Gestion des incidents de sécurité

Gestion des incidents de sécurité

Une approche MSSP

216 juin 2011CONFERENCE > GESTION DES INCIDENTS

Gestion des incidents : Une approche MSSP

CLUSIF >

Agenda

Présentation du Threat Management Center

Le rôle d’un MSSP dans la supervision de sécurité

La gestion d’incidents



CLUSIF >

Agenda






CLUSIF >

Security Global Competence Security Global Competence CenterCenter



CLUSIF >

Tentative de connexion à un réseau sans autorisation

Intrusion physique dans un système

Elément de preuve au sens juridique

Access Control

Serveurs communs (DNS, DHCP, NTP, AAA)

Pare-feux / IDS

Equipementsréseaux : commutateurs

Intrusion Detection

Usurpation d'identité /Abus de droits

Vulnérabilités logicielle & de configuration

des utilisateurs des exploitants

des administrateurs

Changement de configurationdes équipements supervisés

Authentification des sessions,durée limitée

Accès illégitime applications métiersInterception ou falsification

de données métiers confidentielles



CLUSIF >

Equipe Niveau 1 :

8 analystes*, (24/7)

Equipe Niveau 2 :

9 experts*,

Astreintes

* Equipe type sur réseau de dimension multinationale

Utilisateurs

Niveau 1Supervision sécurité 24/7Intervention sur consigne ou alerte provenant de la supervisionEnregistrement des incidents, analyse de premier niveau, gestion de la sécurité

Experts sécurité HO/JO + astreinteToute opération escaladée par le niveau 1 nécessitant une forte expertise sécurité. Investigation, gestion des incidents, crise.

Niveau 2

Constructeurs, éditeurs, distributeurs, équipe en back officeConstructeurs, éditeurs, distributeurs, équipe en back office Niveau 3

Gestion des incidents

Gestion des problèmes

Gestion des configurations

Gestion des demandes

Infrastructures

CERT R. Client



CLUSIF >

Agents Syslog, Windows, LEA, SQL…

Agents Syslog, Windows, LEA, SQL…

Infra mutualisée TMC Centre de pilotage

Concentrateur

Concentrateur

Collecteur

Infra mutualisée TMC

Collecteur

Interconnexion



CLUSIF >

Equipements réseau

PC et serveurs Windows

Autres serveurs

Collecteur d’événements Windows

Renvoien syslog

Syslog, SMTP, SNMP, RDEP, connecteurs de bases de données, fichiers plats, etc.

Pré-traitement :parsing, normalisation,

classification, priorisation,préfiltrage éventuel

Tableaux de bord, rapports

Données environnementales pour enrichissement

Corrélation, escalade, recorrélation,

règles d’exclusion

Envoi sécurisévia SCP

Mise en base des logs parsés, archivage des logs bruts et

parsés (pour rejeu)

Envoi sécurisévia SCP

Génération d’alertes

Gestion des alertes, pondération,

calcul de risque

Mise en base des alertes

Exécution de scripts

Outils d’analyse

Gestion d’incidents

Visualisation des alertes

Présentation des données

Affichagedes alertes



CLUSIF >

Agenda






CLUSIF >

Les TMS aujourd’hui c’est :

•Un peu moins de 2500 équipements supervisés pour 14 Clients

•5 milliards de lignes de logs par jour

• Un archivage brut et scellé

• Un pré filtrage de pertinence

•Un outil d’agrégation, de taxonomie et de (re)corrélation générant en moyenne:

• 50 alertes (jour) -> (prétraitement N1, faux positifs, alertes déjà en cours, etc.)

• 5 escalades N2 (jour)

•3 familles d’indicateurs

• Métrologie

• pertinence

• tendanciel

•17 investigations « cliniques » (mois) -> missions spécifiques forensics/réquisition/demande

particulière



CLUSIF >

Indicateurs de type « Métrologie Sécurité »

Service à vocation technique qui permet de donner des tendances et de faire

du capacity planning macroscopique et de l’ajustement de seuils.

� Volumétrie de base par exemple :

� accept/deny

� nombre d’événements

� pics d’activité

� etc.

� Volumétrie sur alertes :

� Permet de voir le bruit de fond

� Anticiper une réévaluation de seuil



CLUSIF >

Indicateurs de type « Pertinence »

Service plus complexe et relativement consommateur de

charge à l’implémentation et en maintien.

Ce service veille à la bonne prise en compte du contexte global

autour de l’équipement (segmentation, @IP, stratégie de

sécurité, etc.) moins que l’équipement lui-même.

L’idée est de corréler les journaux des équipements

périphériques (à un équipement concerné) à son contexte et

d’identifier quel est son niveau de porosité (fait il bien son

travail ?).



CLUSIF >

Indicateurs de type « Pertinence »

Exemples :

� deux firewalls remontent des demandes d’authentifications avec le même UID.

� Un firewall et un proxy mandatory :

�le firewall remonte des journaux de connexion directe en http depuis l’environnement bureautique, etc. ->problème de mauvaise redirection ou configuration en bureautique ?

�le firewall remonte des tentatives de connexion sur des sites libidino-ludiques en provenance du proxy -> le proxy n’est plus correctement configuré et ne dispose plus de ses blacks lists, …



CLUSIF >

Indicateurs de type « Veille tendancielle »

Service à haute valeur ajoutée. Permet d’intégrer des règles de tendances sur une actualité sécurité. C’est un service alimenté par la veille technologique qui en fonction d’une tendance associée à une signature d’attaque va permettre de faire du reporting sur un niveau d’exposition.

Par exemple :

� Nouveau vers se propageant sur port 80 -> identifier s’il y a une augmentation significative de paquets TCP/80 (firewall)

� Risque facebook type click jacking -> surveillance spécifique des patterns type sur les proxys

Comme l’actualité change, le service est en perpétuelle évolution, il faut se restreindre à 1 voire 2 corrélations de ce type sur une fenêtre glissante.

Contraintes : nécessite parfois des modifications de configuration (journalisation spécifique, etc.)



CLUSIF >

Agenda






CLUSIF >

Qu’est ce qu’un incident de sécurité ?

RFC 2828 :

« A security event that involves a security policy violation »

POLSEC

IT behavior



CLUSIF >

� Confiance

� Véracité et complétudes des informations

�Qualification du risque

�Garantie de la confidentialitédes informations "privées"

�Indépendance : garantie de l'Objectivité

� Expertise reconnue en

traitement d’incidents de sécurité

Les acteurs sont Les acteurs sont

ciblcibléés : s : «« Trop Trop

dd’’information tue information tue

ll’’informationinformation »»

Les produits Les produits

sont ciblsont ciblééss

Les clients Les clients

sont sont

accompagnaccompagnééss

Les services Les services

ss’’incluent dans incluent dans

les les workflowworkflow

de lde l’’entrepriseentreprise

Gain de temps pour les équipes sécurité

Services de prServices de prééventionvention

CertCert--IST : Veille & assistance sur incidentIST : Veille & assistance sur incident



CLUSIF >

Quelques exemples !

Glissement dans les usages d’un opérateur

Trafic libidino ludique

Rejeu de paquets multicasts



CLUSIF >

Le véritable rôle d’un MSSP

1. Centralisation et archivage des logs

� Enregistrement conforme aux réglementations en vigueur et normes du Client

2. Analyse des journaux, corrélation et détection d’incidents de sécurité

� Agrégation, corrélation, contextualisation des événements collectés

� Qualification & génération d’alerte sur attaques ou vulnérabilités avérées

3. Vérification du niveau de sécurité en temps réel

� Analyse des alertes du Cert-IST, qualification de la menace sur les systèmes du Client

� Analyse et fourniture d’un avis sur des changements opérés par le Client

4. Gestion des incidents de sécurité (proposition & suivi de plans d’actions)

� Description de l’incident, des risques, proposition de mesure palliative

� Suivi des opérations effectuées par les exploitants

5. Mise à disposition de rapports et tableaux de bords

� Consolidation des alertes et des incidents sous forme d’indicateurs pertinents

� Consolidation des alertes et des incidents sous forme de rapports réguliers

6. Investigation à posteriori (à la demande)

� Rejeu, enquête



CLUSIF >

� Perte de l’univers de référence

• Activation d’une cellule d’expertise (N2, PM, Cert, Client)

• Outillage (procédures, moyens humains et techniques, information à détenir, plan

de communication)

• Diagnostic et investigation (qualification, quantification)

• Cercle vertueux (situation, évolution, tache à effectuer)

� Retour à la normale

• Forensics

• Analyse post mortem

� Une équipe d’astreinte 24/7/365

Gestion de crise

Gestion des incidents de sécurité

Documents

Transcript of Gestion des incidents de sécurité