RSA ADVANCED SECURITY OPERATIONS CENTER SOLUTION

RSA ADVANCED SECURITY OPERATIONS CENTER SOLUTION Augmenter la visibilité et l analyse des événements de sécurité dans le système d information Jérôme Asseray Senior PreSales Engineer 1

Agenda Sécurité, Risques, Challenges : L évolution de la surface d attaque Intelligence Driven Security Les Solutions RSA : Visibilité -> Analyse -> Action 2

L évolution de l infratructure IT On ne peut plus s appuyer sur l infrastucture comme point de contrôle Cloud Clients Partenaires 3th parties Mobile Employés BYOD On- Prem Shadow IT 3

Sécurité, Risques, Challenges Comment réduire le risque? Menaces Externes Cloud Clients Partenaires 3th parties Identity & Access Management Mobile Employés BYOD On- Prem Shadow IT Fraude & Cybercriminalité Conformité 4

EMC CONFIDENTIAL INTERNAL USE ONLY Destruction? 5 METHODES D Pertes De Données Attaques Mobiles Sophistiquées Inconnue?? Vers/ Virus DDoS Simple Phishing Pharming Intrusions APTs Multi-Etape Collaboration De Hackers DDoS Avancés Méthode TEMPS 2007 2013 2020

Intelligence Driven Security Visibilité, Analyse, Action dans le contexte du Risque IT & Métier CONTEXTE RISQUE IT & METIER ACTION ANALYSE VISIBILITE Agir pour réduire et limiter l impact métier Détecte les anomalies indiquant un risque ou une menace Capture des données importantes Identités - Flux de données - Transactions 6

Intelligence Driven Security en Action GOVERNANCE, RISK, & COMPLIANCE ANALYTICS Threat Fraud Compliance Identity Cloud DATA LOGS, PACKETS, NETFLOW, ENDPOINT, ID, VULNS, THREAT (INT & EXT) IDENTITY & ACCESS On Prem 7

Les Solutions RSA GOVERNANCE, RISK, & COMPLIANCE Archer GRC MONITORING & ANALYTICS Security Analytics ECAT Web Threat Detection Fraud Action Cyber Crime Intelligence RSA Research IDENTITY & ACCESS SecurID Adaptive Authentication Identity Mgmt & Gov 8

VISIBILITY Visibilité Analyse Une visibilité complète pour identifier et investiguer les attaques Action 9

Ensemble de données orienté Risque Basic Logs Packets Deep Extended Endpoints NetFlow Wide 10

Visibilité Analyse RSA Security Analytics Architecture Packets Enrichir à la capture LIVE Action Logs NetFlow LIVE Security Operations LIVE Endpoint RSA LIVE INTELLIGENCE Threat Intelligence Rules Parsers Feeds Reports RSA Research 11

Enrichir à la capture Enrichir à la capture LIVE Inspecte toutes les sessions réseaux et log pour des indicateurs de menace. Enrichissement des menaces (Live, VRM) Enrichissement sur les criticités d assets Modèle de MetaDonné robuste Reconstruction et export de données rapides Facilitation des réponses aux crises 12

Caractéristiques des sessions Attachment File Fingerprints IP Alias Forwarded Browser Referrer File Packers Embedded Objects Crypto Type Capture de Packets basique Top Level Domain Non Standard Content Type URL in Email Ethernet Connection Access Criticality Sql Query Client/Server Application Mac Address Alias Email Address Credit Cards Forensics Réseau en profondeur 175+ MetaDonnées User Name Cookie Protocol Fingerprints Country Src/Dst Session Size IP Src/Dst Port User Agent HTTP Headers URL Hostname PDF/ Flash Version Database Name SSL CA/Subject Language Directory 13

RSA Live: Exemple Heartbleed < 48 Heures Parseur (SSL) mis à jour avec détection Heartbleed délivré via RSA Live Avril 2014 Une mise à jour rapide ciblée sur une menace réelle 14

ANALYSE Visibilité Analyse Détecte et analyse les attaques avant qu elles impactent votre organisation Action 15

RSA Security Analytics :Le Big Data de la sécurité RSA Security Analytics Visibilité Complète Détection d incidents Investigation approfondie Priorité Workflow RSA WareHouse Solution packagée Règles standards Best Practices SOC Apprentissage Comportemental Pivotal HD Hadoop Analytics Haute Scalabilité Big Data & Data Expertise Data Science 16

RSA ECAT : Obtenir de la visibilité sur le endpoint Enterprise Compromise Assessment Tool Détection de menaces sur le endpoint sans signature Visibilité et alerting en temps réel Confirme les infections rapidement & répond avec précision Surveille & Alerte Scan Analyse Répond 17

Organization A IP: 50.79.167.4 IP: 50.79.167.4 Homepage Add Bill Payee Enter Payment Amount Sign-In Select Bill Payee Bill Pay Home Submit My Account Enter Pay Amount Ab Normal Web Session! 18

ACTION Visibilité Analyse Prendre les actions ciblées sur les incidents les plus importants Action 19

RSA Archer : Ajouter le contexte métier Infos IT Contexte Métier Asset Intelligence Liste d Assets Type d équipements, contenu CMDBs Données de Vulnérabilité Propriétaire de l équipement Métier, Processus, RPO / RTO Niveau de Risque Adresse IP Niveau de Criticité Data Centre 20

RSA Identity & Access Management Une interaction de confiance entre les identités et l information Contrôle d accès Authentication Federation/SSO Employés/Partenaires/Clients Identity Intelligence Gouvernance Conformité Cycle d Identité Provisioning Applications/Données/Ressources 21

RSA Archer : Gouvernance, Risque, Conformité CIO & CISO Board LOB Executives Business Operations Managers IT CRO Business Risque IT & Securité Continuité d activité Conformité réglementaire Audit Risque Op Gouvernance Tierce Silos Gestion Avantage Maturity Common Foundation 22

Contexte métier & Identités 1 Alerte remontée 2 Contexte Métier Identity Context 3 Contexte Identités Droits d accès Roles Utilisateurs Comptes orphelins 23