
Rapid, Organized Response• Mitigation of All Associated Threats• Distinct Ownership Roles• Clear, Process-Oriented Escalations
Security Gaps Addressed• Context, Files for Forensic Analysis• Locate Assets, Applications, and Protocols
Leveraged for Data Exfiltration
!!!
! !!!
! !!!
!
!!!!!
! !
!
!!
!!!
!
! !
!
!!
! !
!
!
!!
! !
!!
!!
!
!
!
Internal Use - Confidential
T E C H N O L O G I ES D E
S E C U R I T E
R I S Q U E M E T I E R
B U S I N E S S -D R I V E N
S E C U R I T Y
La proposition unique de RSA est de lier le contexte métier aux incidents de sécurité, pour répondre rapidement et protéger ce qui
est le plus important
28Classification: //SecureWorks/Confidential - Limited External Distribution:
Internal Use - Confidential
Qu’est-ce qu’un SOC ?Un SOC est une équipe, principalement composée d’analystes sécurité, organisée pour détecter, analyser, et répondre à des incidents de Cybersécurité. Le rôle d’un SOC estégalement de fournir des rapports et tenter d’empêcher les incidents.
Un SOC est une équipe, principalement composée d’analystes sécurité, organisée pour détecter, analyser, et répondre à des incidents de Cybersécurité. Le rôle d’un SOC estégalement de fournir des rapports et tenter d’empêcher les incidents.
Un SOC peut aussi bien être une petite équipe de 5 personnes qu’un grand centre de coordination nationale. Les missions d’un SOC incluent:
La prevention des incidents par:• L’analyse continue des menaces• Scan de vulnérabilité réseau et
clients• Coordination du déploiement de
contremesures• Influencer les politiques et
architectures sécurité
Monitoring, detection et analyse entemps reel d’intrustions potentiellesen s’appuyant sur des sources d’informations externes.
Réponse aux incidents de sécuritéavérés, coordination de ressources.
Fournir une information sur la l’étatdes Cyber-Menaces et du reporting sur les tendances en Cybersécurité.
Reporting sur l’evolution des incidents et vulnérabilités des infrastructures.
De toutes ces responsabilités, celle qui sera la plus chronophage est certainement celle liée au monitoring, détection et analyse des intrusions car elle impose d’ingérer et analyser une très grande quantité de logs sécurité.
29Classification: //SecureWorks/Confidential - Limited External Distribution:
Internal Use - Confidential
La valeur ajoutée d’un SOC?
100,000,000 évènements bruts
10,000,000Evènements d’intérêt
25,000Evènements corrélés
750Evènementsanalysés par
l’homme
50Tickets
Des millions pour un évènement important…
30Classification: //SecureWorks/Confidential - Limited External Distribution:
Internal Use - Confidential
Construire un SOC efficaceC’est un élément clef de la stratégie de sécurité de l’entreprise. Obtenir l’aval de la direction est indispensable pour y parvenir et la coordination opérationnelle du SOC doit s’aligner sur les priorités business.
Sujet Question de la direction
Alignement avec le métier • Comment assurer l’alignement de la sécurité et de ses operations avec les objectifs métiers?
Gestion de risques • Est-ce que l’approche de gestion et d’acceptation des risques de l’entreprise est respectée ?
Stratégie Sécurité • Est-ce que la stratégie sécurité s’appuie sur les résultats du programme de gestion des risques ?
Architecture et ingénierie • Est-ce que l’architecture et les systèmes sont alignés sur la stratégie de l’entreprise ?
Monitoring et Opérations
• De quelle manière travaillons-nous à identifier, prioriser et fournir une réponse organisée face aux menaces?
Amélioration continue• Est-ce que le département sécurité réalise des évaluations de contrôle de sécurité vis-à-vis des
politiques et des bonnes pratiques de l’industrie?• Est-ce que le département sécurité teste les applications et infrastructures de manière régulière?
31Classification: //SecureWorks/Confidential - Limited External Distribution:
Internal Use - Confidential
SOC Services – Faire peu mais bien !
Gestion des actifs et des
vulnérabilités
Préparationaux incidents
Analyse des évènements et
incidents de sécurité
Threat Intelligence
Forensic et réponse aux
incidents
Gestion des Log
Aide à la remediation
Gestion des plateformes
Mesures et Dashboards
Rapport de conformité
Monitoring 24 x 7 x 365
32Classification: //SecureWorks/Confidential - Limited External Distribution:
Internal Use - Confidential
Un SOC
Technologies
Processus
Hommes
SOC Executive
Design, Customization and Integration
Technical Security Architect
Ongoing Consulting Support
SOC Level 1 SOCLevel 2
SOC Level 2 Operations and Technical Lead
Security Analysts providing 24x7
SOCLevel 3
CLIENT CSIRT Team
Dell SecureWorks Incident Response Retainer
Dell SecureWorks CTU Threat Intelligence Retainer
Vulnerability Management
Vulnerability Management Specialists
Threat Intelligence
Threat Intelligence Specialist
Threat Intelligence
Researcher
Device Management
Standard Device Management
Endpoint and Custom Device Management
Technical Audit
Technical Auditor/ Specialist
Business Intelligence AnalyticsCTO, Technical
Design Authority
33Classification: //SecureWorks/Confidential - Limited External Distribution:
Internal Use - Confidential
ConclusionUn SOC donne la capacité de détecter et répondre plus rapidement aux cybermenaces. Pour être réellement efficace il nécessite un engagement et une prise de responsabilité de la direction générale
Pour bien démarrer, ce qu’il faut faire et ne pas faire:
Faire Obtenir le soutien de l’équipe de direction
Ne Pas Faire Sous-estimer le coût de construction d’un SOC.
Faire Développer un processus pour définir les responsabilités, les organes de contrôles et définir les règles de collaboration avec le autres entités.
Faire Construire une équipe compétente et formée.
Ne Pas Faire Démarrer en achetant un produit. Comprenez d’abord vos besoins et les écarts avec ce que vous devez réaliser avant toute chose.
Faire Identifier vos équipements les plus critiques et faites en sorte que le SOC protège ces équipements en premier.
Faire Utilisez une source de Threat Intelligence internationale pour augmenter votre visibilité sur les risquesencourus.
Ne Pas Faire Sous-estimer les bénéfice du travail collaboratif. Votre équipe SOC doit s’intégrer parfaitement dans l’entreprise pour plus d’efficacité.
Faire Conserver un haut niveau de compétence par des formations régulières.
34
Classification: //SecureWorks/Confidential - Limited External Distribution:
Internal Use - Confidential
Classification: //SecureWorks/Confidential - Limited External Distribution:
SecureWorks: Cyber-Intelligence/Visibilité & Efficacité globale
SecureWorks délivre:
• Global Threat Intelligence
• 16+ années d’experience
• 2B+ Indicateurs de compromission
• Cyber-Intelligence appliquée Infrastructure IT et Métiers
Portal
APIs
Mobile
Endpoint
Data Center
Cloud
MobileRespond
Prevent
Detect
Predict
Environment
Counter Threat Unit
Counter Threat
Operations Centers
Advanced Analytics
Machine Learning
Expert System
Correlation
SecureWorks Platform