Auteur: Christophe BRIGUET - Exaprobe Retour d’expérience Tableaux de bord en SSI Auteur: Christophe BRIGUET - Exaprobe
Contexte, besoins et constats Approche technique Plan Contexte, besoins et constats Approche technique Exemple de tableaux de bord
Plus de 50 clients et ~ 200 dispositifs supervisés avec l’offre MSSP * Contexte 1/2 Plus de 50 clients et ~ 200 dispositifs supervisés avec l’offre MSSP * Commerce électronique Collectivité locale PME/PMI Assurance / Finance Exaprotect est une offre de Télé administration de la sécurité dans le cadre d’un service MSSP commercialisé depuis 2001. infogérance de la sécurité L’infogérance peut être total (administration / supervision …) ou partiel (partage des résponsabilités dans les taches d’administration) * Managed Security Service Provider
Des technologies hétérogènes … Contexte 2/2 Des technologies hétérogènes … Checkpoint Firewall-1 / VPN-1 Netfilter (pare-feu Linux) NetASQ Cisco PIX TrendMicro Interscan VirusWall Snort IDS Nessus Security Scanner Intrushield Windows 2000 Etc … Prise en charge totales des technologies« clients » Différents techno (plusieurs constructeurs) Différente fonction de sécurité (firewall, IDS, Antivirus, Système d’exploitation, scanner de vulnérabilité …)
Engagement de niveau de service (SLA) Besoins Engagement de niveau de service (SLA) Administrer « Modifier sa configuration » Monitorer et scanner « Vérifier sa disponibilité et son intégrité» Dispositif de sécurité (pare-feu, antivirus, IDS, scanner, OS …) Superviser « Surveiller ses alarmes » Rapporter « Fournir des tableaux de bord » Besoin de télé-administration « standard » le tous sans compromis et en toute transparences vis-à-vis du « client » Afin de maintenir, Faire évoluer et veiller à l’intégrité des systèmes. 2. Vérifier sa disponibilité et évaluer son niveau de sécurité 3. Collecter / détecter les anomalies (attaques, panne ...) et réagir 4. Rapporter l’activité de l’équipement
Il faut maîtriser le volume et la complexité des alarmes de sécurité Constats Manque de visibilité Manque de pertinence des informations Il faut maîtriser le volume et la complexité des alarmes de sécurité
Approche technologique Collecter toutes les données Normaliser les messages (IDMEF) Analyser chaque alarmes (Risque = Menace x Vulnérabilité x Valeur) Corréler les messages entre eux Technologie SIM (Security Information Management)
Déroulement d’un projet SIM t0 + 45j Étude Implémentation Réglage VSR* Production Spécifications Installation du Serveur et des Agents Politique de traçabilité des sensors Tests et validation Service régulier Quatre étapes clés 20 jours de service (en moyenne) Implication de l’équipe technique et du management * Vérification de Service Régulier
Différents types d’indicateurs Types tableaux de bord Différents types d’indicateurs Menace (activité malveillante) Niveau de sécurité Performance du niveau de protection Respect de l’engagement du niveau de service Deux types de tableaux de bord Technicien Management
Exemple de tableaux de bord « Technique » (activité sécurité …) « Management » (activité du service lui même …) Le faite d’infogérer la sécurité d’une entreprise ne doit pas totalement pas totalement désimpliquer les utilisateurs du service, il nous avons choisies de leur fournir des tableaux de bord de deux types, les tableaux de bord