La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Retour dexpérience création dun service de supervision de sécurité Stéphane Sciacco SCE/MOA SI/DS Février 2008.

Présentations similaires


Présentation au sujet: "Retour dexpérience création dun service de supervision de sécurité Stéphane Sciacco SCE/MOA SI/DS Février 2008."— Transcription de la présentation:

1

2 Retour dexpérience création dun service de supervision de sécurité Stéphane Sciacco SCE/MOA SI/DS Février 2008

3 Groupe France Télécom copyright Orange business « Décor » Pourquoi et pour qui un service de supervision de la sécurité ? Mise en place du service à partir dune extrapolation dun modèle formel Constitution de léquipe de supervision de la sécurité Les missions du « SOC » Liste des processus mis en place Interfaces du « SOC » Un exemple Moyen techniques Rôle et panorama des MSSPs Conclusion Sommaire

4 Groupe France Télécom copyright Orange business Le « décor »

5 Groupe France Télécom copyright Orange business Service de supervision de la sécurité S(ecurity) O(perating) C(enter) Service de détection uniquement pas de réaction ni de configuration Début de la réflexion sur la mise en place du service 2005 Date de création du service 2006 Premier « service » mis en supervision Mi 2006

6 Groupe France Télécom copyright Orange business Pourquoi et pour un service de supervision de la sécurité ?

7 Groupe France Télécom copyright Orange business Pourquoi / Pour qui ? Pourquoi ? Un service complémentaire de sécurité pour le projets Augmente le niveau de sécurité des « projets » Augmente la confiance Rationalisations des investissements Pour qui ? Service pour des activités internes Service pour des activités externes

8 Groupe France Télécom copyright Orange business Mise en place du service à partir dune extrapolation dun modèle formel

9 Groupe France Télécom copyright Orange business Extrapolation : modèle PDCA

10 Groupe France Télécom copyright Orange business « Boucle damélioration »

11 Groupe France Télécom copyright Orange business Constitution de léquipe de supervision de sécurité

12 Groupe France Télécom copyright Orange business Ressources humaines « SOC » type Un/une responsable 7 personnes minimum pour le niveau 1/2 24/7 5/7 personnes minimum pour le niveau 2/3 HO astreinte Formation conséquente au démarrage de léquipe Niveau 1/2 Profil : technicien minimum 1 à 2 ans dexpérience Rôle Monitoring des alarmes de sécurité (investigation, qualification) Niveau 2/3 Profile : Ingénieur minimum 2 à 3 ans dexpérience Ingénierie Expertise incident niveau 2/3 Fournir mitigation sur incident Formation niveau 1/2 Assure test-bed (reproduction nouvelle attaque, veille sécurité,….)

13 Groupe France Télécom copyright Orange business Les missions du « SOC »

14 Groupe France Télécom copyright Orange business « Poste écoute» de la sécurité

15 Groupe France Télécom copyright Orange business Activités du « SOC » Phase « ingénierie » Mise en place de la supervision de sécurité dans le cadre des services Administration de linfrastructure de supervision de sécurité Contractualisation avec le responsable du service mis en supervision Phase récurrente Traitement des événements de sécurité Préconisation et suivi du plan daction Réalisation des reportings

16 Groupe France Télécom copyright Orange business Activité projet supervision sécurité

17 Groupe France Télécom copyright Orange business Phase « dingénierie » Rédaction du cahier des charges Analyse de risque formelle ou pas étude du contexte expression des besoins de sécurité étude des menaces identification des objectifs de sécurité élaboration des exigences de sécurité Identification des biens Identification des menaces, méthodes dattaques et des vulnérabilités Mesures détection couvrant les objectifs de sécurité

18 Groupe France Télécom copyright Orange business Phase « dingénierie » Réponse technique au cahier des charges Validation et configuration du type de sonde Validation du type de reporting Déploiement de la solution Installation, configuration et mise au point des sondes Administration de linfrastructures Mise à jour de loutil de supervision et des sondes Contractualisation Rédaction et validation du contrat de service entre le SOC et la MOA/MOE Durée de la phase « dingénierie » 3 mois

19 Groupe France Télécom copyright Orange business Phase récurrente : traitement des événements Qualification des événements Analyse de lévénement qui a activé lalerte (Logs ou signature) Identification dun « scénario dattaque » Suppression du bruit (tunning + nez de lexpert) Qualification de la criticité dun événement La notion de criticité permet détablir une hiérarchisation dans traitement de lévénement Criticité dun événement (sévérité de lévénement, sensibilité bien attaqué en DIC) Le niveau de sévérité peux être défini à partir des critères suivants: Facilité de mise en œuvre du scénario dattaque par lattaquant « Dangerosité » (pas de contre-mesure, propagation/amplification,…) Vulnérabilité (potentielle ou constaté) Profondeur DiD de 1 à 7 Motivation de lattaquant

20 Groupe France Télécom copyright Orange business Phase récurrente : suite Notification « client port machine cible Evénements détecté Vulnérabilité de la cible/ événement et impact Plan daction possible Préconisation dun plan daction Le « SOC » fournit des recommandations Le « SOC » nintervient pas directement sur léquipement « attaqué » Suivi du plan daction Le « SOC » ne pilote pas le plan daction Il suit le plan daction à des fins de capitalisation Reporting En adéquation avec la demande client

21 Groupe France Télécom copyright Orange business Contrat de service 1/2 Définition du périmètre à superviser Inventaires des « biens » Identification des acteurs et rôles/responsabilités Contact en cas de détection « dattaques » Description de la prestation récurrente Mise en place de « délai » de détection fonction de la criticité Evolution et maintien Surtout fonction de lexpression du besoin

22 Groupe France Télécom copyright Orange business Contrat de service 2/2 Réunion de suivi Au démarrage du projet mais aussi en phase récurrente Durée du contrat Logiquement arrêt à la fermeture du service Délais de réalisation De la mise en place des sondes Respect « légaux» Clause de confidentialité Charge Opex

23 Groupe France Télécom copyright Orange business Synchronisation des phases Analyse du besoin Etude de faisabilité Installation configuration Tuning Politique de sécurité Cahier des charges Rapport installation Rapport de tuning Exploitation Dossier technique 5 jours 5/10 jours 1 mois

24 Groupe France Télécom copyright Orange business Les processus dun SOC

25 Groupe France Télécom copyright Orange business Processus global

26 Groupe France Télécom copyright Orange business De lexpression du besoin au contrat

27 Groupe France Télécom copyright Orange business Processus de déploiement

28 Groupe France Télécom copyright Orange business Processus suivi dincident

29 Groupe France Télécom copyright Orange business Les « interfaces »

30 Groupe France Télécom copyright Orange business Liste des interfaces 1/2 Un SOC ne doit pas vivre en autarcie Implique une communication entre le SOC et les « processus » De veille sécurité « De gestion vulnérabilités » De gestion de crise Des entités non sécurité Dautres SOC …..

31 Groupe France Télécom copyright Orange business Liste des interfaces 2/2 Entité sécurité spécifique Lutte anti virale Expert et auditeur sécurité Patch management Virtual SOC Autres entités N(etwork) O(perating) C(enter) Supervision des applications des systèmes dexploitations

32 Groupe France Télécom copyright Orange business Liste des interfaces Le service juridique Données à caractère personnel Recueillies et traités dans un cadre dusage déterminé et légitime Code du travail Principe de proportionnalité et traitement sans entraver les droits et libertés Durée de conservations des événements En fonction des lois en vigueur Confidentialité Données consultés uniquement par les services « habilités » Principe de transparence Les employés/partenaires sont informés des objectifs poursuivis et de leurs droits CNIL Ces principes peuvent être audité par la CNIL

33 Groupe France Télécom copyright Orange business Exemple

34 Groupe France Télécom copyright Orange business Détection périmétrique

35 Groupe France Télécom copyright Orange business Les moyens techniques

36 Groupe France Télécom copyright Orange business Ressources techniques SIM/SIEM fonction de base Acquisition des données Logs systèmes/application et sonde spécifique Scanner de vulnérabilité, base dinventaire « Corrélation » « Scénario » dattaque Comportemental (déviation par rapport à un modèle stable) « Environnemental » (inventaire, vulnérabilité) Reporting Capacité à générer/visualiser des rapports (ou confié à un outil tierce) Workflow Trouble ticketing intégré ou confié à un produit tierce Asset classification Positionnent dun indicateur de criticité

37 Groupe France Télécom copyright Orange business Ressources techniques SIM magic Quadrant (Gardner 2007)

38 Groupe France Télécom copyright Orange business Ressources techniques Sonde IDS/ « IPS » Snort, ISS, juniper,… Log Application, système et équipement Honeypot Honeyd ….. Gestion Workflow incident interne Base de connaissance Plate forme de test SIM/SIEM Sondes Outil audit,…..

39 Groupe France Télécom copyright Orange business Les MSSPs

40 Groupe France Télécom copyright Orange business MSSPs Services offerts Monitoring et management des Firewall et IPS Monitoring et management des IDS Lutte contre les dénis de service Management des anti-virus, anti-spam SIM et SIEM Management des vulnérabilités Fourniture de reporting

41 Groupe France Télécom copyright Orange business MSSPs Leaders AT&T Focus sur les dénis de service ent=ent_biz BT (rachat de Counterpane) 3 centre de supervision IBM (rachat de ISS) Utilisation du Virtual SOC (Atlanta) SecureWorks 3 centre de supervision Outil propriétaire Sherlok Symantec 6 Centre de supervision 1 certifié ISO VeriSign 6 centre de supervision Outil propriétaire TeraGuard verisign/expertise/SOC/index.html

42 Groupe France Télécom copyright Orange business MSSPs Challengers Verizon Business Rachat de Cybertrust (Juillet 2007) Unisys 4 Centre de supervision (security in the box) SAIC Travail pour le gouvernement Américain CSC Geotronics Autre Alcatel lucent.com/wps/portal/solution/detail?LMSG_CABINET=Solution_Product_Catalog&LMSG_CONTENT_FIL E=Solutions/Solution_Detail_ xml#tabAnchor1 lucent.com/wps/portal/solution/detail?LMSG_CABINET=Solution_Product_Catalog&LMSG_CONTENT_FIL E=Solutions/Solution_Detail_ xml#tabAnchor1 C&W 4 équipe (2 -UK 1 -Germany 1-India)

43 Groupe France Télécom copyright Orange business Conclusion

44 Groupe France Télécom copyright Orange business A retenir…..un service de supervision de la sécurité Cest surtout Une organisation à mettre en place Des moyens humains Et au final cest Globalement un « projet » complexe Un projet long à mettre en place et en perpétuel amélioration Une réponse à une expression des besoins des services à mettre en supervision Attention Ce nest pas des outils

45 Groupe France Télécom copyright Orange business Questions ?

46 Groupe France Télécom copyright Orange business Merci A léquipe de supervision de sécurité A vous


Télécharger ppt "Retour dexpérience création dun service de supervision de sécurité Stéphane Sciacco SCE/MOA SI/DS Février 2008."

Présentations similaires


Annonces Google