Une approche MSSP
Agenda
Présentation du Threat Management Center
Le rôle d’un MSSP dans la supervision de sécurité La gestion d’incidents
Agenda
Présentation du Threat Management Center
Le rôle d’un MSSP dans la supervision de sécurité La gestion d’incidents
Security Global Competence
Security Global Competence CenterCenter
Tentative de connexion à un réseau sans autorisation Intrusion physique dans un système
Elément de preuve au sens juridique
Access Control Serveurs
communs (DNS, DHCP, NTP, AAA) Pare-feux / IDS
Equipements réseaux : commutateurs
Intrusion Detection
Usurpation d'identité / Abus de droits
Vulnérabilités logicielle
& de configuration
des utilisateurs des exploitants des administrateurs
Changement de configuration des équipements supervisés
Authentification des sessions, durée limitée
Accès illégitime applications métiers
Interception ou falsification de données métiers
confidentielles
Equipe Niveau 1 : 8 analystes*, (24/7)
Equipe Niveau 2 :
9 experts*, Astreintes
* Equipe type sur réseau de dimension multinationale
Utilisateurs
Niveau 1
Supervision sécurité 24/7
Intervention sur consigne ou alerte provenant de la supervision
Enregistrement des incidents, analyse de premier niveau, gestion de la sécurité
Experts sécurité HO/JO + astreinte
Toute opération escaladée par le niveau 1 nécessitant une forte expertise sécurité.
Investigation, gestion des incidents, crise.
Niveau 2
Constructeurs, éditeurs, distributeurs, équipe en back office
Constructeurs, éditeurs, distributeurs, équipe en back office Niveau 3
Gestion des incidents
Gestion des problèmes
Gestion des configurations
Gestion des demandes
Infrastructures
CERT R. Client
Agents Syslog, Windows, LEA, SQL…
Agents Syslog, Windows, LEA, SQL…
Infra mutualisée TMC Centre de pilotage
Concentrateur
Concentrateur
Collecteur
Infra mutualisée TMC
Collecteur
Interconnexion
Equipements réseau PC et serveurs Windows
Autres serveurs
Collecteur d’événements
Windows
Renvoi en syslog
Syslog, SMTP, SNMP, RDEP, connecteurs de
bases de données, fichiers plats, etc.
Pré-traitement : parsing, normalisation, classification, priorisation,
préfiltrage éventuel
Tableaux de bord, rapports
Données environnementales pour enrichissement
Corrélation, escalade, recorrélation, règles d’exclusion
Envoi sécurisé via SCP
Mise en base des logs parsés, archivage des logs bruts et
parsés (pour rejeu) Envoi sécurisé
via SCP
Génération d’alertes
Gestion des alertes, pondération, calcul de risque
Mise en base des alertes Exécution de
scripts
Outils d’analyse
Gestion d’incidents Visualisation des
alertes Présentation
des données Affichage des alertes
Agenda
Présentation du Threat Management Center
Le rôle d’un MSSP dans la supervision de sécurité
La gestion d’incidents
Les TMS aujourd’hui c’est :
•Un peu moins de 2500 équipements supervisés pour 14 Clients
•5 milliards de lignes de logs par jour
• Un archivage brut et scellé
• Un pré filtrage de pertinence
•Un outil d’agrégation, de taxonomie et de (re)corrélation générant en moyenne:
• 50 alertes (jour) -> (prétraitement N1, faux positifs, alertes déjà en cours, etc.)
• 5 escalades N2 (jour)
•3 familles d’indicateurs
• Métrologie
• pertinence
• tendanciel
•17 investigations « cliniques » (mois) -> missions spécifiques forensics/réquisition/demande particulière
Indicateurs de type « Métrologie Sécurité »
Service à vocation technique qui permet de donner des tendances et de faire du capacity planning macroscopique et de l’ajustement de seuils.
Volumétrie de base par exemple :
accept/deny
nombre d’événements
pics d’activité
etc.
Volumétrie sur alertes :
Permet de voir le bruit de fond
Anticiper une réévaluation de seuil
Indicateurs de type « Pertinence »
Service plus complexe et relativement consommateur de charge à l’implémentation et en maintien.
Ce service veille à la bonne prise en compte du contexte global autour de l’équipement (segmentation, @IP, stratégie de
sécurité, etc.) moins que l’équipement lui-même.
L’idée est de corréler les journaux des équipements
périphériques (à un équipement concerné) à son contexte et
d’identifier quel est son niveau de porosité (fait il bien son
travail ?).
Indicateurs de type « Pertinence » Exemples :
deux firewalls remontent des demandes d’authentifications avec le même UID.
Un firewall et un proxy mandatory :
le firewall remonte des journaux de connexion directe en http depuis l’environnement bureautique, etc. -
>problème de mauvaise redirection ou configuration en bureautique ?
le firewall remonte des tentatives de connexion sur des sites libidino-ludiques en provenance du proxy -> le
proxy n’est plus correctement configuré et ne dispose
plus de ses blacks lists, …
Indicateurs de type « Veille tendancielle »
Service à haute valeur ajoutée. Permet d’intégrer des règles de tendances sur une actualité sécurité. C’est un service alimenté par la veille
technologique qui en fonction d’une tendance associée à une signature d’attaque va permettre de faire du reporting sur un niveau d’exposition.
Par exemple :
Nouveau vers se propageant sur port 80 -> identifier s’il y a une augmentation significative de paquets TCP/80 (firewall)
Risque facebook type click jacking -> surveillance spécifique des patterns type sur les proxys
Comme l’actualité change, le service est en perpétuelle évolution, il faut se restreindre à 1 voire 2 corrélations de ce type sur une fenêtre glissante.
Contraintes : nécessite parfois des modifications de configuration (journalisation spécifique, etc.)
Agenda
Présentation du Threat Management Center
Le rôle d’un MSSP dans la supervision de sécurité
La gestion d’incidents
Qu’est ce qu’un incident de sécurité ?
RFC 2828 :
« A security event that involves a security policy violation »
POLSEC
IT behavior
Véracité et complétudes des informations
Qualification du risque
Garantie de la confidentialité des informations "privées"
Indépendance : garantie de l'Objectivité
Expertise reconnue en traitement d’incidents de sécuritéLes acteurs sont Les acteurs sont
cibl
cibléés : s : ««Trop Trop d
d’’information tue information tue l
l’’informationinformation»»
Les produits Les produits
sont cibl sont ciblééss
Les clients Les clients
sont sont accompagn accompagnééss
Les services Les services s’s’incluent dans incluent dans
les workflowles workflow de l
de l’’entrepriseentreprise
Gain de temps pour les équipes sécurité
CertCert-IST : Veille & assistance sur incident-IST : Veille & assistance sur incident
Quelques exemples !
Glissement dans les usages d’un opérateur
Trafic libidino ludique
Rejeu de paquets multicasts
Le véritable rôle d’un MSSP
1. Centralisation et archivage des logs
Enregistrement conforme aux réglementations en vigueur et normes du Client
2. Analyse des journaux, corrélation et détection d’incidents de sécurité
Agrégation, corrélation, contextualisation des événements collectés
Qualification & génération d’alerte sur attaques ou vulnérabilités avérées
3. Vérification du niveau de sécurité en temps réel
Analyse des alertes du Cert-IST, qualification de la menace sur les systèmes du Client
Analyse et fourniture d’un avis sur des changements opérés par le Client
4. Gestion des incidents de sécurité (proposition & suivi de plans d’actions)
Description de l’incident, des risques, proposition de mesure palliative
Suivi des opérations effectuées par les exploitants
5. Mise à disposition de rapports et tableaux de bords
Consolidation des alertes et des incidents sous forme d’indicateurs pertinents
Consolidation des alertes et des incidents sous forme de rapports réguliers
6. Investigation à posteriori (à la demande)
Rejeu, enquête
Perte de l’univers de référence
• Activation d’une cellule d’expertise (N2, PM, Cert, Client)
• Outillage (procédures, moyens humains et techniques, information à détenir, plan de communication)
• Diagnostic et investigation (qualification, quantification)
• Cercle vertueux (situation, évolution, tache à effectuer) Retour à la normale
• Forensics
• Analyse post mortem
Une équipe d’astreinte 24/7/365