internal use -confidential - dell emc france · deny de service evénementsids/ips patchs/...

Internal Use - Confidential

La SécuritéFacteur clé de succès de votre transformation digitale

La techonologie transformenotre façon de vivre et travailler à un rythme sans cesse croissant

La transformation Digitale nécessitetrois domaines clés

IT

Workforce

Securité

5Internal Use - Confidential

La transformation dans la Sécurité a trois priorités

1.Business-drivenLier le contexte métier aux menaces pour détecter et réagir plus vite aux risques Cyber

2. Intelligence-drivenDevenir mieux informé par de l’échange sur les menaces, de l’analytiqueet du partage d’expertisepour un meilleur résultat

3.Risk-drivenPrenez les commandes de votre exposition au risquepour prendre de meilleuresdécisions et délivrer des résultats en lien avec le métier

6Internal Use - Confidential

L’offre Securité au sein de Dell Technologies

Security operations

Governance Risque et Compliance

Gestion des Identités et de Accès

Prévention contre la Fraude en ligne

Sécurité périmétrique et du Endpoint


Business-Driven Security


LA SECURITÉ D’AUJOURD’HUI NE FONCTIONNE PAS

1 RSA Cybersecurity Poverty Index 20162 RSA Threat Detection Effectiveness Survey 20163 RSA Estimate

70%

Des entreprisescompromises

l’année dernière1

Ne sont pas satisfaites par leur

rapdidité de réponseà ces attaques 2

90%

RSSI vont revoir leurstratégie dans les

12-18 mois à venir3

80%


LE PROBLÈMETECHNOLOGIQUEEST DEVENU UN

PROBLEMEBUSINESS

Transformation Digitale

Sophistication des attaques

Complexité

Contrôle des Dirigeants


A quel point sont-ils malintentionnés ? Qui sont-ils?Comment sont-ils entrés?Quelles informations ont-ils pris?Quelles sont les implications légales?Est-ce sous contrôle ? Quels sont les dégats ?Comment commnique-t-on ?

R I S Q U E S M E T I E R SComptes bloquésTentatives d’accès en échecSupressions Web ShellBuffer overflowsInjections SQLScripts Cross-siteDeny de ServiceEvénements IDS/IPSPatchs / Vulnerabilités

D E T A I L S d e S E C U R I T E

Le focus de la plupart des fournisseurs

Le focus du métier


POURQUOI CE GAP EXISTE-T-IL ?

Manque de contexteet de prioritésTrop d’alertes

Des solutions multiples et deconnectées

SECURITE EXCLUANT SECURITE INCLUANT GESTION DU RISQUE IT/METIER

FW

A/VIDS / IPS

SIEM

NGFW

SANDBOX

GW 2FA

ACCESSMGMT

PROV

SSO

PAM

FEDERATION

GRC

SPREADSHEETS

VULNMGMT

CMDB


LES CHALLENGES DESEQUIPES DE SECURITE


Whitespace

Acteursmalveillants

Hacks réussis

EVOLUTION DES MENACES & CONSEQUENCES SUR LA DETECTION

Au début, il y avait des attaquesLes contrôles préventifs filtraient les attaques connues1

Actifs de l’entreprise

Firewall

IDS/IPS

Antivirus

SIEM

Session bloquée

Session bloquée

Session bloquée

Alerte

Puis d’autres attaquesMalgré l’investissements dansd’autres contrôles, y compris le SIEM2 Plus de logs


Le temps de détection augment sans cesse

84 % des compromissionsse font enquelques joursou moinsLe temps de découverte enquelques joursn’arrive que dans20% en moyenne

Le temps de compromission“s’améliore” plus vite que le temps de découverte : le problème ne fait qu’empirer

Verizon, 2016 Data Breach Investigations Report, Pg. 10


Les Attaquants transforment les compromissions enBRECHES de plus en plus vite.

Minutes Heures Jours Semaines Mois

Breach Detected

Détection de la Brèche

DétectionPar un tiers

Compromis enMINUTES82% Des exfiltrations en

quelques JOURS99% Détection enMOIS64%

Spear PhishingAttack

MalwareInstalled

Compromissioninitiale

Communicate toExternal Server

(C2)

Brèche

LateralMovement Discover

Critical AssetsData

Exfiltration


ConfidentialData

NGFW IDS / IPS NGFW

Outils Anti-Malware ne voient pas les

nouvelles menaces NON CONNUES

NGFW n’a pas de règle contre

un traffic légitimecontenant une

menace

IPS n’a pas de signature pour

stopper un traficmalicieux

NetFlow Analyzer voitun mouvement latérald’un utilisateur connu

NGFW n’a pas de règle contre

un traffic légitimecontenant une

menace

AV ne voyant pas un utilisateur

téléchargeant un malware inconnu

VMs encore plus oppaques aux

nouvellesmenaces

La visibilités des menaces dans le Cloud est encore un

challenge plus important

Les Logs fournissent une visibilité LIMITEE


La Masse de données des autres sources peut êtreACCABLANTE

SIEM / Logs NetFlow / NBAD PCAP / Forensics Réseau Sécurité Endpoint Capture de donnée dans le Cloud

Le besoin de visibilité pousseles organisationa collecter plus

de données

Mais trop de données de

sources disparatespeut cacher les menaces réelles

Une Corrélation et une analysemanuelle rend QUASI IMPOSSIBLE un

détection et une réponse dans les temps

!

!!! !

! !!

!

!!

!!

!

!!!

! ! !!

!! !! !

! !!! !

!!

!!!

!

!! !!! !

!! !!!

!

!!


Comment prendre la bonne décision ?

!

!

!

! !

! !!

!

!!

!

!

!

!! !!!

!

!

!! !! !!

?

Est-ce un incident réel ? • Quels sont les process qui s’execute sur la

cible ?

• Y-a-t-il eu une communication versl’attaquant ?

Quelle est la portée de l’incident ? • Par rapport au premier incident, quels sont

les éventuels autres systèmes touchés ?

Quel est l’impact de l’incident ? • Quelles données ont été exfiltrées ?

Quelles actions à prendre limiter l’impact ?


DE QUOI A-T-ON BESOINS ?


LES NOUVEAUX BESOINS

Contextemétier

Visibilité totale Un aperçu rapide Alignée aux prioritésBusiness

RéponseEfficace et

compréhensive


PRESENTATON DE RSA NETWITNESS SUITERépondre en minutes, pas en mois

• ORCHESTRATION DE L’INFRASTRUCTURE DE SECURITE

• WORKFLOWS ET GESTIONS DES PRIORITES PAR ROLE DES INCIDENTS DE SECURITE

• INVESTIGATIONS AVEC RECONSTRUCTION TOTALE DES SESSIONS

Apercu Des attaquesEn profondeur

• PAQUETS

• LOGS

• ENDPOINT

• MENACES

• NETFLOW

• CLOUD

• CONTEXTE BUSINESS

CONTROLE completde la REPONSE

Sources de visibilitésélargies ANALYSE COMPORTEMENTALE


RSA NETWITNESS SUITE

Investigation

RapportsConformité

AnalyseEndpoint

Reconstruction de Session

Gestion desIncidents

Action

Analyseavancée

Analyse LIVE

AnalyseComport.

Archive

DétectionTemps Réel

LIVE

FLEXIBLE IN

TEGR

ATIO

N (A

PI)

• Cloud• On Prem

Intelligence & Contexte

Visibilité

PAQUETS

LOGS

ENDPOINT

NETFLOW

LIVE

Enrich.

Threat Intel | Contexte Biz. Règles | Parsers Rapports | Contenu

Fourni par la R&D RSA, “Incident Response”, L’ingéniérie & la CommunitéRSALIVE


PLUSIEURS SOURCES D’INTELLIGENCE DE MENACES

NetWitnessSuite NetWitness Suite


POUR ÉRADIQUER LES ATTAQUES ET DIMINUERLE RISQUEIL FAUT UNE REPONSE ORCHESTREE

ANALYTICS ENGINE

PaquetsLogs

EndpointsIntelligence

Comprehension totale de l’attaques• Understand Attack Ingress, Lateral Movement,

and Threat Actor Behavior• Incidents Prioritized and Triaged

Rapid, Organized Response• Mitigation of All Associated Threats• Distinct Ownership Roles• Clear, Process-Oriented Escalations

Security Gaps Addressed• Context, Files for Forensic Analysis• Locate Assets, Applications, and Protocols

Leveraged for Data Exfiltration

!!!

! !!!

! !!!

!

!!!!!

! !

!

!!

!!!

!

! !

!

!!

! !

!

!

!!

! !

!!

!!

!

!

!


T E C H N O L O G I ES D E

S E C U R I T E

R I S Q U E M E T I E R

B U S I N E S S -D R I V E N

S E C U R I T Y

La proposition unique de RSA est de lier le contexte métier aux incidents de sécurité, pour répondre rapidement et protéger ce qui

est le plus important


Thank You

La cyber-intelligence au service de la Sécurité

28Classification: //SecureWorks/Confidential - Limited External Distribution:


Qu’est-ce qu’un SOC ?Un SOC est une équipe, principalement composée d’analystes sécurité, organisée pour détecter, analyser, et répondre à des incidents de Cybersécurité. Le rôle d’un SOC estégalement de fournir des rapports et tenter d’empêcher les incidents.

Un SOC est une équipe, principalement composée d’analystes sécurité, organisée pour détecter, analyser, et répondre à des incidents de Cybersécurité. Le rôle d’un SOC estégalement de fournir des rapports et tenter d’empêcher les incidents.

Un SOC peut aussi bien être une petite équipe de 5 personnes qu’un grand centre de coordination nationale. Les missions d’un SOC incluent:

La prevention des incidents par:• L’analyse continue des menaces• Scan de vulnérabilité réseau et

clients• Coordination du déploiement de

contremesures• Influencer les politiques et

architectures sécurité

Monitoring, detection et analyse entemps reel d’intrustions potentiellesen s’appuyant sur des sources d’informations externes.

Réponse aux incidents de sécuritéavérés, coordination de ressources.

Fournir une information sur la l’étatdes Cyber-Menaces et du reporting sur les tendances en Cybersécurité.

Reporting sur l’evolution des incidents et vulnérabilités des infrastructures.

De toutes ces responsabilités, celle qui sera la plus chronophage est certainement celle liée au monitoring, détection et analyse des intrusions car elle impose d’ingérer et analyser une très grande quantité de logs sécurité.



La valeur ajoutée d’un SOC?

100,000,000 évènements bruts

10,000,000Evènements d’intérêt

25,000Evènements corrélés

750Evènementsanalysés par

l’homme

50Tickets

Des millions pour un évènement important…



Construire un SOC efficaceC’est un élément clef de la stratégie de sécurité de l’entreprise. Obtenir l’aval de la direction est indispensable pour y parvenir et la coordination opérationnelle du SOC doit s’aligner sur les priorités business.

Sujet Question de la direction

Alignement avec le métier • Comment assurer l’alignement de la sécurité et de ses operations avec les objectifs métiers?

Gestion de risques • Est-ce que l’approche de gestion et d’acceptation des risques de l’entreprise est respectée ?

Stratégie Sécurité • Est-ce que la stratégie sécurité s’appuie sur les résultats du programme de gestion des risques ?

Architecture et ingénierie • Est-ce que l’architecture et les systèmes sont alignés sur la stratégie de l’entreprise ?

Monitoring et Opérations

• De quelle manière travaillons-nous à identifier, prioriser et fournir une réponse organisée face aux menaces?

Amélioration continue• Est-ce que le département sécurité réalise des évaluations de contrôle de sécurité vis-à-vis des

politiques et des bonnes pratiques de l’industrie?• Est-ce que le département sécurité teste les applications et infrastructures de manière régulière?



SOC Services – Faire peu mais bien !

Gestion des actifs et des

vulnérabilités

Préparationaux incidents

Analyse des évènements et

incidents de sécurité

Threat Intelligence

Forensic et réponse aux

incidents

Gestion des Log

Aide à la remediation

Gestion des plateformes

Mesures et Dashboards

Rapport de conformité

Monitoring 24 x 7 x 365



Un SOC

Technologies

Processus

Hommes

SOC Executive

Design, Customization and Integration

Technical Security Architect

Ongoing Consulting Support

SOC Level 1 SOCLevel 2

SOC Level 2 Operations and Technical Lead

Security Analysts providing 24x7

SOCLevel 3

CLIENT CSIRT Team

Dell SecureWorks Incident Response Retainer

Dell SecureWorks CTU Threat Intelligence Retainer

Vulnerability Management

Vulnerability Management Specialists

Threat Intelligence

Threat Intelligence Specialist

Threat Intelligence

Researcher

Device Management

Standard Device Management

Endpoint and Custom Device Management

Technical Audit

Technical Auditor/ Specialist

Business Intelligence AnalyticsCTO, Technical

Design Authority



ConclusionUn SOC donne la capacité de détecter et répondre plus rapidement aux cybermenaces. Pour être réellement efficace il nécessite un engagement et une prise de responsabilité de la direction générale

Pour bien démarrer, ce qu’il faut faire et ne pas faire:

Faire Obtenir le soutien de l’équipe de direction

Ne Pas Faire Sous-estimer le coût de construction d’un SOC.

Faire Développer un processus pour définir les responsabilités, les organes de contrôles et définir les règles de collaboration avec le autres entités.

Faire Construire une équipe compétente et formée.

Ne Pas Faire Démarrer en achetant un produit. Comprenez d’abord vos besoins et les écarts avec ce que vous devez réaliser avant toute chose.

Faire Identifier vos équipements les plus critiques et faites en sorte que le SOC protège ces équipements en premier.

Faire Utilisez une source de Threat Intelligence internationale pour augmenter votre visibilité sur les risquesencourus.

Ne Pas Faire Sous-estimer les bénéfice du travail collaboratif. Votre équipe SOC doit s’intégrer parfaitement dans l’entreprise pour plus d’efficacité.

Faire Conserver un haut niveau de compétence par des formations régulières.

34

Classification: //SecureWorks/Confidential - Limited External Distribution:


Classification: //SecureWorks/Confidential - Limited External Distribution:

SecureWorks: Cyber-Intelligence/Visibilité & Efficacité globale

SecureWorks délivre:

• Global Threat Intelligence

• 16+ années d’experience

• 2B+ Indicateurs de compromission

• Cyber-Intelligence appliquée Infrastructure IT et Métiers

Portal

APIs

Mobile

Endpoint

Data Center

Cloud

MobileRespond

Prevent

Detect

Predict

Environment

Counter Threat Unit

Counter Threat

Operations Centers

Advanced Analytics

Machine Learning

Expert System

Correlation

SecureWorks Platform

internal use -confidential - dell emc france · deny de service evénementsids/ips patchs/...

Documents