Retour d’expérience création d’un service de supervision de sécurité Stéphane Sciacco SCE/MOA SI/DS Février 2008
Sommaire « Décor » Pourquoi et pour qui un service de supervision de la sécurité ? Mise en place du service à partir d’une extrapolation d’un modèle formel Constitution de l’équipe de supervision de la sécurité Les missions du « SOC » Liste des processus mis en place Interfaces du « SOC » Un exemple Moyen techniques Rôle et panorama des MSSPs Conclusion
Le « décor »
Service de supervision de la sécurité S(ecurity) O(perating) C(enter) Service de détection uniquement pas de réaction ni de configuration Début de la réflexion sur la mise en place du service 2005 Date de création du service 2006 Premier « service » mis en supervision Mi 2006
Pourquoi et pour un service de supervision de la sécurité ?
Pourquoi / Pour qui ? Pourquoi ? Pour qui ? Un service complémentaire de sécurité pour le projets Augmente le niveau de sécurité des « projets » Augmente la confiance Rationalisations des investissements Pour qui ? Service pour des activités internes Service pour des activités externes
Mise en place du service à partir d’une extrapolation d’un modèle formel
Extrapolation : modèle PDCA
« Boucle d’amélioration »
Constitution de l’équipe de supervision de sécurité
Ressources humaines « SOC » type Niveau 1/2 Niveau 2/3 Un/une responsable 7 personnes minimum pour le niveau 1/2 24/7 5/7 personnes minimum pour le niveau 2/3 HO astreinte Formation conséquente au démarrage de l’équipe Niveau 1/2 Profil : technicien minimum 1 à 2 ans d’expérience Rôle Monitoring des alarmes de sécurité (investigation, qualification) Niveau 2/3 Profile : Ingénieur minimum 2 à 3 ans d’expérience Ingénierie Expertise incident niveau 2/3 Fournir mitigation sur incident Formation niveau 1/2 Assure test-bed (reproduction nouvelle attaque, veille sécurité,….)
Les missions du « SOC »
« Poste écoute» de la sécurité
Activités du « SOC » Phase « ingénierie » Phase récurrente Mise en place de la supervision de sécurité dans le cadre des services Administration de l’infrastructure de supervision de sécurité Contractualisation avec le responsable du service mis en supervision Phase récurrente Traitement des événements de sécurité Préconisation et suivi du plan d’action Réalisation des reportings
Activité projet supervision sécurité
Phase « d’ingénierie » Rédaction du cahier des charges Analyse de risque formelle ou pas étude du contexte expression des besoins de sécurité étude des menaces identification des objectifs de sécurité élaboration des exigences de sécurité Identification des biens Identification des menaces, méthodes d’attaques et des vulnérabilités Mesures détection couvrant les objectifs de sécurité
Phase « d’ingénierie » Réponse technique au cahier des charges Validation et configuration du type de sonde Validation du type de reporting Déploiement de la solution Installation, configuration et mise au point des sondes Administration de l’infrastructures Mise à jour de l’outil de supervision et des sondes Contractualisation Rédaction et validation du contrat de service entre le SOC et la MOA/MOE Durée de la phase « d’ingénierie » 3 mois
Phase récurrente : traitement des événements Qualification des événements Analyse de l’événement qui a activé l’alerte (Logs ou signature) Identification d’un « scénario d’attaque » Suppression du bruit (tunning + nez de l’expert) Qualification de la criticité d’un événement La notion de criticité permet d’établir une hiérarchisation dans traitement de l’événement Criticité d’un événement (sévérité de l’événement, sensibilité bien attaqué en DIC) Le niveau de sévérité peux être défini à partir des critères suivants: Facilité de mise en œuvre du scénario d’attaque par l’attaquant « Dangerosité » (pas de contre-mesure, propagation/amplification,…) Vulnérabilité (potentielle ou constaté) Profondeur DiD de 1 à 7 Motivation de l’attaquant
Phase récurrente : suite Notification « client » @IP attaquant @IP, port machine cible Evénements détecté Vulnérabilité de la cible/ événement et impact Plan d’action possible Préconisation d’un plan d’action Le « SOC » fournit des recommandations Le « SOC » n’intervient pas directement sur l’équipement « attaqué » Suivi du plan d’action Le « SOC » ne pilote pas le plan d’action Il suit le plan d’action à des fins de capitalisation Reporting En adéquation avec la demande client
Contrat de service 1/2 Définition du périmètre à superviser Inventaires des « biens » Identification des acteurs et rôles/responsabilités Contact en cas de détection « d’attaques » Description de la prestation récurrente Mise en place de « délai » de détection fonction de la criticité Evolution et maintien Surtout fonction de l’expression du besoin
Contrat de service 2/2 Réunion de suivi Durée du contrat Au démarrage du projet mais aussi en phase récurrente Durée du contrat Logiquement arrêt à la fermeture du service Délais de réalisation De la mise en place des sondes Respect « légaux» Clause de confidentialité Charge Opex
Synchronisation des phases Politique de sécurité Analyse du besoin Etude de faisabilité Installation configuration Tuning Exploitation 5 jours 5/10 jours 1 mois Rapport installation Cahier des charges Dossier technique Rapport de tuning
Les processus d’un SOC
Processus global
De l’expression du besoin au contrat
Processus de déploiement
Processus suivi d’incident
Les « interfaces »
Liste des interfaces 1/2 Un SOC ne doit pas vivre en autarcie Implique une communication entre le SOC et les « processus » De veille sécurité « De gestion vulnérabilités » De gestion de crise Des entités non sécurité D’autres SOC …..
Liste des interfaces 2/2 Entité sécurité spécifique Autres entités Lutte anti virale Expert et auditeur sécurité Patch management Virtual SOC Autres entités N(etwork) O(perating) C(enter) Supervision des applications des systèmes d’exploitations
Liste des interfaces Le service juridique CNIL Données à caractère personnel Recueillies et traités dans un cadre d’usage déterminé et légitime Code du travail Principe de proportionnalité et traitement sans entraver les droits et libertés Durée de conservations des événements En fonction des lois en vigueur Confidentialité Données consultés uniquement par les services « habilités » Principe de transparence Les employés/partenaires sont informés des objectifs poursuivis et de leurs droits CNIL Ces principes peuvent être audité par la CNIL
Exemple
Détection périmétrique
Les moyens techniques
Ressources techniques SIM/SIEM fonction de base Acquisition des données Logs systèmes/application et sonde spécifique Scanner de vulnérabilité, base d’inventaire « Corrélation » « Scénario » d’attaque Comportemental (déviation par rapport à un modèle stable) « Environnemental » (inventaire, vulnérabilité) Reporting Capacité à générer/visualiser des rapports (ou confié à un outil tierce) Workflow Trouble ticketing intégré ou confié à un produit tierce Asset classification Positionnent d’un indicateur de criticité
Ressources techniques SIM magic Quadrant (Gardner 2007)
Ressources techniques Sonde IDS/ « IPS » Snort, ISS, juniper,… Log Application, système et équipement Honeypot Honeyd ….. Gestion Workflow incident interne Base de connaissance Plate forme de test SIM/SIEM Sondes Outil audit,…..
Les MSSPs
MSSPs Services offerts Monitoring et management des Firewall et IPS Monitoring et management des IDS Lutte contre les dénis de service Management des anti-virus, anti-spam SIM et SIEM Management des vulnérabilités Fourniture de reporting
MSSPs Leaders AT&T BT (rachat de Counterpane) IBM (rachat de ISS) Focus sur les dénis de service http://www.business.att.com/service_portfolio.jsp?repoid=ProductCategory&repoitem=eb_security&serv_port=eb_security&segment=ent_biz BT (rachat de Counterpane) 3 centre de supervision http://www.counterpane.com/index.html IBM (rachat de ISS) Utilisation du Virtual SOC (Atlanta) http://www.iss.net/services/managed_services/Virtual_SOC_Portal/service_main_page.html SecureWorks Outil propriétaire Sherlok http://www.secureworks.com/services/infrastructure/soc.html Symantec 6 Centre de supervision 1 certifié ISO 27001 http://www.symantec.com/enterprise/services/overview.jsp?pcid=consulting_services&pvid=security_operation_center VeriSign 6 centre de supervision Outil propriétaire TeraGuard http://www.verisign.com/managed-security-services/why verisign/expertise/SOC/index.html
MSSPs Challengers Autre Verizon Business Unisys SAIC CSC Geotronics Rachat de Cybertrust (Juillet 2007) http://www.verizonbusiness.com/us/security/managed/ Unisys 4 Centre de supervision (security in the box) http://www.unisys.com/services/security/managed__services/index.htm SAIC http://www.saic.com/infosec/mss.html Travail pour le gouvernement Américain CSC http://www.csc.com/solutions/security/offerings/1094.shtml Geotronics http://www.getronics.com/global/en-gb/services/security_services.htm Autre Alcatel http://www.alcatel-lucent.com/wps/portal/solution/detail?LMSG_CABINET=Solution_Product_Catalog&LMSG_CONTENT_FILE=Solutions/Solution_Detail_000055.xml#tabAnchor1 C&W 4 équipe (2 -UK 1 -Germany 1-India)
Conclusion
A retenir…..un service de supervision de la sécurité C’est surtout Une organisation à mettre en place Des moyens humains Et au final c’est Globalement un « projet » complexe Un projet long à mettre en place et en perpétuel amélioration Une réponse à une expression des besoins des services à mettre en supervision Attention Ce n’est pas des outils
Questions ?
A l’équipe de supervision de sécurité Merci A vous