La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Orange Les progrès réalisés par lentreprise à travers la mise en œuvre dun Centre de Supervision de la Sécurité Stéphane SCIACCO Direction de la sécurité

Présentations similaires


Présentation au sujet: "Orange Les progrès réalisés par lentreprise à travers la mise en œuvre dun Centre de Supervision de la Sécurité Stéphane SCIACCO Direction de la sécurité"— Transcription de la présentation:

1 Orange Les progrès réalisés par lentreprise à travers la mise en œuvre dun Centre de Supervision de la Sécurité Stéphane SCIACCO Direction de la sécurité Orange Business Services Novembre 2013

2 Page 2Orange AGENDA 1.Introduction 2.Description dun service de supervision de sécurité 3.Apports 4.Evolutoin de la maturité 5.Coûts 6.Externalisation 7.Conclusion

3 Page 3Orange Introduction

4 Page 4Orange Problème, besoins et enjeux Le problème nest pas : « De savoir si nous allons nous faire attaquer MAIS de détecter quand cela va se produire » besoins identifiés par la direction de la sécurité du groupe : Renforcer la sécurité Des réseaux dentreprise Des plates-formes de service les enjeux pour Orange : Protéger limage de marque Orange Protéger les biens sensibles Autres « besoins »

5 Page 5Orange SOC ?

6 Page 6Orange Définition Une vision dun S(ecurity)O(perating)C(enter) Ce nest pas une équipe dont lactivité consiste à : Configurer des équipements de sécurité, Assurer le « monitoring » système ou réseau, Réaliser des reportings. Cest un service qui (pour nous) : Fournit des moyens de détection dattaque, « reçoit » et qualifie des événements de sécurité, Délivre des plans de réaction. Un SOC pour cette présentation = Centre de détection/qualification des événements de sécurité

7 Page 7Orange Modélisation dune attaque

8 Page 8Orange RenseignementDéploiementExploitation «Représentation dune attaque » Etapes dune attaque DETECTION Prise dempreinte Fuite information Dépôt code malicieux

9 Page 9Orange Périmètre de supervision sécurité

10 Page 10Orange Scope de supervision Types de services en supervision de sécurité Supervision sécurité « infrastructure» Supervision sécurité « applicative » Réseau Backbone Réseau Backbone Zone dadministration Services data Services data Zone dhébergement Zone dhébergement

11 Page 11Orange Trame de création du service

12 Page 12Orange Création dun service de supervision de la sécurité Processus et choix critiques Processus Processus de spécification et réponse à lexpression du besoin de supervision Processus de traitement des alertes Gouvernance Processus de de sélection des services à superviser (priorisation) Humain Recrutement idéalement profil ingénieur sécurité Plan de formation sécurité (test dintrusion, capteurs, SIEM,…..) Outillage Choix de capteurs de sécurité Choix de loutil de corrélation/visualisation des alertes

13 Page 13Orange « Processus » de mise en supervision dun service

14 Page 14Orange Processus de mise en supervision dun service Analyse du besoin 5 à 10 jours Etude de « faisabilité » 15 à 40 j Test 1/3 mois Initialisation Etapes de mise en place Implémentation Supervision Rédaction des spécifications des besoins Réponse technique, réalisation et tunning SOC Alerte/report SOC Alerte/report Les clients Le SOC Traitement « expert » service Traitement « expert » service

15 Page 15Orange Détection

16 Page 16Orange « Réseau externe » Détection : introduction Type de capteurs utilisés IDS, Analyse de LOGS, modélisation de trafic Réseau de confiance ou service IDS « externe » IDS « interne » Concentrateur de logs SOC Lutte DDoS

17 Page 17Orange Détection : IDS Principe dun IDS Exploitation des vulnérabilités par un attaquant Base de signature Vulnérabilités By-pass des IDS Ecoute flux

18 Page 18Orange Détection : qualification dun événement de sécurité Chaîne de qualification Identification des vulnérabilités Identification des vulnérabilités Analyse des flux réseaux Analyse des flux réseaux Règles de détection Règles de détection Qualification de lhost Qualification de lhost Alerte (Sévérité) Alerte (Sévérité) Impact (Criticité) Impact (Criticité) Qualification « enrichissement

19 Page 19Orange Détection : logs Objectif Supervision des logs fournis par les grandes familles de fonction de sécurité Architecture Utilisation de concentrateur de log Dune interface de scripting Redirection des alertes FonctionDescriptionType de logs Contrôle daccèsCommande critiqueLogs système DurcissementDésactivation dun serviceLogs TACACS DurcissementChangement configurationLogs TACACS

20 Page 20Orange Détection : DDoS Principe dattaque Saturation de la bande passante dun lien réseau Principe de détection « Modélisation » des comportements normaux « Comparaison » avec le modèle et mise en place de seuil alerte

21 Page 21Orange Apports : les quatre éléments

22 Page 22Orange Apports directs Apport 1 Evaluation des « barrières » de défense Si attaque sans impact alors barrière de défense efficace Pas de reconfiguration Si attaque avec impact alors barrière de défense inefficace Reconfiguration de/des barrière(s) de défense Apport 2 Evaluation des politiques de sécurité Si attaque sans impact alors « politique» efficace Pas daction de mise à jour des « politiques » Si attaque avec impact alors « politique» inefficace Mise à jour des « politiques », sensibilisation,…

23 Page 23Orange Apports indirects Apport 3 Piste pour mise en place dun « ROI » Analyse de la répartition des attaques sur le service Si attaques avec impact > attaques sans impact alors allocation des moyens de défense insuffisante ou mal employée Apport 4 « Résilience » des services Comparaison de la durée dindisponibilité dun service Sans détection temps dindisponibilité dun service = tps1 Avec détection temps dindisponibilité dun service = tps2 « Augmentation» résilience avec de la supervision tps1 > tps2

24 Page 24Orange Apports directs 1 et 2 : exemples Apport 1 Evaluation des « barrières » de défense Tentative dauthentification sur des équipements réseau Attaque sans impact protection via la chaîne dauthentification MAIS Visibilité des équipements anormale Modification des règles de filtrage Contrôle des règles de filtrage sur lensemble des équipements Apport 2 Evaluation des politiques de sécurité Tentative dauthentification sur des équipements réseau Attaque sans impact protection via la chaine dauthentification MAIS Traitement de lalerte anormalement long Modification de la politique de traitement des alertes Modification de la politique de gestion de crise

25 Page 25Orange Apports indirects : exemple 3 et 4 Indicateurs délivrés efficacité Barrières de défense efficacité Barrières de défense Efficacité Résilience Efficacité Résilience Efficacité des politiques Efficacité des politiques

26 Page 26Orange Evolution de la maturité

27 Page 27Orange Evolution dans le temps de la maturité de la supervision de sécurité Authentification Analyse des anomalies dauthentification Utilisation des logs Analyse des anomalies dauthentification Utilisation des logs Flux réseau Analyse des anomalies dans les flux Utilisation dun IDS Analyse des anomalies dans les flux Utilisation dun IDS Trafic réseau Analyse des anomalies réseau Attaque applicative Analyse des anomalies applicative Analyse de logs applicatifs Analyse des anomalies applicative Analyse de logs applicatifs Corrélation transformation 1 ou X alerte en attaque Corrélation transformation 1 ou X alerte en attaque Comptage « Brute force » Comptage « Brute force » « Périodique » N log période glissante « Périodique » N log période glissante Scénarii « modélisation » attaque Scénarii « modélisation » attaque Enrichissement Type/version Vulnérabilité Enrichissement Type/version Vulnérabilité Modélisation réseau DDoS Modélisation réseau DDoS Agréation src/dst/signature Agréation src/dst/signature

28 Page 28Orange Coût

29 Page 29Orange Coût et activités Répartition des activités et des coûts Les activités de supervision Qualification des événements Les activités dingénierie Les outils Capteurs, SIEM,….. Les outils Capteurs, SIEM,….. La définition des processus Les experts sécurité Coûts de supervision Répartition des activités

30 Page 30Orange Externalisation

31 Page 31Orange Externalisation de la supervision de sécurité Constat Coût dun Centre de Supervision Sécurité important Solution Mise en place dune externalisation de la supervision Condition Sécurisation de la chaîne de remontée des alertes Hébergement et cloisonnement des données sécurisées « SLA » temps de traitement des alertes (induit expertise) Difficultés Faux positif lors de la qualification des alertes par méconnaissance du contexte service Chaine de communication et de traitement des attaques

32 Page 32Orange Conclusion

33 Page 33Orange Conclusion : condition de réussite Pour chaque projet mis en supervision de sécurité Communication des enjeux à la « MOA » Spécification les « objets » à superviser précis Structurer les rôles et responsabilités Détection, traitement des alertes, traitement des corrections Hors projet Lingénierie des capteurs est réalisé par le SOC Mise en place dune cellule de veille hors équipe SOC Plate forme de simulation des attaques Amélioration continue une solution de supervision de sécurité pertinente est une solution qui évolue !

34 Page 34Orange Conclusion : une nouvelle « barrière » de défense La supervision de sécurité Une brique supplémentaire dans le système de défense Formation SOC, IDS/IPS, SIEM Analyse de risque Antivirus Veille Certification Audit IAM DLP PKI Firewall Sensibilisation WAF ? ? Code audit

35 Page 35Orange Questions

36 Page 36Orange Merci pour votre écoute

37 Page 37Orange Flux réseau Capture du paquet Récupération de la payload du paquet

38 Page 38Orange Signature Synthèse dune règle de détection Protocole TCP Fourniture de la chaine recherché Summary Vulnérabilité Firefox Impact Déni de service

39 Page 39Orange «Enrichissement » Découverte des systèmes Système Red Hat Port TCP ouvert Protocole réseau

40 Page 40Orange «Enrichissement » Fourniture des vulnérabilités Liste des vulnérabilités associé au système découvert DHCP Buffer Overflow


Télécharger ppt "Orange Les progrès réalisés par lentreprise à travers la mise en œuvre dun Centre de Supervision de la Sécurité Stéphane SCIACCO Direction de la sécurité"

Présentations similaires


Annonces Google