1 / 40

AGENDA

Les progrès réalisés par l’entreprise à travers la mise en œuvre d’un Centre de Supervision de la Sécurité Stéphane SCIACCO Direction de la sécurité Orange Business Services Novembre 2013. AGENDA. Introduction Description d’un service de supervision de sécurité Apports

judson
Download Presentation

AGENDA

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Les progrès réalisés par l’entreprise à travers la mise en œuvre d’un Centre de Supervision de la Sécurité Stéphane SCIACCO Direction de la sécurité Orange Business Services Novembre 2013

  2. AGENDA • Introduction • Description d’un service de supervision de sécurité • Apports • Evolutoin de la maturité • Coûts • Externalisation • Conclusion

  3. Introduction

  4. Problème, besoins et enjeux • Le problème n’est pas : • « De savoir si nous allons nous faire attaquer MAIS de détecter quand cela va se produire » • besoins identifiés par la direction de la sécurité du groupe : • Renforcer la sécurité • Des réseaux d’entreprise • Des plates-formes de service • les enjeux pour Orange : • Protéger l’image de marqueOrange • Protégerles biens sensibles • Autres « besoins » OIV

  5. SOC ?

  6. Définition • Une vision d’un S(ecurity)O(perating)C(enter) • Ce n’est pas une équipe dont l’activité consiste à : • Configurer des équipements de sécurité, • Assurer le « monitoring » système ou réseau, • Réaliser des reportings. • C’est un service qui (pour nous) : • Fournit des moyens de détection d’attaque, • « reçoit » et qualifie des événements de sécurité, • Délivre des plans de réaction. • Un SOC pour cette présentation = • Centre de détection/qualification des événements de sécurité

  7. Modélisation d’une attaque

  8. «Représentation d’une attaque » Prise d’empreinte DETECTION • Etapes d’une attaque Fuite information Dépôt code malicieux

  9. Périmètre de supervision sécurité

  10. Scope de supervision Services data Réseau Backbone • Types de services en supervision de sécurité Supervision sécurité « applicative » Supervision sécurité « infrastructure» Zone d’hébergement Zone d’administration

  11. Trame de création du service

  12. Création d’un service de supervision de la sécurité • Processus et choix critiques

  13. « Processus » de mise en supervision d’un service

  14. Initialisation • Implémentation • Supervision • Etude de « faisabilité » • 15 à 40 j • Test • 1/3 mois Processus de mise en supervision d’un service Réponse technique, réalisation et tunning • Etapes de mise en place Traitement « expert » service SOC Alerte/report Rédaction des spécifications des besoins Le SOC Les clients

  15. Détection

  16. Détection : introduction • Type de capteurs utilisés • IDS, Analyse de LOGS, modélisation de trafic Réseau de confiance ou service IDS « interne » « Réseau externe » SOC IDS « externe » Lutte DDoS Concentrateur de logs

  17. Détection : IDS Ecoute flux • Principe d’un IDS Vulnérabilités Exploitation des vulnérabilités par un attaquant Base de signature By-pass des IDS

  18. Détection : qualification d’un événement de sécurité • Chaîne de qualification « enrichissement Identification des vulnérabilités Analyse des flux réseaux Règles de détection Qualification de l’host Alerte (Sévérité) Impact (Criticité) Qualification

  19. Détection : logs • Objectif • Supervision des logs fournis par les grandes familles de fonction de sécurité • Architecture • Utilisation de concentrateur de log • D’une interface de scripting • Redirection des alertes

  20. Détection : DDoS • Principe d’attaque • Saturation de la bande passante d’un lien réseau • Principe de détection • « Modélisation »des comportements normaux • « Comparaison » avec le modèle et mise en place de seuil alerte

  21. Apports : les quatre éléments

  22. Apports directs

  23. Apports indirects

  24. Apports directs 1 et 2 : exemples

  25. Apports indirects : exemple 3 et 4 • Indicateurs délivrés Efficacité des politiques efficacité Barrières de défense Efficacité Résilience

  26. Evolution de la maturité

  27. Authentification • Flux réseau • Trafic réseau • Attaque applicative Evolution dans le temps de la maturité de la supervision de sécurité Corrélation transformation 1 ou X alerte en attaque Analyse des anomalies d’authentification Utilisation des logs Comptage « Brute force » Analyse des anomalies dans les flux Utilisation d’un IDS Agréation src/dst/signature « Périodique » N log période glissante Analyse des anomalies réseau Enrichissement Type/version Vulnérabilité Modélisation réseau DDoS Analyse des anomalies applicative Analyse de logs applicatifs Scénarii « modélisation » attaque

  28. Coût

  29. Coût et activités Les activités de supervision Les outils Capteurs, SIEM,….. • Répartition des activités et des coûts Qualification des événements Les experts sécurité Les activités d’ingénierie La définition des processus Coûts de supervision Répartition des activités

  30. Externalisation

  31. Externalisation de la supervision de sécurité • Constat • Coût d’un Centre de Supervision Sécurité important • Solution • Mise en place d’une externalisation de la supervision • Condition • Sécurisation de la chaîne de remontée des alertes • Hébergement et cloisonnement des données sécurisées • « SLA » temps de traitement des alertes (induit expertise) • Difficultés • Faux positif lors de la qualification des alertes par méconnaissance du contexte service • Chaine de communication et de traitement des attaques

  32. Conclusion

  33. Conclusion : condition de réussite • Pour chaque projet mis en supervision de sécurité • Communication des enjeux à la « MOA » • Spécification les « objets » à superviser précis • Structurer les rôles et responsabilités • Détection, traitement des alertes, traitement des corrections • Hors projet • L’ingénieriedes capteurs est réalisé par le SOC • Mise en place d’une cellule de veille hors équipe SOC • Plate forme de simulation des attaques • Amélioration continue • une solution de supervision de sécurité pertinente est une solution qui évolue !

  34. Conclusion : une nouvelle « barrière » de défense • La supervision de sécurité • Une brique supplémentaire dans le système de défense Analyse de risque Antivirus Formation Veille Audit Certification Code audit IAM DLP Sensibilisation PKI Firewall WAF ? SOC, IDS/IPS, SIEM

  35. Questions

  36. Mercipour votreécoute

  37. Flux réseau • Capture du paquet Récupération de la payload du paquet

  38. Signature • Synthèse d’une règle de détection • Protocole TCP • Fourniture de la chaine recherché • Summary • Vulnérabilité Firefox • Impact • Déni de service

  39. «Enrichissement » Système RedHat • Découverte des systèmes Port TCP ouvert Protocole réseau

  40. «Enrichissement » • Fourniture des vulnérabilités • Liste des vulnérabilités associé au système découvert DHCP Buffer Overflow

More Related