La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Retour d’expérience création d’un service de supervision de sécurité

Publié parRomaine Floch Modifié depuis plus de 10 années

Présentations similaires

Présentation au sujet: "Retour d’expérience création d’un service de supervision de sécurité"— Transcription de la présentation:

1 Retour d’expérience création d’un service de supervision de sécurité
Stéphane Sciacco SCE/MOA SI/DS Février 2008

2 Sommaire « Décor » Pourquoi et pour qui un service de supervision de la sécurité ? Mise en place du service à partir d’une extrapolation d’un modèle formel Constitution de l’équipe de supervision de la sécurité Les missions du « SOC » Liste des processus mis en place Interfaces du « SOC » Un exemple Moyen techniques Rôle et panorama des MSSPs Conclusion

3 Le « décor »

4 Service de supervision de la sécurité
S(ecurity) O(perating) C(enter) Service de détection uniquement pas de réaction ni de configuration Début de la réflexion sur la mise en place du service 2005 Date de création du service 2006 Premier « service » mis en supervision Mi 2006

5 Pourquoi et pour un service de supervision de la sécurité ?

6 Pourquoi / Pour qui ? Pourquoi ? Pour qui ?
Un service complémentaire de sécurité pour le projets Augmente le niveau de sécurité des « projets » Augmente la confiance Rationalisations des investissements Pour qui ? Service pour des activités internes Service pour des activités externes

7 Mise en place du service à partir d’une extrapolation d’un modèle formel

8 Extrapolation : modèle PDCA

9 « Boucle d’amélioration »

10 Constitution de l’équipe de supervision de sécurité

11 Ressources humaines « SOC » type Niveau 1/2 Niveau 2/3
Un/une responsable 7 personnes minimum pour le niveau 1/2 24/7 5/7 personnes minimum pour le niveau 2/3 HO astreinte Formation conséquente au démarrage de l’équipe Niveau 1/2 Profil : technicien minimum 1 à 2 ans d’expérience Rôle Monitoring des alarmes de sécurité (investigation, qualification) Niveau 2/3 Profile : Ingénieur minimum 2 à 3 ans d’expérience Ingénierie Expertise incident niveau 2/3 Fournir mitigation sur incident Formation niveau 1/2 Assure test-bed (reproduction nouvelle attaque, veille sécurité,….)

12 Les missions du « SOC »

13 « Poste écoute» de la sécurité

14 Activités du « SOC » Phase « ingénierie » Phase récurrente
Mise en place de la supervision de sécurité dans le cadre des services Administration de l’infrastructure de supervision de sécurité Contractualisation avec le responsable du service mis en supervision Phase récurrente Traitement des événements de sécurité Préconisation et suivi du plan d’action Réalisation des reportings

15 Activité projet supervision sécurité

16 Phase « d’ingénierie » Rédaction du cahier des charges
Analyse de risque formelle ou pas étude du contexte expression des besoins de sécurité étude des menaces identification des objectifs de sécurité élaboration des exigences de sécurité Identification des biens Identification des menaces, méthodes d’attaques et des vulnérabilités Mesures détection couvrant les objectifs de sécurité

17 Phase « d’ingénierie » Réponse technique au cahier des charges
Validation et configuration du type de sonde Validation du type de reporting Déploiement de la solution Installation, configuration et mise au point des sondes Administration de l’infrastructures Mise à jour de l’outil de supervision et des sondes Contractualisation Rédaction et validation du contrat de service entre le SOC et la MOA/MOE Durée de la phase « d’ingénierie » 3 mois

18 Phase récurrente : traitement des événements
Qualification des événements Analyse de l’événement qui a activé l’alerte (Logs ou signature) Identification d’un « scénario d’attaque » Suppression du bruit (tunning + nez de l’expert) Qualification de la criticité d’un événement La notion de criticité permet d’établir une hiérarchisation dans traitement de l’événement Criticité d’un événement (sévérité de l’événement, sensibilité bien attaqué en DIC) Le niveau de sévérité peux être défini à partir des critères suivants: Facilité de mise en œuvre du scénario d’attaque par l’attaquant « Dangerosité » (pas de contre-mesure, propagation/amplification,…) Vulnérabilité (potentielle ou constaté) Profondeur DiD de 1 à 7 Motivation de l’attaquant

19 Phase récurrente : suite
Notification « client » @IP attaquant @IP, port machine cible Evénements détecté Vulnérabilité de la cible/ événement et impact Plan d’action possible Préconisation d’un plan d’action Le « SOC » fournit des recommandations Le « SOC » n’intervient pas directement sur l’équipement « attaqué » Suivi du plan d’action Le « SOC » ne pilote pas le plan d’action Il suit le plan d’action à des fins de capitalisation Reporting En adéquation avec la demande client

20 Contrat de service 1/2 Définition du périmètre à superviser
Inventaires des « biens » Identification des acteurs et rôles/responsabilités Contact en cas de détection « d’attaques » Description de la prestation récurrente Mise en place de « délai » de détection fonction de la criticité Evolution et maintien Surtout fonction de l’expression du besoin

21 Contrat de service 2/2 Réunion de suivi Durée du contrat
Au démarrage du projet mais aussi en phase récurrente Durée du contrat Logiquement arrêt à la fermeture du service Délais de réalisation De la mise en place des sondes Respect « légaux» Clause de confidentialité Charge Opex

22 Synchronisation des phases
Politique de sécurité Analyse du besoin Etude de faisabilité Installation configuration Tuning Exploitation 5 jours 5/10 jours 1 mois Rapport installation Cahier des charges Dossier technique Rapport de tuning

23 Les processus d’un SOC

24 Processus global

25 De l’expression du besoin au contrat

26 Processus de déploiement

27 Processus suivi d’incident

28 Les « interfaces »

29 Liste des interfaces 1/2 Un SOC ne doit pas vivre en autarcie
Implique une communication entre le SOC et les « processus » De veille sécurité « De gestion vulnérabilités » De gestion de crise Des entités non sécurité D’autres SOC …..

30 Liste des interfaces 2/2 Entité sécurité spécifique Autres entités
Lutte anti virale Expert et auditeur sécurité Patch management Virtual SOC Autres entités N(etwork) O(perating) C(enter) Supervision des applications des systèmes d’exploitations

31 Liste des interfaces Le service juridique CNIL
Données à caractère personnel Recueillies et traités dans un cadre d’usage déterminé et légitime Code du travail Principe de proportionnalité et traitement sans entraver les droits et libertés Durée de conservations des événements En fonction des lois en vigueur Confidentialité Données consultés uniquement par les services « habilités » Principe de transparence Les employés/partenaires sont informés des objectifs poursuivis et de leurs droits CNIL Ces principes peuvent être audité par la CNIL

32 Exemple

33 Détection périmétrique

34 Les moyens techniques

35 Ressources techniques
SIM/SIEM fonction de base Acquisition des données Logs systèmes/application et sonde spécifique Scanner de vulnérabilité, base d’inventaire « Corrélation » « Scénario » d’attaque Comportemental (déviation par rapport à un modèle stable) « Environnemental » (inventaire, vulnérabilité) Reporting Capacité à générer/visualiser des rapports (ou confié à un outil tierce) Workflow Trouble ticketing intégré ou confié à un produit tierce Asset classification Positionnent d’un indicateur de criticité

36 Ressources techniques
SIM magic Quadrant (Gardner 2007)

37 Ressources techniques
Sonde IDS/   « IPS » Snort, ISS, juniper,… Log Application, système et équipement Honeypot Honeyd ….. Gestion Workflow incident interne Base de connaissance Plate forme de test SIM/SIEM Sondes Outil audit,…..

38 Les MSSPs

39 MSSPs Services offerts Monitoring et management des Firewall et IPS
Monitoring et management des IDS Lutte contre les dénis de service Management des anti-virus, anti-spam SIM et SIEM Management des vulnérabilités Fourniture de reporting

40 MSSPs Leaders AT&T BT (rachat de Counterpane) IBM (rachat de ISS)
Focus sur les dénis de service BT (rachat de Counterpane) 3 centre de supervision IBM (rachat de ISS) Utilisation du Virtual SOC (Atlanta) SecureWorks Outil propriétaire Sherlok Symantec 6 Centre de supervision 1 certifié ISO 27001 VeriSign 6 centre de supervision Outil propriétaire TeraGuard verisign/expertise/SOC/index.html

41 MSSPs Challengers Autre Verizon Business Unisys SAIC CSC Geotronics
Rachat de Cybertrust (Juillet 2007) Unisys 4 Centre de supervision (security in the box) SAIC Travail pour le gouvernement Américain CSC Geotronics Autre Alcatel C&W 4 équipe (2 -UK 1 -Germany 1-India)

42 Conclusion

43 A retenir…..un service de supervision de la sécurité
C’est surtout Une organisation à mettre en place Des moyens humains Et au final c’est Globalement un « projet » complexe Un projet long à mettre en place et en perpétuel amélioration Une réponse à une expression des besoins des services à mettre en supervision Attention Ce n’est pas des outils

44 Questions ?

45 A l’équipe de supervision de sécurité
Merci A vous

Télécharger ppt "Retour d’expérience création d’un service de supervision de sécurité"

Présentations similaires

Démarche Outsourcing SI

Démarche Outsourcing SI
Découvrez IXerp France. Une société fondée sur des valeurs Lhumain au centre du dispositif dentreprise Proximité de lencadrement Missions tenant compte.

Découvrez IXerp France. Une société fondée sur des valeurs Lhumain au centre du dispositif dentreprise Proximité de lencadrement Missions tenant compte.
Les technologies décisionnelles et le portail

Les technologies décisionnelles et le portail
QUALIFICATION COMPORTEMENTALE DES BASES DE DONNEES CLIENTS

QUALIFICATION COMPORTEMENTALE DES BASES DE DONNEES CLIENTS
Projet de Virtualisation dans le cadre d’un PCA/PRA

Projet de Virtualisation dans le cadre d’un PCA/PRA
Microsoft Dynamics CRM 3.0

Microsoft Dynamics CRM 3.0
des Structures de Santé

des Structures de Santé
Sécurité du Réseau Informatique du Département de l’Équipement

Sécurité du Réseau Informatique du Département de l’Équipement
Le point de vue de l’auditeur

Le point de vue de l’auditeur
Administration. Administration Enjeux L’efficacité et la fiabilité de l’Infrastructure Technologique (IT) sont des facteurs critiques de réussite.

Administration. Administration Enjeux L’efficacité et la fiabilité de l’Infrastructure Technologique (IT) sont des facteurs critiques de réussite.
LA QUALITE LOGICIELLE Plan du cours Le Plan Qualité 1 h ½

LA QUALITE LOGICIELLE Plan du cours Le Plan Qualité 1 h ½
Atelier sur lexécution des projets et programmes du FIDA Recommandations générales liées au Plan daction Bamako le 11 mars 2005.

Atelier sur lexécution des projets et programmes du FIDA Recommandations générales liées au Plan daction Bamako le 11 mars 2005.
Certification HQE Exploitation

Certification HQE Exploitation
Mise en œuvre d’une démarche et d’un outil de gestion de « connaissances métier » basés sur la collaboration. Cyril BEYLIER (cyril.beylier@g-scop.inpg.fr)

Mise en œuvre d’une démarche et d’un outil de gestion de « connaissances métier » basés sur la collaboration. Cyril BEYLIER
Auteur: Christophe BRIGUET - Exaprobe

Auteur: Christophe BRIGUET - Exaprobe
Master MLPS : le profil 5 décembre 2007

Master MLPS : le profil 5 décembre 2007
Réunion de lancement de Projet

Réunion de lancement de Projet
L’utilisation des Normes ISO 9001 et ISO 9004 dans la démarche qualité

L’utilisation des Normes ISO 9001 et ISO 9004 dans la démarche qualité
Région Rhône-Alpes Démarche expérimentale - lycées éco-responsables Capitalisation de la 1 ère année dexpérimentation 2006-2007.

Région Rhône-Alpes Démarche expérimentale - lycées éco-responsables Capitalisation de la 1 ère année dexpérimentation
Thème « Modélisation comportementale des Systèmes critiques »

Thème « Modélisation comportementale des Systèmes critiques »

Présentations similaires

Annonces Google