Brèches de sécurité, quelles solutions?

Transcription

1 Brèches de sécurité, quelles solutions? Pierre-Yves Popihn Directeur Technique 2 juin

2 Contexte Actuel Evolution du paysage des menaces Innovation Technologique Evolution des besoins métiers 2 juin

3 Différentes approches possibles Externalisation Centres d operations de sécurité Internalisation Site clients pour la gestion des opértions de sécurité Hybride Combiné Réseau privé et composant cloud Composé d expert sur site et à distance Audit et conformité - Reporting Supervision, Reporting et Visualisation Gestion du service et du contrat Opérations et services sur site Supervision sécurité, analyse et correlation des évènements Services avancés de support 24/7 Gestion des équipements Gestion du changement Service additionnel en plus du support traditionnel. Portail d information sécurité 2 juin

4 L approche hybride permet l atteinte de vos objectifs Externalisation Internalisation Hybride Consultation Nous Nous opérons partagée consultons GestionNous des Nous operations gérons installonscommune Support Nous commun Voussupportons opérez Personnalisation Vous gérez Vous supervisez 2 juin

5 2 juin

6 Notre réponse Plus de 15 ans d experience en services de sécurité managés et services professionnels Analyse & Expertise GROC Connaissances Technologiques Besoins Clients Opérations d Analyses et de Correlations Gestion des incidents Alerting & reporting Analyse Humaine > Hautement qualifiés > Expériences > Passion pour IT-Security Capacités Forensic 2 juin

7 Donner du sens à l information Analyse et correlation d immenses quantités de données Tous les évènements nécessitent d être analyses dans le but d identifier de potentiels comportements malicieux. Requiet souvent des règles de correlations complexes pour fournir des alertes pertinentes. Filtrées et enrichies 00 s Contextualisation, Information sur les assets, experiences passes permet de réduire le nombre de faux positifs Millions d évènements bruts Milliers d alertes Centaines d alertes Alertes Enrichies 000 s 000,000 s Granulaire, Rapports enrichis. Validation additionnelle humaine pour prise en compte du contexte metier. 2 juin

8 Moteur d analyse une approche par couche Prise en compte de données historiques sur une période de temps pour identifier les menaces persistentes (APT) Données Brutes Prise en compte continue de flux d information et d analyse pour identifier les menaces actuelles Analyse Contextuelle Intelligence Packs Analyse Temps-réel Signatures et flux d informations tierce partie Flux personnalisé de menaces NTT Règles et signatures NTT 2 juin

9 Flux de menaces NTT 30, Sites web mondiaux scannés chaque jour pour identifier les tendances globales de menaces Fichiers de malwares identifiés & téléchargés par nos honeypots chaque jour + =Capacité de creation des règles uniques afin de lutter contre les menaces Unique honeypot & environnement sandboxing pour capturer une activité malicieuse 2 juin

10 La creation de signatures personnalisées Source de détection: Signatures personnalisées/in-house vs. Signatures éditeurs 35% Editeurs 65% NTT Com Security Custom 2 juin

11 Visibilité & Gestion Convertir la donnée en connaissance Données Information Connaissance Log/event data Signatures Propriétaires Signatures tierce partie Analyse par un expert sécurité Contexte Métiers Flux de menaces global Flux de menaces personnalisé Création Signature Affinage, Informations Complémentaires Analyse sécurité automatique Enrichissement Sécurité (validation humaine) 2 juin

12 Amélioration des réponses Plan de réponses robuste et validé Connaissance Préparation Informations détaillées des incidents et decisions expertes Maitrise Le risque et l impact dictent la remédiation Réponse efficace 2 juin

13 Architecture Hybride Contexte Métier Expertise Métier Intelligence des menaces Données de vulnérabilités Plateforme de gestion des opérations SOC Identités Assets SIEM Archivage et stockage de logs Analyse de paquets Analyse des malwares Flux Logs Réseau Opérations Globales Gestion, changements, incidents Equipes opérationnelles Analyse réseau Analyse réseau Analyse réseau Sites et équipements Stockage de logs Stockage de logs Stockage de logs Informations assets 2 juin

14 Amélioration continue Les menaces évoluent tout le temps Les moteurs de detection ne sont efficaces que si les règles le sont Ces règles doivent être mises à jour continuellement o Nouvelles règles/modèles d attaque Notre approche: Collaboration Données depuis autant de sources que possibles NTT R&D Secure Labs SOC/JPSOC Environnement de production Malwares de test Définir des règles pertinentes et à jour Global réseau honeypot (Marionette) Système d execution bac à sable (Botnet Watcher) Règles, Liste noire Recherche Sécurité & analyses expertes Ni3 Services Professionnels Personnalisation Support de logs étendus Prof. Services SOC RTTI Analysis Engine NTT R&D Secure Labs Platform, people and processes JPSOC 2 juin

15 Merci Pierre-Yves Popihn M +33 (0) pierre-yves.popihn@nttcomsecurity.com