Direction de la sécurité Orange Business Services Novembre 2013

Slides:



Advertisements
Présentations similaires
LES NOMBRES PREMIERS ET COMPOSÉS
Advertisements

[number 1-100].
Qualité du Premier Billot. 2 3 Défauts reliés à labattage.
1. Résumé 2 Présentation du créateur 3 Présentation du projet 4.
Faculté des Sciences de la Santé
Karima Boudaoud, Charles McCathieNevile
Mon carnet De comportement
A.Martinez-Nepveu.
Sécurité du Réseau Informatique du Département de l’Équipement
Classe : …………… Nom : …………………………………… Date : ………………..
Borhen LOUHICHI Merci, Monsieur le président,
Les numéros
Sud Ouest Est Nord Individuel 36 joueurs
Cours MIAGE « Architectures Orientées Services » Henry Boccon-Gibod 1 Architectures Orientées Services Composants de Service Exemple pratique de développement.
PLAN DU COURS Outils de traitement des risques
Architecture de réseaux
La diapo suivante pour faire des algorithmes (colorier les ampoules …à varier pour éviter le « copiage ») et dénombrer (Entoure dans la bande numérique.
Thème « Modélisation comportementale des Systèmes critiques »
Journée détude régionale du 23 mai Lévaluation interne des établissements et services sociaux et médico-sociaux : Où en sommes-nous ? 1 Résultats.
LES CAPTEURS INDUSTRIELS
2 1. Vos droits en tant quusagers 3 1. Vos droits en tant quusagers (suite) 4.
MARDI 19 NOVEMBRE 2013 NEVERS COMMUNIQUER AVEC UN PETIT BUDGET 1.
1 7 Langues niveaux débutant à avancé. 2 Allemand.
PARTENARIAT ÉDUCATIF GRUNDTVIG PARTENARIAT ÉDUCATIF GRUNDTVIG REPERES COHESION CULTURELLE ET EXPANSION DES IDEES SUR LE TERRITOIRE EUROPEEN.
Mr: Lamloum Med LES NOMBRES PREMIERS ET COMPOSÉS Mr: Lamloum Med.
Présentation clientèle 13 décembre 2011
1 Bienvenue! Ministère de lEmploi et de la Solidarité sociale Direction des ressources humaines La conduite dun projet de refonte dun intranet Pascale.
Plateforme de gestion de données de capteurs
HYGIÈNE Les microbes (base) :
Interagir avec un objet mixte Propriétés physiques et numériques Céline Coutrix, Laurence Nigay Équipe Ingénierie de lInteraction Homme-Machine (IIHM)
Rappel au Code de sécurité des travaux 1 Code de sécurité des travaux Rappel du personnel initié Chapitre Lignes de Transport (Aériennes)
1 SERVICE PUBLIC DE LEMPLOI REGION ILE DE France Tableau de bord Juillet- Août 2007.
1 Guide de lenseignant-concepteur Vincent Riff 27 mai 2003.
Titre : Implémentation des éléments finis sous Matlab
La voyage de Jean Pierre
1 Conduite du changement LA CONDUITE DU CHANGEMENT.
Projet poker 1/56. Introduction Présentation de léquipe Cadre du projet Enjeux Choix du sujet 2.
INDUSTRIE sa Tel : 0033(0) Fax : Projet: SKIP CAPSULES – v.1 Client: CARDIVAL HEALTH.
Novembre 2009 Segmentation Communication. NOUS PROPOSONS AUX EXPERTS COMPTABLES UNE EQUIPE DEDIEE UNE DEMARCHE DES OUTILS DES PARTENARIATS.
LES NOMBRES PREMIERS ET COMPOSÉS
Unit 4: Les animaux Unit 4: Les animaux.
1 INETOP
Détection d’intrusions
Tournoi de Flyball Bouin-Plumoison 2008 Tournoi de Flyball
Notre calendrier français MARS 2014
Au service de votre entreprise à linternational FORUM DENTREPRISES VIETNAM-CHINE DU 22 AU 30 NOVEMBRE 2007 Session dInformation.
Page 1 / Titre / Auteur / Date / Confidentiel D? LA DEMARCHE COLLEGES METIER.
Titre : Implémentation des éléments finis en Matlab
C'est pour bientôt.....
Veuillez trouver ci-joint
Projet de Master première année 2007 / 2008
Équipe 2626 Octobre 2011 Jean Lavoie ing. M.Sc.A.
LA GESTION COLLABORATIVE DE PROJETS Grâce aux outils du Web /03/2011 Académie de Créteil - Nadine DUDRAGNE 1.
ECOLE DES HAUTES ETUDES COMMERCIALES MARKETING FONDAMENTAL
ECOLE DES HAUTES ETUDES COMMERCIALES MARKETING FONDAMENTAL
Traitement de différentes préoccupations Le 28 octobre et 4 novembre 2010.
ECOLE DES HAUTES ETUDES COMMERCIALES MARKETING FONDAMENTAL
1/65 微距摄影 美丽的微距摄影 Encore une belle leçon de Macrophotographies venant du Soleil Levant Louis.
SI Informations routières- 1 CETE-SO Les réseaux de transmission : Utilisation du Wi-Fi ‏ La collecte de l’information Formation CERPET – juin 2008 Abdelmename.
CALENDRIER-PLAYBOY 2020.
1. Présentation générale du système
Commission paritaire de suivi des opérations de reclassement repositionnement dans le cadre du droit d’option Statistiques novembre 2010.
Les Chiffres Prêts?
Supports de formation au SQ Unifié
1 Formation à l’usage éco-performant de votre pc 1 ère Partie.
Projet Implémentation du protocole MMT sous Linux
Partie II: Temps et évolution Energie et mouvements des particules
Présentation Finale Spirit 07 / 03 / 2011 Groupe Vert 1 Equipe Verte.
Management de la qualité
Transcription de la présentation:

Direction de la sécurité Orange Business Services Novembre 2013 Les progrès réalisés par l’entreprise à travers la mise en œuvre d’un Centre de Supervision de la Sécurité Stéphane SCIACCO Direction de la sécurité Orange Business Services Novembre 2013

AGENDA Introduction Description d’un service de supervision de sécurité Apports Evolutoin de la maturité Coûts Externalisation Conclusion

Introduction

Problème, besoins et enjeux Le problème n’est pas : « De savoir si nous allons nous faire attaquer MAIS de détecter quand cela va se produire » besoins identifiés par la direction de la sécurité du groupe : Renforcer la sécurité Des réseaux d’entreprise Des plates-formes de service les enjeux pour Orange : Protéger l’image de marque Orange Protéger les biens sensibles Autres « besoins » OIV

SOC ?

Une vision d’un S(ecurity)O(perating)C(enter) Définition Une vision d’un S(ecurity)O(perating)C(enter) Ce n’est pas une équipe dont l’activité consiste à : Configurer des équipements de sécurité, Assurer le « monitoring » système ou réseau, Réaliser des reportings. C’est un service qui (pour nous) : Fournit des moyens de détection d’attaque, « reçoit » et qualifie des événements de sécurité, Délivre des plans de réaction. Un SOC pour cette présentation = Centre de détection/qualification des événements de sécurité

Modélisation d’une attaque

«Représentation d’une attaque » Etapes d’une attaque Prise d’empreinte DETECTION Renseignement Déploiement Exploitation Fuite information Dépôt code malicieux

Périmètre de supervision sécurité

Types de services en supervision de sécurité Scope de supervision Types de services en supervision de sécurité Services data Réseau Backbone Supervision sécurité « applicative » Supervision sécurité « infrastructure» Zone d’hébergement Zone d’administration

Trame de création du service

Création d’un service de supervision de la sécurité Processus et choix critiques Processus Processus de spécification et réponse à l’expression du besoin de supervision Processus de traitement des alertes Gouvernance Processus de de sélection des services à superviser (priorisation) Outillage Choix de capteurs de sécurité Choix de l’outil de corrélation/visualisation des alertes Humain Recrutement idéalement profil ingénieur sécurité Plan de formation sécurité (test d’intrusion, capteurs, SIEM,…..)

« Processus » de mise en supervision d’un service

Processus de mise en supervision d’un service Etapes de mise en place Réponse technique, réalisation et tunning Initialisation Traitement « expert » service SOC Alerte/report Rédaction des spécifications des besoins Implémentation Les clients Le SOC Supervision Analyse du besoin 5 à 10 jours Etude de « faisabilité » 15 à 40 j Test 1/3 mois

Détection

Détection : introduction Type de capteurs utilisés IDS, Analyse de LOGS, modélisation de trafic Réseau de confiance ou service IDS « interne » « Réseau externe » SOC IDS « externe » Lutte DDoS Concentrateur de logs

Exploitation des vulnérabilités par un attaquant Détection : IDS Principe d’un IDS Ecoute flux Vulnérabilités Exploitation des vulnérabilités par un attaquant Base de signature By-pass des IDS

Détection : qualification d’un événement de sécurité Chaîne de qualification « enrichissement Analyse des flux réseaux Règles de détection Qualification de l’host Identification des vulnérabilités Alerte (Sévérité) Impact (Criticité) Qualification

Détection : logs Objectif Architecture Supervision des logs fournis par les grandes familles de fonction de sécurité Architecture Utilisation de concentrateur de log D’une interface de scripting Redirection des alertes Fonction Description Type de logs Contrôle d’accès Commande critique Logs système Durcissement Désactivation d’un service Logs TACACS Changement configuration

Détection : DDoS Principe d’attaque Principe de détection Saturation de la bande passante d’un lien réseau Principe de détection « Modélisation » des comportements normaux « Comparaison » avec le modèle et mise en place de seuil alerte

Apports : les quatre éléments

Apports directs Apport 1 Apport 2 Evaluation des « barrières » de défense Si attaque sans impact alors barrière de défense efficace Pas de reconfiguration Si attaque avec impact alors barrière de défense inefficace Reconfiguration de/des barrière(s) de défense Apport 2 Evaluation des politiques de sécurité Si attaque sans impact alors « politique» efficace Pas d’action de mise à jour des « politiques » Si attaque avec impact alors « politique» inefficace Mise à jour des « politiques », sensibilisation,…

Apports indirects Apport 3 Apport 4 Piste pour mise en place d’un « ROI » Analyse de la répartition des attaques sur le service Si ∑ attaques avec impact > ∑ attaques sans impact alors allocation des moyens de défense insuffisante ou mal employée Apport 4 « Résilience » des services Comparaison de la durée d’indisponibilité d’un service Sans détection temps d’indisponibilité d’un service = tps1 Avec détection temps d’indisponibilité d’un service = tps2 « Augmentation» résilience avec de la supervision tps1 > tps2

Apports directs 1 et 2 : exemples Evaluation des « barrières » de défense Tentative d’authentification sur des équipements réseau Attaque sans impact protection via la chaîne d’authentification MAIS Visibilité des équipements anormale Modification des règles de filtrage Contrôle des règles de filtrage sur l’ensemble des équipements Apport 2 Evaluation des politiques de sécurité Tentative d’authentification sur des équipements réseau Attaque sans impact protection via la chaine d’authentification MAIS Traitement de l’alerte anormalement long Modification de la politique de traitement des alertes Modification de la politique de gestion de crise

Apports indirects : exemple 3 et 4 Indicateurs délivrés efficacité Barrières de défense Efficacité des politiques Efficacité Résilience

Evolution de la maturité

Evolution dans le temps de la maturité de la supervision de sécurité Corrélation transformation 1 ou X alerte en attaque Analyse des anomalies d’authentification Utilisation des logs Comptage « Brute force » Authentification Analyse des anomalies dans les flux Utilisation d’un IDS Agréation src/dst/signature Flux réseau « Périodique » N log période glissante Analyse des anomalies réseau Enrichissement Type/version Vulnérabilité Trafic réseau Modélisation réseau DDoS Attaque applicative Analyse des anomalies applicative Analyse de logs applicatifs Scénarii « modélisation » attaque

Coût

Répartition des activités et des coûts Coût et activités Répartition des activités et des coûts Les activités de supervision Les outils Capteurs, SIEM,….. Qualification des événements Les experts sécurité Les activités d’ingénierie La définition des processus Répartition des activités Coûts de supervision

Externalisation

Externalisation de la supervision de sécurité Constat Coût d’un Centre de Supervision Sécurité important Solution Mise en place d’une externalisation de la supervision Condition Sécurisation de la chaîne de remontée des alertes Hébergement et cloisonnement des données sécurisées « SLA » temps de traitement des alertes (induit expertise) Difficultés Faux positif lors de la qualification des alertes par méconnaissance du contexte service Chaine de communication et de traitement des attaques

Conclusion

Conclusion : condition de réussite Pour chaque projet mis en supervision de sécurité Communication des enjeux à la « MOA » Spécification les « objets » à superviser précis Structurer les rôles et responsabilités Détection, traitement des alertes, traitement des corrections Hors projet L’ingénierie des capteurs est réalisé par le SOC Mise en place d’une cellule de veille hors équipe SOC Plate forme de simulation des attaques Amélioration continue une solution de supervision de sécurité pertinente est une solution qui évolue !

Conclusion : une nouvelle « barrière » de défense La supervision de sécurité Une brique supplémentaire dans le système de défense Formation Analyse de risque Antivirus Veille Certification Audit IAM DLP Code audit PKI Firewall Sensibilisation WAF ? SOC, IDS/IPS, SIEM

Questions

Merci pour votre écoute

Récupération de la payload du paquet Flux réseau Capture du paquet Récupération de la payload du paquet

Impact Synthèse d’une règle de détection Summary Signature Protocole TCP Fourniture de la chaine recherché Summary Vulnérabilité Firefox Impact Déni de service

Découverte des systèmes «Enrichissement » Découverte des systèmes Système Red Hat Port TCP ouvert Protocole réseau

Fourniture des vulnérabilités «Enrichissement » Fourniture des vulnérabilités Liste des vulnérabilités associé au système découvert DHCP Buffer Overflow