QU EST-CE QU UN SOC? Un centre de sécurité opérationnel est une équipe dédiée à la détection et la gestion des incidents.

Transcription

1 QU EST-CE QU UN SOC? Un centre de sécurité opérationnel est une équipe dédiée à la détection et la gestion des incidents.

2 POURQUOI SURVEILLER With enough time, prevention will always fail.

3 RÔLES D UN SOC Typiquement, un SOC est composé de trois fonctions: Gestion d incident Surveillance Vigie et renseignement

4 GESTION D INCIDENTS Le gestionnaire d incidents est le point de contact unique, face à la gestion. Son rôle est de Coordoner les incidents (war room) Prioriser les incidents Contacter (si requis) les autres CERT Rediger le post-mortem

5 SURVEILLANCE Les spécialistes en surveillance observent le réseau et les applications afin de détecter des mauvaises configurations, des extrusions, des vols de mots de passes etc.

6 VIGIE ET RENSEIGNEMENT Le groupe de vigie et renseignement est responsable de Gérer le cycle de vie des IoCs Décrire les cas de surveillance Chercher les évènements passés (est-ce qu il y a eu des évènements que je n avais pas détecté que je détecte avec mes connaissances du moment)

7 UN SOC EFFICACE Un SOC efficace doit assumer les trois rôles Gestion d incident Surveillance du réseau Vigie et renseignement

8 STRATÉGIE POUR UN SOC EFFICACE Si la menace recherchée est toujours la même, automatiser ces cas de surveillance Donc, moins de cas routinier! Détection des anomalies non traitées par des humains.

9 STRATÉGIE POUR UN SOC EFFICACE Rotation des rôles Les meilleurs SoC font une rotation des tâches. Celui qui surveille une semaine fait de la vigie la semaine suivante et puis gère des incidents la suivante. Avantage: Meilleure connaissance de l environnement ET respect des processus.

10 OUTILS POUR LA SURVEILLANCE Système de détection d intrusion Statistiques Console Antivirus IoC Requêtes DNS Requêtes Proxy Journaux Applicatifs (Apache, Windows Events) Journaux PareFeu DLP

11 OUTIL: IDS Les systèmes de détection d intrusion observent le trafic sur le réseau et comparent avec une base de signatures. Avantages Assez simple Très connu Désavantage Faux positifs (Si vous ne faites pas un effort de soaking, il faut s attendre à 50% à 80% de faux positifs)

12 OUTIL: STATISTIQUES Analyse de différentes statistiques du réseau afin de détecter les anomalies. Nombre de connection / jour Volume de transfert / jour Nombre de requêtes web / jour Nombre de paquets vers un port fermé /jour

13 OUTIL: IOC Les Indicateurs de Compromissions sont des signatures comportementales associés à une menace. Mutex MD5 ou SHA1 (disque ou processus en mémoire) Domaine dns Format de requêtes web Type de courriel Adresse IP

14 Les IoCs permettent : OUTIL: IOC La mise en place des mesures automatisées de détection de menaces La validation dans le passé pour la présence de menace sur le réseau Détecter des menaces avec des nouvelles informations (p.ex., les menaces polymorphiques)

15 OUTIL: JOURNAUX!= SURVEILLANCE La capacité d avoir des journaux ne signifie pas qu il y a de la surveillance. Sans outil centralisé de gestion des journaux (SIEM), il est très difficile de faire de la surveillance.

16 ATTENTION: HORLOGE Un des problèmes commun en entreprise est l absence d heure uniformisée. Cela a pour effet de rendre l analyse de journaux très difficile, voir impossible. Solution: NTP (Network Time Protocol), un protocol qui synchronise les horloges. ATTENTION: Ce n est PAS un protocole authentifié par défaut

17 DONNÉES VS MÉTA DONNÉES (1/3) Il est parfois couteux et irréaliste d observer tout le trafic réseau interne, car cela signifie Stocker vitesse réseaux * nombre de postes * 24 * 3600 * délais de rétention postes * 100 mbps * 24 h * 3600 secondes * 365 jours = 1,182,600,000 GigaOctets

18 DONNÉES VS MÉTA DONNÉES (2/3) En plus, le traffic est souvent chiffré, donc peu utilisable. Bonne nouvelle: Les méta-données sont en clair. Ip Source Ip Destination Volume des données Heure de la transactions Port Source Port Destination

19 DONNÉES VS MÉTA DONNÉES (3/3) Le protocole netflow est un protocole qui décrit les flux réseaux, sans décrire le contenu. Uniquement les méta données. Beaucoup de cas de surveillances sont possibles et moins dispendieux qu une capture complète.

20 SIEM Un SIEM est un outil de gestion des journaux de sécurité. Un bon SIEM doit: Normaliser les journaux Permettre la recherche Permettre les cas d utilisation automatisés Permettre la corrélation* * Pas toujours nécéssaire

21 NORMALISATION DES JOURNAUX Les journaux ont plusieurs formats (syslog, windows event, apache, propriétaire etc.) Pour l analyse efficace, il est important de transformer tous ces journaux en un seul format. Ce processus se nomme la normalisation.

22 RECHERCHE Un SIEM doit permettre une recherche facile et rapide pour répondre à plusieurs questions des spécialistes surveillances. Est-ce que j ai déja vu cette adresse IP? Est-ce que quelqu un a fait une requête web, tel que spécifié par le regex suivant? Est-ce que quelqu un a ouvert un service windows qui correspond à M{31 charactères}? Depuis combien de temps est-ce que la menace nous affecte?

23 CAS DE SURVEILLANCE Un cas de surveillance est une analyse automatisée d un journal, qui permet une action automatisée. Si l antivirus détecte MimiKatz, envoi un courriel à sécurité@monentreprise.com

24 SIEM: CORRÉLATION La corrélation permet de faire des cas de surveillance avec PLUSIEURS sources de journaux. Si un employé se connecte à un PC sans avoir utilisé son badge pour entrer dans l édifice.

25 CORRÉLATION: ATTENTION La corrélation est un mécanisme puissant mais souvent très dispendieux en matière de ressources. Il est souvent plus efficace de faire plusieurs cas de surveillance qu un seul cas de corrélation.

26 ANNEXE A: CYCLE DE VIE DES IOC