Gestion des incidents de sécurité Une approche MSSP
Agenda Présentation du ThreatManagement Center Le rôle d un MSSP dans la supervision de sécurité La gestion d incidents 2
Agenda Présentation du ThreatManagement Center Le rôle d un MSSP dans la supervision de sécurité La gestion d incidents 3
Security Global Competence Center 4
Intrusion Detection Equipements réseaux : commutateurs Pare-feux / IDS Serveurs communs (DNS, DHCP, NTP, AAA) Access Control Changement de configuration des équipements supervisés Authentification des sessions, durée limitée Intrusion physique dans un système Tentative de connexion à un réseau sans autorisation Usurpation d'identité / Abus de droits Vulnérabilités logicielle & de configuration Elément de preuve au sens juridique Interception ou falsification de données métiers confidentielles des utilisateurs des exploitants Accès illégitime applications métiers des administrateurs 5
Utilisateurs Infrastructures Equipe Niveau 1 : Gestion des incidents Gestion des problèmes Gestion des configurations Gestion des demandes 8 analystes*, (24/7) Supervision sécurité 24/7 Intervention sur consigne ou alerte provenant de la supervision Enregistrement des incidents, analyse de premier niveau, gestion de la sécurité Niveau 1 Equipe Niveau 2 : 9 experts*, Astreintes Experts sécurité HO/JO + astreinte Toute opération escaladée par le niveau 1 nécessitant une forte expertise sécurité. Investigation, gestion des incidents, crise. Niveau 2 CERT R. Client Constructeurs, éditeurs, distributeurs, équipe en back office Niveau 3 * Equipe type sur réseau de dimension multinationale 6
Agents Syslog, Windows, LEA, SQL Infra mutualisée TMC Centre de pilotage Concentrateur Collecteur Agents Syslog, Windows, LEA, SQL Interconnexion Infra mutualisée TMC Concentrateur Collecteur 7
Collecteur d événements Windows Corrélation, escalade, recorrélation, règles d exclusion Exécution de scripts Gestion des alertes, pondération, calcul de risque PC et serveurs Windows Renvoi en syslog Envoi sécurisé via SCP Génération d alertes Outils d analyse Autres serveurs Equipements réseau Syslog, SMTP, SNMP, RDEP, connecteurs de bases de données, fichiers plats, etc. Pré-traitement : parsing, normalisation, classification, priorisation, préfiltrage éventuel Envoi sécurisé via SCP Mise en base des logs parsés, archivage des logs bruts et parsés (pour rejeu) Données environnementales pour enrichissement Mise en base des alertes Présentation des données Affichage des alertes Tableaux de bord, rapports Visualisation des alertes Gestion d incidents 8
Agenda Présentation du ThreatManagement Center Le rôle d un MSSP dans la supervision de sécurité La gestion d incidents 9
Les TMS aujourd hui c est : Un peu moins de 2500 équipements supervisés pour 14 Clients 5 milliards de lignes de logs par jour Un archivage brut et scellé Un préfiltrage de pertinence Un outil d agrégation, de taxonomie et de (re)corrélation générant en moyenne: 50 alertes (jour) -> (prétraitement N1, faux positifs, alertes déjà en cours, etc.) 5 escalades N2 (jour) 3 familles d indicateurs Métrologie pertinence tendanciel 17 investigations «cliniques»(mois) -> missions spécifiques forensics/réquisition/demande particulière 10
Indicateurs de type «Métrologie Sécurité» Service àvocation technique qui permet de donner des tendances et de faire du capacity planning macroscopique et de l ajustement de seuils. Volumétrie de base par exemple: accept/deny nombre d événements pics d activité etc. Volumétrie sur alertes: Permet de voir le bruit de fond Anticiper une réévaluation de seuil 11
Indicateurs de type «Pertinence» Service plus complexe et relativement consommateur de charge à l implémentation et en maintien. Ce service veille àla bonne prise en compte du contexte global autour de l équipement (segmentation, @IP, stratégie de sécurité, etc.) moins que l équipement lui-même. L idée est de corréler les journaux des équipements périphériques (àun équipement concerné) àson contexte et d identifier quel est son niveau de porosité(fait il bien son travail?). 12
Indicateurs de type «Pertinence» Exemples : deux firewalls remontent des demandes d authentifications avec le même UID. Un firewall et un proxy mandatory: le firewall remonte des journaux de connexion directe en http depuis l environnement bureautique, etc. - >problème de mauvaise redirection ou configuration en bureautique? le firewall remonte des tentatives de connexion sur des sites libidino-ludiques en provenance du proxy -> le proxy n est plus correctement configuréet ne dispose plus de ses blacks lists, 13
Indicateurs de type «Veille tendancielle» Service àhaute valeur ajoutée. Permet d intégrer des règles de tendances sur une actualitésécurité. C est un service alimentépar la veille technologique qui en fonction d une tendance associée àune signature d attaque va permettre de faire du reportingsur un niveau d exposition. Par exemple: Nouveau vers se propageant sur port 80 -> identifier s il y a une augmentation significative de paquets TCP/80 (firewall) Risque facebooktype click jacking-> surveillance spécifique des patterns type sur les proxys Comme l actualitéchange, le service est en perpétuelle évolution, il faut se restreindre à 1 voire 2 corrélations de ce type sur une fenêtre glissante. Contraintes:nécessite parfois des modifications de configuration (journalisation spécifique, etc.) 14
Agenda Présentation du ThreatManagement Center Le rôle d un MSSP dans la supervision de sécurité La gestion d incidents 15
Qu est ce qu un incident de sécurité? RFC 2828 : «A security event that involves a security policy violation» POLSEC IT behavior 16
Services de prévention Cert-IST : Veille & assistance sur incident Gain de temps pour les équipes sécurité Les acteurs sont ciblés s : «Trop d information tue l information» Confiance Véracité et complétudes des informations Les produits sont ciblés Qualification du risque Garantie de la confidentialité des informations "privées" Les clients sont accompagnés Les services s incluent dans les workflow de l entreprisel Indépendance : garantie de l'objectivité Expertise reconnue en traitement d incidents de sécurité 17
Quelques exemples! Glissement dans les usages d un opérateur Trafic libidino ludique Rejeu de paquets multicasts 18
Le véritable rôle d un MSSP 1. Centralisation et archivage des logs Enregistrement conforme aux réglementations en vigueur et normes du Client 2. Analyse des journaux, corrélation et détection d incidents de sécurité Agrégation, corrélation, contextualisation des événements collectés Qualification & génération d alerte sur attaques ou vulnérabilités avérées 3. Vérification du niveau de sécurité en temps réel Analyse des alertes du Cert-IST, qualification de la menace sur les systèmes du Client Analyse et fourniture d un avis sur des changements opérés par le Client 4. Gestion des incidents de sécurité(proposition & suivi de plans d actions) Description de l incident, des risques, proposition de mesure palliative Suivi des opérations effectuées par les exploitants 5. Mise à disposition de rapports et tableaux de bords Consolidation des alertes et des incidents sous forme d indicateurs pertinents Consolidation des alertes et des incidents sous forme de rapports réguliers 6. Investigation à posteriori (à la demande) Rejeu, enquête 19
Gestion de crise Perte de l univers de référence Activation d une cellule d expertise (N2, PM, Cert, Client) Outillage (procédures, moyens humains et techniques, information àdétenir, plan de communication) Diagnostic et investigation (qualification, quantification) Cercle vertueux (situation, évolution, tache à effectuer) Retour àla normale Forensics Analyse post mortem Une équipe d astreinte 24/7/365 20