IMPLÉMENTATION D'UNE ARCHITECTURE ANALYTIQUE DE SÉCURITÉ



Documents pareils
Découverte et investigation des menaces avancées PRÉSENTATION

RSA SECURITY MANAGEMENT. Une approche intégrée de la gestion du risque, des opérations et des incidents. Fiche solution

Managing the Lifecycle of. Encryption Keys with RSA. Rationaliser les opérations de. sécurité avec les solutions. Data Loss Prevention et

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Sécurité sur le web : protégez vos données dans le cloud

ÉTAT DES LIEUX DE LA GESTION DE LA SÉCURITÉ ET DU BIG DATA

CA ARCserve Backup. Avantages. Vue d'ensemble. Pourquoi choisir CA

Solutions McAfee pour la sécurité des serveurs

RSA ADVANCED SECURITY OPERATIONS CENTER SOLUTION

CA ARCserve Backup r12

Découvrir les vulnérabilités au sein des applications Web

<Insert Picture Here> La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts

DÉTECTION ET NEUTRALISATION INTELLIGENTES DES MENACES

Solution RSA. Prevention Encryption Keys with. Découvrez les risques et. Key Manager RSA. reprenez le contrôle. RSA Solution Brief

L'ensemble de ces tendances présente de nouveaux challenges pour les départements IT de l'entreprise. Plus précisément :

Protéger les données critiques de nos clients

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec

Fiche technique: Sécurité des terminaux Symantec Endpoint Protection La nouvelle technologie antivirus de Symantec

GOUVERNANCE DES IDENTITES ET DES ACCES ORIENTEE METIER : IMPORTANCE DE CETTE NOUVELLE APPROCHE

IBM Security Systems Les nouveaux enjeux de la sécurité Serge Richard - CISSP - Senior Security Architect. serge.richard@fr.ibm.

DOSSIER SOLUTION : CA RECOVERY MANAGEMENT

Livre blanc. La sécurité de nouvelle génération pour les datacenters virtualisés

Simplifier la gestion de l'entreprise

Gestion du centre de données et virtualisation

LA SÉCURITÉ RÉINVENTÉE

McAfee Network Security Platform Une approche d'une intelligence inégalée de la sécurité du réseau

IBM Tivoli Compliance Insight Manager

RSA ADAPTIVE AUTHENTICATION

Optimisez vos processus informatiques, maximisez le taux de rendement de vos actifs et améliorez les niveaux de service

SafeNet La protection

Faire le grand saut de la virtualisation

IBM Software Business Analytics. IBM Cognos FSR Automatisation du processus de reporting interne

Symantec Protection Suite Small Business Edition Une solution simple, efficace et compétitive pour les petites entreprises

Atteindre la flexibilité métier grâce au data center agile

Optimisation de la gestion de la sécurité avec McAfee epolicy Orchestrator

IBM Software Big Data. Plateforme IBM Big Data

Fiche pratique. Présentation du problème. Pourquoi Rapport? Comment çà marche?

SOLUTIONS INTELLIGENTES DE PRÉVENTION DES FRAUDES

transformer en avantage compétitif en temps réel vos données Your business technologists. Powering progress

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Inscriptions : Renseignements : 33 (0) education.france@sap.com

CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS

Contrôle de l Activité et Gestion des Menaces dans un environnement Réseau Distribué. INTERDATA Présentation Q1Labs

Réduisez vos activités de maintenance SAP pour vous concentrer sur la valeur ajoutée

Solution de gestion des journaux pour le Big Data

LE BIG DATA. TRANSFORME LE BUSINESS Solution EMC Big Data

Microsoft Dynamics AX 2012 Une nouvelle génération de système ERP

Garantir une meilleure prestation de services et une expérience utilisateur optimale

portnox pour un contrôle amélioré des accès réseau Copyright 2008 Access Layers. Tous droits réservés.

Accélérez la virtualisation de vos applications stratégiques en toute confiance avec Symantec

État Réalisé En cours Planifié

Solution de stress test Moody s Analytics

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

Symantec Enterprise Vault et Symantec Enterprise Vault.cloud

étendre l authentification unique Web à des environnements Cloud et mobiles agility made possible

Altiris Asset Management Suite 7.1 from Symantec

D AIDE À L EXPLOITATION

En synthèse. HVR pour garantir les échanges sensibles de l'entreprise

Concepts et définitions

Total Protection for Compliance : audit unifié des stratégies informatiques

Accélérez le projet de Cloud privé de votre entreprise

Gestion des incidents de sécurité. Une approche MSSP

Attention, menace : le Trojan Bancaire Trojan.Carberp!

PACK SKeeper Multi = 1 SKeeper et des SKubes

Accélérez la transition vers le cloud

GRIFES. Gestion des risques et au-delà. Pablo C. Martinez. TRMG Product Leader, EMEA Symantec Corporation

Sécurité et «Cloud computing»

Faire de l infrastructure informatique une source de valeur ajoutée pour l entreprise.

Trusteer Pour la prévention de la fraude bancaire en ligne

Fiche Technique. Cisco Security Agent

Symantec CyberV Assessment Service

Symantec Network Access Control

La sécurité informatique à l heure de la 3 ème plate-forme. Karim BAHLOUL Directeur Etudes et Conseil IDC France 20 mai 2014

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Gestion des utilisateurs et Entreprise Etendue

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.

Trend Micro Deep Security

Les botnets: Le côté obscur de l'informatique dans le cloud

JOURNÉE THÉMATIQUE SUR LES RISQUES

BYOD Smart Solution. Mettre à disposition une solution qui peut être adaptée à des utilisateurs et appareils divers, à tout moment et en tout lieu

ManageEngine IT360 : Gestion de l'informatique de l'entreprise

KASPERSKY DDOS PROTECTION. Découvrez comment Kaspersky Lab défend les entreprises contre les attaques DDoS

Clouds et plates-formes multiples

DÉVELOPPEMENT INFONUAGIQUE - meilleures pratiques

Bibliographie. Gestion des risques

Offering de sécurité technologique Sécurité des systèmes d'information

Systèmes intelligents pour le commerce de détail. Plateforme Windows Embedded

Suite NCR APTRA. La première plateforme logicielle libre-service financière au monde.

CLOUD PUBLIC, PRIVÉ OU HYBRIDE : LEQUEL EST LE PLUS ADAPTÉ À VOS APPLICATIONS?

Meilleures pratiques de l authentification:

Nos Solutions PME VIPDev sont les Atouts Business de votre entreprise.

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

L'évolution de VISUAL MESSAGE CENTER Architecture et intégration

Est-il possible de réduire les coûts des logiciels pour mainframe en limitant les risques?

PUISSANCE ET SIMPLICITE. Business Suite

Symantec Endpoint Protection Fiche technique

Transcription:

IMPLÉMENTATION D'UNE ARCHITECTURE ANALYTIQUE DE SÉCURITÉ Solution Brief

SYNTHÈSE Les nouvelles menaces exigent de rénover l'approche traditionnelle de la gestion de la sécurité. Les équipes qui en sont chargées doivent en effet disposer d'une architecture analytique capable de gérer des volumétries et un périmètre de données bien plus étendus qu actuellement et d'outils adaptés pour localiser plus rapidement les problèmes critiques. Elles doivent également bénéficier d'une intelligence des menaces (derniers outils, techniques et procédures utilisées pour les attaques) et d'outils pour superviser les réponses initiées après l'identification d'un problème. Dans 99 % des cas les données sont compromises en seulement quelques heures ou jours alors même qu'il faut dans 85 % des cas plusieurs semaines pour les détecter. Verizon 2012 (Data Breach Investigations report) DES APPROCHES TRADITIONNELLES DEVENUES IMPUISSANTES Selon le rapport «Data Breach Investigations» conduit en 2012 par Verizon, dans 99 % des cas, les données sont compromises en quelques heures ou jours alors même qu'il faut, dans 85 % des cas, plusieurs semaines pour les détecter. Ce décalage est révélateur des difficultés auxquelles sont confrontées les équipes de sécurité lorsque les attaquants ont une telle avance pour dérober des données et causer des dommages. Il s'explique principalement par l'incapacité des outils de sécurité actuels à contrecarrer les attaques les plus sophistiquées en raison de leur focalisation sur trois domaines : les signatures, consistant à rechercher des séquences «connues», identifiées lors d'attaques antérieures ; la protection périmétrique, concentrée sur la détection et la prévention des menaces «pénétrantes» ; la conformité, consistant à satisfaire aux exigences des auditeurs ou des réglementations légales spécifiques, plutôt qu'à analyser l'ensemble du panorama du risque. Dans le même temps, les menaces ont atteint des niveaux incomparables de sophistication et sont caractérisées par : leur agilité d'anticipation des mesures de protection et d'adaptation des techniques pour échapper aux outils de détection et de prévention les plus communs ; leur ciblage sur des objectifs très précis (un département ou sous-département) ; leur intelligence liée à la mise en oeuvre de technologies d'ingénierie sociale et d'outils sophistiqués pour prendre pied dans un environnement sans être détectés. Ce constat exige des entreprises de rénover leur portefeuille d'outils et technologies de défense. Des menaces en constante évolution Criminals Petty criminals Unsophisticated Organized crime Organized, sophisticated supply chains (PII, financial services, retail) Nation State Actors PII, government, defense industrial base, IP rich organizations Non-state Actors Terrorists PII, government, critical infrastructure Anti-establishment vigilantes Hacktivists, targets of opportunity page 2

SIEM UN BON POINT DE DÉPART RSA est depuis longtemps un leader des plates-formes SIEM (Security Information and Event Management) qui restent indispensables pour : produire des rapports sur l'activité système offrant la visibilité requise des activités critiques (qui, quoi, quand, où) ; générer des alertes en cas de séquences connues identifiées par des règles de corrélation mettant en lumière des modes suspects d'utilisation des ressources informatiques ; démontrer la conformité aux auditeurs internes et externes à travers des rapport réguliers, générés automatiquement (sans intervention manuelle à chaque audit) ; disposer d'une vision centralisée de sources d'événements hétérogènes afin d'accélérer les prises de décisions à partir de données multisources. Les équipes de sécurité doivent avant tout identifier les attaques plus rapidement pour ne pas laisser le moindre «temps libre» aux malfaiteurs et pour prendre les mesures nécessaires pour empêcher qu'elles ne se reproduisent. Cependant, la nouvelle sophistication des menaces exige d'autres outils pour déjouer des attaques qui ne proviennent plus de pirates isolés ou d'amateurs mais bien d'entreprises criminelles organisées voire d'autres états. Ces attaques emploient en effet des technologies sophistiquées pour dissimuler leurs traces dans les journaux de log ou réduire le nombre d «événements auditables» face auxquelles les platesformes SIEM traditionnelles s'avèrent insuffisantes et exigent d'adopter une nouvelle approche de défense. EXIGENCE DE SOLUTIONS PLUS EFFICACES DE GESTION DE LA SÉCURITÉ Face à des menaces si avancées, les équipes de sécurité doivent avant tout identifier les attaques plus rapidement pour ne pas laisser le moindre «temps libre» aux malfaiteurs et prendre les mesures nécessaires pour empêcher qu'elles ne se reproduisent. Selon l'analyse réalisée par RSA, cette nouvelle plate-forme de défense doit intégrer les constats suivants : Les menaces avancées exigent une visibilité intégrale du trafic réseau et des événements journalisés dans la mesure où il est impossible de déjouer les attaques en les analysant isolément. La sécurité est aujourd'hui une problématique «Big Data» pour les analystes du SOC (Security Operation Center) qui ne peuvent identifier les menaces sophistiquées qu'en prenant en compte une considérable volumétrie de données dynamiques exigeant de fusionner des sources d'intelligence internes et externes. Conformité et gestion de la sécurité page 3

Les compromis sont inévitables et il serait illusoire de tenter de résister à toutes les attaques ; il s'agit plutôt de minimiser les dommages et impacts métier en réagissant aussi vite que possible. Pour solutionner ces nouvelles problématiques, des experts de la sécurité se sont tournés vers RSA pour les aider à : Collecter tout ce qui se produit dans l'infrastructure. L'approche traditionnelle consistait à se documenter sur les menaces connues pour déterminer quelles informations événementielles collecter. Elle est aujourd'hui dépassée face à des menaces agiles et avancées qui ne peuvent plus être anticipées et qui exigent une collecte intégrale des événements se produisant dans l'environnement. Identifier les cibles et menaces potentielles. Dans les infrastructures complexes, il est difficile de garder trace des activités de chaque système et d'envisager ses vulnérabilités spécifiques. Cette visibilité exige des outils de collaboration entre équipes sécurité et métier pour identifier les informations, processus et ressources critiques pour rationaliser les mesures de défense. Enquêter et prioriser les incidents. Dans les systèmes d'information étendus, la multiplication des incidents exige que les équipes de sécurité soient guidées pour identifier les plus problématiques. Pour cela, elles doivent disposer d'informations sur leur contexte métier et sur la criticité des processus et systèmes affectés. Gérer les incidents. Le processus de gestion des incidents est en effet complexe : évaluation des dommages, communication, correction, nettoyage, etc. Il exige de coordonner de multiples ressources et équipes transversales informatiques et métier. Les équipes de sécurité doivent désormais s'appuyer sur une structure réactive pour coordonner ces activités et minimiser les dommages métier. LA VISIBILITÉ RÉSEAU EST UN MUST Les menaces les plus avancées sont extrêmement complexes à détecter si ce n'est pas leur «empreinte» réseau lorsqu'elles pénètrent l'environnement avant de s'y propager et d'exfiltrer les données vers la destination prévue. Un système intégral de capture des paquets réseau est indispensable pour : Identifier les logiciels malveillants entrants et prioriser les actions de défense. Les «malware» les plus avancés se présentent comme n'importe quel fichier et seul un système de capture intégrale de paquets permet d'isoler et reconstruire un fichier exécutable et d'automatiser les analyses d'identification des signes d'une activité malveillante. Ce système est également précieux pour prioriser les réponses. Contrôler les mouvements «latéraux» des attaques après intrusion. Après avoir pris pied dans les systèmes d'une entreprise, les attaques tendent à se propager latéralement (d'un point de terminaison à l'autre) en collectant les informations utiles à la phase suivante. L'administration de ces points de terminaison étant rarement centralisée, un système intégral de capture des paquets réseau est indispensable pour superviser de telles propagations latérales. Prouver le déroulement des opérations et identifier les données exfiltrées. Les attaques avancées sont souvent indétectables avant d'avoir commencé ou pire, sont détectées à posteriori. A ce stade, les équipes doivent au moins pouvoir reconstituer leur déroulement pour en évaluer les dommages, identifier les données exfiltrées, connaître leur niveau de cryptage, etc. RSA LA GESTION DE LA SÉCURITÉ DE BOUT EN BOUT La méthodologie de gestion de la sécurité proposée par RSA, repose sur quatre composants clés (voir figure) : Approche «Big Data». Grâce à l'architecture distribuée des solutions RSA, les données de sécurité peuvent être collectées et analysées sur une échelle et avec une volumétrie de changement sans précédent. page 4

Unification des analyses de sécurité. RSA propose une gamme commune d'outils d'analyse des événements prenant en charge l'ensemble des activités analytiques : alerte, reporting, analyse des logiciels malveillants, etc. Couche de gouvernance reliant les analyse de sécurité aux exigences métier. Les solutions exclusives de RSA rationalisent le processus de collecte d'informations métier sur la criticité des processus et systèmes et sur leurs exigences de protection. Actualisation continue des informations d'intelligence des menaces. RSA diffuse constamment des informations actualisées et exploitables sur l'environnement de menaces permettant à ses clients de les anticiper et de les corréler à leur propre environnement. Analytics & Reporting Investigations RSA Security Analytics Data Collection Full packet data collection Archiving Short term archive logs and packets Security reporting and alerting Malware analytics Log data collection Long term archive logs Compliance reporting & forensic analysis Threat Intelligence L'approche globale prônée par RSA présente les avantages suivants : Visibilité intégrale. Le portefeuille de solutions RSA offre une visibilité panoramique de tous les événements se produisant dans l'infrastructure. Capacité illimitée de collecte. Collecte de données de sécurité multitypes et multisources. Visibilité unifiée des réseaux et données de log. Centralisation des données sur les menaces avancées et l'activité utilisateur collectées directement sur les réseaux et systèmes clés. Agilité analytique. Les outils RSA présentent aux enquêteurs des informations détaillées sous un format simple et intelligible. Plate-forme d'investigation accélérée. Des outils intuitifs accélèrent les analyses grâce aux fonctions de zoom et à l'intégration du contexte métier pour une meilleure qualité d information décisionnelle. Reproduction des sessions et analyse hors signature. Ces outils se focalisent sur les utilisateurs et points de terminaison les plus suspects ou névralgiques de connexion à l'infrastructure pour détecter les signes révélateurs d'activités malveillantes. Ils permettent également de restituer et recréer exactement le déroulement des opérations. Intelligence exploitable. L'actualisation constante de l'intelligence des menaces permet aux analystes de sécurité d'optimiser le fonctionnement de leurs solutions RSA en y intégrant des flux de mise à jour permanents. Corrélation entre intelligence des menaces et données collectées. Les outils RSA intègrent des informations propriétaires d'experts de la sécurité à leurs règles, rapports et listes de surveillance pour anticiper les menaces en analysant les données collectées. page 5

Priorisation des actions en fonction du contexte métier. L'intégration d'informations démontrant les relations entre systèmes et fonctions permet de prioriser les réactions. Gestion optimisée des processus. Les produits RSA aident les équipes de sécurité à rationaliser les activités de préparation et de réponse. Technologies et services de gestion du cycle de vie de sécurité et conformité. Ce système de workflow permet de planifier et activer les processus de réponse, de suivre l'état des incidents ouverts et d intégrer les compétences acquises ; il est sous-tendu par des services professionnels de préparation, détection et réaction aux incidents. À PROPOS DE RSA RSA est le premier éditeur de solutions de sécurité, de gestion du risque et de la conformité. En aidant les entreprises à relever leurs défis les plus complexes et les plus critiques en matière de sécurité, RSA contribue au succès des plus grandes entreprises mondiales. Ces défis incluent la gestion des risques opérationnels, la protection des accès mobiles et de la collaboration, la preuve de conformité et la sécurisation des environnements virtuels et cloud. Combinant des contrôles critiques métiers dans la gestion des identités, la prévention des pertes de données, le chiffrement et la tokenisation, la protection contre la fraude, ainsi que le SIEM à des fonctions de GRC et des services de consulting, RSA apporte la visibilité et la confiance à des millions d identités utilisateurs, aux transactions qu elles réalisent et aux données générées Pour plus d informations, veuillez consulter www.rsa.com et www.emc.com. Système intégré de gestion de la sécurité et de la conformité. L'intégration de produits tiers au portefeuille RSA favorise les échanges d'informations avec les différents outils nécessaires pour identifier les incidents, les traiter et rationaliser la conformité. POURQUOI CHOISIR RSA? RSA dispose d'un positionnement unique pour vous aider à atteindre vos objectifs critiques de sécurité : RSA dispose d'un portefeuille incomparable pour solutionner les problèmes causés par les menaces les plus avancées La plate-forme de supervision réseau RSA NetWitness est la seule plate-forme offrant une visibilité complète des sessions réseau et des données de log de toute l'entreprise. RSA NetWitness est la seule plate-forme unifiée d'investigation en temps réel avec détection automatisée des menaces avancées et analyse «jour zéro». La fiabilité de la plate-forme RSA offre une connaissance situationnelle à l échelle de l entreprise à 7 des 10 premières organisations du classement Fortune et à 70 % des agences fédérales américaines. RSA intègre constamment des informations propriétaires exploitables d'intelligence des menaces avancées RSA est un acteur majeur de la recherche sur les dernières menaces et supervise les activités underground d'éventuels pirates. Les équipes de recherche RSA NetWitness Live suivent les activités de plus de cinq millions d'adresses IP et domaines et des centaines de sources d'informations réservées. RSA distribue et actualise dynamiquement toutes les heures sa bibliothèque de contenus via RSA NetWitness Live. RSA solutionne les problématiques de sécurité et de conformité au niveau des hommes, des processus et des technologies. RSA est un leader des services professionnels d'assistance en préparation, réponse et traitement des incidents. RSA offre la seule solution pour prendre simultanément en charge les problématiques informatiques et métier de gestion de la sécurité notamment grâce à son intégration transparente à la plate-forme RSA Archer egrc. La plate-forme unifiée de RSA prend en charge : la gestion de conformité, le traitement des menaces, le suivi des incidents et la continuité métier. www.rsa.com EMC 2, EMC, le logo d'emc, RSA, NetWitness et le logo de RSA sont des marques ou marques déposées d'emc Corporation aux Etats-Unis et dans d autres pays. Tous les autres produits et services sont des marques appartenant à leurs détenteurs respectifs. Copyright 2012 EMC Corporation. Tous droits réservés. Imprimé aux États-Unis.

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back