Retour d’expérience création d’un service de supervision de sécurité

1. Retour d’expérience création d’un service de supervision de sécurité Stéphane Sciacco SCE/MOA SI/DS Février 2008

2. Sommaire • « Décor » • Pourquoi et pour qui un service de supervision de la sécurité ? • Mise en place du service à partir d’une extrapolation d’un modèle formel • Constitution de l’équipe de supervision de la sécurité • Les missions du « SOC » • Liste des processus mis en place • Interfaces du « SOC » • Un exemple • Moyen techniques • Rôle et panorama des MSSPs • Conclusion

3. Le « décor »

4. Service de supervision de la sécurité • S(ecurity) O(perating) C(enter) • Service de détection uniquement pas de réaction ni de configuration • Début de la réflexion sur la mise en place du service • 2005 • Date de création du service • 2006 • Premier « service » mis en supervision • Mi 2006

5. Pourquoi et pour un service de supervision de la sécurité ?

6. Pourquoi / Pour qui ? • Pourquoi ? • Un service complémentaire de sécurité pour le projets • Augmente le niveau de sécurité des « projets » • Augmente la confiance • Rationalisations des investissements • Pour qui ? • Service pour des activités internes • Service pour des activités externes

7. Mise en place du service à partir d’une extrapolation d’un modèle formel

8. Extrapolation : modèle PDCA

9. « Boucle d’amélioration »

10. Constitution de l’équipe de supervision de sécurité

11. Ressources humaines • « SOC » type • Un/une responsable • 7 personnes minimum pour le niveau 1/2 24/7 • 5/7 personnes minimum pour le niveau 2/3 HO astreinte • Formation conséquente au démarrage de l’équipe • Niveau 1/2 • Profil : technicien minimum 1 à 2 ans d’expérience • Rôle • Monitoring des alarmes de sécurité (investigation, qualification) • Niveau 2/3 • Profile : Ingénieur minimum 2 à 3 ans d’expérience • Ingénierie • Expertise incident niveau 2/3 • Fournir mitigation sur incident • Formation niveau 1/2 • Assure test-bed (reproduction nouvelle attaque, veille sécurité,….)

12. Les missions du « SOC »

13. « Poste écoute»  de la sécurité

14. Activités du « SOC » • Phase « ingénierie » • Mise en place de la supervision de sécurité dans le cadre des services • Administration de l’infrastructure de supervision de sécurité • Contractualisation avec le responsable du service mis en supervision • Phase récurrente • Traitement des événements de sécurité • Préconisation et suivi du plan d’action • Réalisation des reportings

15. Activité projet supervision sécurité

16. étude du contexte expression des besoins de sécurité étude des menaces identification des objectifs de sécurité élaboration des exigences de sécurité Phase « d’ingénierie » • Rédaction du cahier des charges • Analyse de risque formelle ou pas Identification des biens Identification des menaces, méthodes d’attaques et des vulnérabilités Mesures détection couvrant les objectifs de sécurité

17. Phase « d’ingénierie » • Réponse technique au cahier des charges • Validation et configuration du type de sonde • Validation du type de reporting • Déploiement de la solution • Installation, configuration et mise au point des sondes • Administration de l’infrastructures • Mise à jour de l’outil de supervision et des sondes • Contractualisation • Rédaction et validation du contrat de service entre le SOC et la MOA/MOE • Durée de la phase « d’ingénierie » • 3 mois

18. Phase récurrente : traitement des événements • Qualification des événements • Analyse de l’événement qui a activé l’alerte (Logs ou signature) • Identification d’un « scénario d’attaque » • Suppression du bruit (tunning + nez de l’expert) • Qualification de la criticité d’un événement • La notion de criticité permet d’établir une hiérarchisation dans traitement de l’événement • Criticité d’un événement (sévérité de l’événement, sensibilité bien attaqué en DIC) • Le niveau de sévérité peux être défini à partir des critères suivants: • Facilité de mise en œuvre du scénario d’attaque par l’attaquant • « Dangerosité » (pas de contre-mesure, propagation/amplification,…) • Vulnérabilité (potentielle ou constaté) • Profondeur DiD de 1 à 7 • Motivation de l’attaquant

19. Phase récurrente : suite • Notification « client » • @IP attaquant • @IP, port machine cible • Evénements détecté • Vulnérabilité de la cible/ événement et impact • Plan d’action possible • Préconisation d’un plan d’action • Le « SOC » fournit des recommandations • Le « SOC » n’intervient pas directement sur l’équipement « attaqué » • Suivi du plan d’action • Le « SOC » ne pilote pas le plan d’action • Il suit le plan d’action à des fins de capitalisation • Reporting • En adéquation avec la demande client

20. Contrat de service 1/2 • Définition du périmètre à superviser • Inventaires des « biens » • Identification des acteurs et rôles/responsabilités • Contact en cas de détection « d’attaques » • Description de la prestation récurrente • Mise en place de « délai » de détection fonction de la criticité • Evolution et maintien • Surtout fonction de l’expression du besoin

21. Contrat de service 2/2 • Réunion de suivi • Au démarrage du projet mais aussi en phase récurrente • Durée du contrat • Logiquement arrêt à la fermeture du service • Délais de réalisation • De la mise en place des sondes • Respect « légaux» • Clause de confidentialité • Charge • Opex

22. Exploitation Synchronisation des phases Politique de sécurité Analyse du besoin Etude de faisabilité Installation configuration Tuning 5/10 jours 5 jours 1 mois Rapport installation Cahier des charges Dossier technique Rapport de tuning

23. Les processus d’un SOC

24. Processus global

25. De l’expression du besoin au contrat

26. Processus de déploiement

27. Processus suivi d’incident

28. Les « interfaces »

29. Liste des interfaces 1/2 • Un SOC ne doit pas vivre en autarcie • Implique une communication entre le SOC et les « processus » • De veille sécurité • « De gestion vulnérabilités » • De gestion de crise • Des entités non sécurité • D’autres SOC • …..

30. Liste des interfaces 2/2 • Entité sécurité spécifique • Lutte anti virale • Expert et auditeur sécurité • Patch management • Virtual SOC • Autres entités • N(etwork) O(perating) C(enter) • Supervision des applications des systèmes d’exploitations

31. Liste des interfaces • Le service juridique • Données à caractère personnel • Recueillies et traités dans un cadre d’usage déterminé et légitime • Code du travail • Principe de proportionnalité et traitement sans entraver les droits et libertés • Durée de conservations des événements • En fonction des lois en vigueur • Confidentialité • Données consultés uniquement par les services « habilités » • Principe de transparence • Les employés/partenaires sont informés des objectifs poursuivis et de leurs droits • CNIL • Ces principes peuvent être audité par la CNIL

32. Exemple

33. Détection périmétrique

34. Les moyens techniques

35. Ressources techniques • SIM/SIEM fonction de base • Acquisition des données • Logs systèmes/application et sonde spécifique • Scanner de vulnérabilité, base d’inventaire • « Corrélation » • « Scénario » d’attaque • Comportemental (déviation par rapport à un modèle stable) • « Environnemental » (inventaire, vulnérabilité) • Reporting • Capacité à générer/visualiser des rapports (ou confié à un outil tierce) • Workflow • Trouble ticketing intégré ou confié à un produit tierce • Asset classification • Positionnent d’un indicateur de criticité

36. Ressources techniques • SIM magic Quadrant (Gardner 2007)

37. Ressources techniques • Sonde • IDS/   « IPS » • Snort, ISS, juniper,… • Log • Application, système et équipement • Honeypot • Honeyd • ….. • Gestion • Workflow incident interne • Base de connaissance • Plate forme de test • SIM/SIEM • Sondes • Outil audit,…..

38. Les MSSPs

39. MSSPs • Services offerts • Monitoring et management des Firewall et IPS • Monitoring et management des IDS • Lutte contre les dénis de service • Management des anti-virus, anti-spam • SIM et SIEM • Management des vulnérabilités • Fourniture de reporting

40. Leaders • AT&T • Focus sur les dénis de service • http://www.business.att.com/service_portfolio.jsp?repoid=ProductCategory&repoitem=eb_security&serv_port=eb_security&segment=ent_biz • BT (rachat de Counterpane) • 3 centre de supervision • http://www.counterpane.com/index.html • IBM (rachat de ISS) • Utilisation du Virtual SOC (Atlanta) • http://www.iss.net/services/managed_services/Virtual_SOC_Portal/service_main_page.html • SecureWorks • 3 centre de supervision • Outil propriétaire Sherlok • http://www.secureworks.com/services/infrastructure/soc.html • Symantec • 6 Centre de supervision 1 certifié ISO 27001 • http://www.symantec.com/enterprise/services/overview.jsp?pcid=consulting_services&pvid=security_operation_center • VeriSign • 6 centre de supervision • Outil propriétaire TeraGuard • http://www.verisign.com/managed-security-services/why verisign/expertise/SOC/index.html MSSPs

41. MSSPs • Challengers • Verizon Business • Rachat de Cybertrust (Juillet 2007) • http://www.verizonbusiness.com/us/security/managed/ • Unisys • 4 Centre de supervision (security in the box) • http://www.unisys.com/services/security/managed__services/index.htm • SAIC • http://www.saic.com/infosec/mss.html • Travail pour le gouvernement Américain • CSC • http://www.csc.com/solutions/security/offerings/1094.shtml • Geotronics • http://www.getronics.com/global/en-gb/services/security_services.htm • Autre • Alcatel • http://www.alcatel-lucent.com/wps/portal/solution/detail?LMSG_CABINET=Solution_Product_Catalog&LMSG_CONTENT_FILE=Solutions/Solution_Detail_000055.xml#tabAnchor1 • C&W • 4 équipe (2 -UK 1 -Germany 1-India)

42. Conclusion

43. A retenir…..un service de supervision de la sécurité • C’est surtout • Une organisation à mettre en place • Des moyens humains • Et au final c’est • Globalement un « projet » complexe • Un projet long à mettre en place et en perpétuel amélioration • Une réponse à une expression des besoins des services à mettre en supervision • Attention • Ce n’est pas des outils

44. Questions ?

45. Merci A l’équipe de supervision de sécurité A vous