Conception d'un projet SIEM 1
Sommaire 1 Le contexte 2 Les logs 3 L approche fonctionnelle 4 La conception d un projet 5 Les risques d échec d un projet SIEM 2
1- Le contexte 3
La complexité des SI Les Systèmes Informatiques sont de plus en plus vastes et hétérogènes : Applications (Exchange, Lotus Notes, ) Échanges Transactions Utilisateur BYOD Il est devenu pratiquement impossible d analyser les journaux de toutes ces «sources» sans outils adaptés 4
Analyse de Logs le suivi des traces L analyse de Logs est une technique cherchant à donner un sens à des enregistrements générés par un ordinateur (aussi appelés logs, audit trails record ou encore journaux d évènements en français). Le processus de création de ces enregistrements s appelle le data logging (ou enregistrement de données). Les raisons : Conformité avec les politiques de sécurité Conformité à des audits ou une réglementation Troubleshooting Forensics (enquêtes ou réponse à une assignation) Réponse aux incidents de sécurité Centralisation 5
Objectifs de l analyse de logs Réagir rapidement mais aussi plus efficacement Réduire les vulnérabilités du S.I et protéger la continuité de service Réduire la baisse de la bande passante Contrôler la productivité Eviter la divulgation d information (Propriété Intellectuelle) Se protéger contre le risque d engagement de la responsabilité civile Se protéger contre le risque pénal Eviter la mise en cause de l image de l entreprise Collecter des preuves en cas de litige Etre en conformité avec les obligations juridiques Quelques chiffres 70% du trafic pornographique sur Internet a lieu entre 9/17h. 74% du trafic radio par Internet a lieu aux heures de bureau 77% de l utilisation d Internet au bureau est consacrée à un usage non professionnel Pour un salaire cadre moyen de 4850 brut mensuel, la perte annuelle par collaborateur due à l utilisation non professionnelle d Internet s élève à 8730 (INSEE 2005) Suivi de l activité des composants du SI et aide aux décisions d évolutions Suivi de visites de sites marchands Suivi de production 6
2 Les logs 7
Les Logs Les Logs sont émis par des périphériques réseau, des systèmes d'exploitation, des applications et plus généralement par toutes sortes de dispositifs intelligents programmables. La syntaxe et la sémantique des données dans les messages du journal sont généralement spécifiques au fournisseur. La terminologie peut également varier, par exemple, l'authentification d'un utilisateur à une application peut être décrite comme un login, logon, une connexion utilisateur ou comme un événement d'authentification. Par conséquent, l'analyse de Logs doit interpréter les messages dans le même contexte afin de faire des comparaisons utiles aux messages provenant de sources différentes. 8
Des logs différents 9
La limite des Logs Les Logs permettent de voir beaucoup de choses, des connexions à Internet, jusqu'au contrôle des lecteurs de pointage ou d'accès de l'entreprise, mais peuvent représenter des volumétries très importantes (plusieurs giga voir dizaine de giga octets par jour). La DSI, en accord avec la Direction Générale, devra définir avec précision les informations recherchées et ce dans quel but, sous peine de se trouver noyée sous un flux qu'elle ne pourrait traiter et qui s'avèrerait donc inutile. ATTENTION : Pour que l information puisse être enregistrée et traitée : Il FAUT qu elle soit contenue dans le Log! 10
1 1 3 L approche fonctionnelle 11
Les outils d analyse de Logs 3 types de solutions : Le SIM : Security Information Management, qui gère les informations de sécurité du système d information de l entreprise. Il vise à faciliter les contrôles de conformité aux réglementations et politiques de sécurité, la gestion des menaces internes. Il permet de mieux présenter les activités de sécurité aux auditeurs internes et organismes de certification. Le SEM, Security Event Management, qui gère les évènements de sécurité pour améliorer les capacités de réaction aux incidents de sécurité et faciliter leur traitement en temps réel. Le SIEM, Security Information and Event Management, qui regroupe les deux notions précédentes pour offrir une seule et même interface. 12
Objectifs d un SIEM 1 3 Objectifs : Vérifier le niveau de protection du SI Fournir des éléments graphiques d analyse pertinents Améliorer la gestion des risques Contrôler la vulnérabilité Protéger (pare-feu, IDS, anti-virus) Principe de fonctionnement Collecte des logs sécurité/réseau en environnement hétérogène Centralisation, normalisation et consolidation de l information Analyse à partir de requêtes paramétrables Corrélation d événements Génération et diffusion automatique de rapports Déclenchement d alarmes et de scripts Activité restituée sous forme de graphique 13
Fonctionnement Le SIEM est le point central pour analyser les journaux et autres données de sécurité des équipements, des applications, des systèmes d'exploitation, etc. 14
Fonctionnement Le SIEM est un ensemble de composants, indépendants les uns des autres (chacun effectue une tâche spécifique) mais si un seul de ces composants ne fonctionne pas, c est l ensemble du système qui est bloqué. Source Collecte des logs Découpage / Normalisation Règles Corrélation Alertes et alarmes Monitoring Reporting Archivage Sources : Equipements générant des journaux d évènements 15
Sources Il est difficile d évaluer la quantité de logs générés chaque jour par les équipements en fonction du nombre d utilisateurs (différence entre les jours et les périodes). Par exemple, le fait d ouvrir un explorateur internet et de regarder ses mails génère des journaux d évènements sur une multitude d équipements : la machine de l utilisateur, les routeurs, les switch, le pare-feu que l utilisateur va traverser pour joindre le site web, puis le site web qui contient le mail luimême. Tous ces équipements vont générer des journaux d évènements permettant de savoir par où l utilisateur est passé, ce qu il a fait, et à quelle heure. Les équipements sources* vont enrichir le SIEM avec des informations. *Un équipement source peut être un équipement (PC, Routeur, Switch, Firewall), une application, ou tout autre type de données qui peuvent être surveillées. Bien que n étant pas un composant en soi du SIEM, celui-ci ne pourrait fonctionner sans ces sources de logs. 16
La collecte 1/3 La première étape du processus d exploitation des logs est la collecte. Les mécanismes de récupération diffèrent suivant les SIEM utilisés, mais les procédés de collecte de logs peuvent se séparer en deux méthodes : active et passive. L objectif est de s adapter aux modes de générations et donc de collectes offerts par la source. 17
La collecte 2/3 La méthode active (pull method) La méthode active implique que le SIEM doit aller chercher l information. Un exemple de ce type de collecte est le stockage des logs sur un partage réseau (serveur de logs). Le SIEM doit établir une connexion au partage réseau en utilisant un identifiant auprès du partage, puis copier les logs. Inconvénient : avec certaines de ces méthodes (en particulier la collecte de fichiers), les logs n arriveront pas en temps réel. Exemple de protocole «actif» : WMI FTP, SFTP, SCP SQL, JDBC OPSEC LEA 18
La collecte 3/3 La méthode passive (push method) La méthode passive a l avantage de faciliter la mise en place et la configuration du SIEM. Il suffit d un récepteur (le SIEM) et de pointer l envoi des logs vers ce récepteur. Inconvénient : à prendre en compte avec l utilisation de UDP (Protocol non-orienté connexion) : un paquet perdu est perdu! De plus, un utilisateur malveillant pourrait dans ce cas envoyer de faux journaux d évènements dans le SIEM. C est pourquoi il est impératif de bien délimiter le périmètre de l application et de mettre en place des contrôle d accès. Exemple de Protocol «passif» : Syslog TCP/UDP 514 SNMP UDP 161/162 19
Le découpage 2 0 Découpage : les journaux d évènements natifs (propres à chaque constructeur) sont découpés pour faire apparaître les éléments unitaires d'information (exemple : l'adresse IP source, l'ip destination, le port source, le port destinataire) Ceci se fait : Par des parseurs natifs Par des expressions régulières Par des parseurs adaptables Par des parseurs développables 20
La normalisation 2 1 Normalisation : journaux d évènements natifs (propres à chaque constructeur) reformatés en un format unique Time Date Source Device IP Address Event Message Event ID 22:54:53 CST 17-Jan-10 192.168.1.1 User login ASA-sys-6-605005 22:54:53 CST 17-Jan-10 192.168.1.18 User login Security : 680 Exemple : 21
La corrélation 1/2 2 2 Corrélation / règle : Le moteur de règle permet de créer des règles dont le but est d avertir l administrateur d une attaque sur le réseau. Exemple : règle qui déclenche une alarme quand un utilisateur se connecte à distance sur un serveur avec des droits administrateur Alerte : «Connexion Administrateur à distance» oui oui User Login UserId :root Est-ce une connexion à distance oui L utilisateur est-il administrateur? non L utilisateur est-il root? non Terminer le processus non 22
La corrélation 2/2 Corrélation / Règle : Le but du moteur de corrélation est de faire correspondre plusieurs événements standards à partir de sources différentes dans un unique événement corrélé. La corrélation permet de simplifier les procédures de réponse aux incidents, en montrant un seul événement qui a déclenché de multiples événements à venir, à partir d'appareils provenant de diverses sources. Time 10:20:01 CST 10:20:02 CST 10:20:03 CST 10:20:04 CST 10:20:05 CST 10:20:06 CST 10:20:07 CST 10:20:08 CST Event Number Source Destination Event 1700 192.168.1.1 192.168.1.20 0 Failed login 1701 192.168.1.18 10.10.5.24 Successful login 1702 192.168.1.1 192.168.1.20 0 Failed login 1703 192.168.1.98 10.10.10.2 Successful login 1704 172.16.100.3 172.16.100.1 Successful login 1705 192.168.1.34 10.10.10.2 Failed login 1706 192.168.1.34 10.10.10.3 Successful login 1707 172.16.1.27 10.10.5.24 Successful login 2 3 10:20:09 CST 1708 192.168.1.1 192.168.1.20 0 Failed login 10:20:01 CST 1709 192.168.1.1 192.168.1.20 0 Successful login 23
Corrélation pragmatique Un utilisateur se connecte pendant 10 secondes toutes les 30 minutes (à peu près) Une session HTTPS sortante est établie à partir d un serveur Web Un utilisateur s est connecté au niveau système d exploitation sur un Proxy Le nombre de destinataires mail a augmenté de 30% en 24 heures Le nombre d envois de mails par un utilisateur augmente très significativement en une heure Un utilisateur se connecte sur le VPN SSL alors qu il a badgé dans l immeuble Un utilisateur (parmi 50 000) consomme 1% de la bande passante Internet Login privilégié (Administrator, root ) sur nouveau poste, à des heures étonnantes 24
L archivage 1/3 Archivage : Pour utiliser les logs récoltés, Le SIEM a besoin de les stocker pour des raisons de rétention afin d avoir un historique, si l administrateur a besoin de regarder ce qui s est passé quelques heures ou jours avant une attaque. Temps de rétention par équipement ou par type d équipement Gestion de millions d événements par seconde Garantie l intégrité et la disponibilité des logs Preuves recevables par un juge Architectures distribuées 25
L archivage 2/3 Durée de rétention 26
L archivage 3/3 Hash et signature Les solutions SIEM sont utilisées également pour des raisons juridiques et réglementaires. Un archivage à valeur probante permet de garantir l'intégrité des traces. Les solutions peuvent utiliser des disques en RAID, calculer l'empreinte, utiliser du chiffrement ou autre pour garantir l'intégrité des traces. 27
L exploitation des données 1/2 Monitoring : Le dernier composant d un SIEM est la façon d interagir avec les logs après qu ils ont été collectés, normalisés, corrélés, et stockés. Une interface console (web ou applicative) permet aux personnes s occupant de la gestion des incidents d avoir une unique vue de tout l environnement. Elle permet de voir les logs, de créer des règles, d afficher des rapports, de personnaliser le SIEM, etc. Elle peut être définie comme une interface d une base de données où l utilisateur peut utiliser le langage interne du SIEM pour créer des requêtes permettant d accéder aux informations. 28
L exploitation des données 2/2 Tableau de Bord : - Vision temps réel de l activité du SI Rapport : - Vision à posteriori de l activité (en général à j+1) 29
Rapports prédéfinis La plupart des solutions proposent des rapports prédéfinis, mais aussi de pouvoir créer ses propres indicateurs, tableaux de bord et rapports. 30
Des rapports opérationnels Identification des PCs effectivement infectés après décontamination Les Anti-virus enlèvent uniquement les vecteurs: si un virus a été activé, l agent contaminant n est pas enlevé, seul le vecteur est supprimé Corrélation entre décontamination et activité précédente sur les proxy sortants et FW Liste des pages web cibles d attaques La mise au point de scripts de type «cross site-scripting» génère un trafic typique identifiable par les logs sur une période de temps d environ deux jours Corrélation dans le temps sur pages web demandées répétitivement par une même adresse IP avec une fréquence rapide Rapport d activité d utilisation Internet Suivi de productivité, protection propriété intellectuelle, identification de postes contaminés par un ver, tentative de backdoor (le less 5 est souvent plus intéressant que le top 5) 31
4 - L organisation d un projet 32
Les étapes du processus Phase 1 Phase 2 Phase 3 Phase 4 Phase 5 La définition du besoin L installation La création des indicateurs Automatisation de la détection La mise en production 33 33
La mise en œuvre d un projet La définition des besoins La mise en production L installation Automatisation de la détection La création des indicateurs 34 34
La définition du besoin Phase 1 Phase 2 Phase 3 Phase 4 Phase 5 La définition L installation du besoin L installation La création des indicateurs Automatisation de la détection La mise en production 35 35
Les raisons d un projet SIEM Conformité (PCI, ISO, politique de sécurité, etc.) Mesure de l efficacité des référentiels de sécurité Identification des incidents de sécurité Centralisation et archivage légal Solution «maison» difficile à maintenir Enquête et recherche de disfonctionnement 36
Phase 1 : Bilan de l existant, synthèse des besoins 3 7 INTERNET Nombre de Spam Cisco IronPort Websense Nombre de page web bloqué Surveillance code malveillant, pattern virus, SPAM, tunneling Mirroring du port Internet Monitoring du Flux Internet Check Point WAN Surveillance code malveillant, pattern virus, SPAM, tunneling Collecte des logs et des flux Vers le SIEM Identification du trafic non autorisé Check Point LAN Collecte des logs et des flux 2 U Vers le SIEM Transfert des données SIEM vers le TDBS SIEM Collecte des logs Vers le SIEM IBM AiX Bases de données Oracle, MSQL, DB2 Contrôle d accès AS 400 Contrôle d accès Bases de données Contrôle d accès compte AD WAN Tableau de Bord Sécurité Console d administration SIEM Windows Server 2003/2008 Contrôle d accès Serveur IIS LAN 37
Description des étapes : Phase 1 La volumétrie engendrée Le niveau de criticité de ces logs Niveau juridique (archivage légal, non altération, non répudiation, ) Niveau SI métiers ou d infrastructure (confidentialité, intégrité, disponibilité, ) Les traitements actuels réalisés sur ces logs et leurs fréquences : Centralisation ou non Archivage brut / légal Traitement par une solution d analyse de logs du marché (à préciser) Traitement par un mécanisme développé en interne Altération ou non des logs bruts (filtrage, agrégation, normalisation, enrichissement, corrélation, ) L exploitation faîte actuellement sur ces logs : Emission d alerte (en temps réel ou différé), sur critères, Rapports de pilotage journaliers, hebdomadaires, mensuels, Indicateurs / rapports destinés à la DSI, au RSSI, aux ingénieurs sécurité, aux ingénieurs systèmes et réseaux, aux exploitants, 38
Description des étapes : Phase 1 Méthodologie : Exploiter les documents internes existants Recouper, modifier ou compléter ces informations lors des séances de travail avec les personnes du SSI Obtention de renseignements par inspections directes des équipements sources ou échantillons de logs (si possible) Une fois ce travail effectué de nouveaux besoins doivent/peuvent se faire ressentir 39
L installation Phase 1 Phase 2 Phase 3 Phase 4 Phase 5 La définition du besoin L installation L installation La création des indicateurs Automatisation de la détection La mise en production 40 40
Phase 2 : l installation La configuration des périphériques : (niveau de Logs, verbosité ) Le paramétrage de la collecte (entre les périphériques et l analyseur de logs) Le paramétrage de l exploitation (conservation des logs, rapports basiques) 41
Phase 3 : la création des indicateurs Phase 1 Phase 2 Phase 3 Phase 4 Phase 5 La définition du besoin L installation L installation La création des indicateurs Automatisation de la détection La mise en production 42 42
Phase 3 : la création des indicateurs (1/4) Etude, définition et création des indicateurs : Quotidien (étude et création de procédures) Hebdomadaire (définition de tendances) Mensuel (suivi macroscopique de l activité) 43
Phase 3 : la création des indicateurs (2/4) L activité à mesurer (quantification de l activité normale / anormale) Sur l activité entrante Sur l activité sortante À l intérieur de la ou des zones démilitarisées Les domaines à étudier et à mesurer Les refus de connexion (firewall, OS, HTTP, ) Les suivis d authentification (firewall, VPN, OS, ) Les erreurs de fonctionnement (HTTP ) Les alertes (antivirus, sonde, ) La métrologie sur les services, les serveurs, les utilisateurs Les rapports d analyse détaillés Les alertes intéressantes à étudier dans le cas présent Catégories d alertes (déni de service, prise de contrôle, privilèges, ) Cibles des attaques (serveur, réseau, application, ) Niveau de gravité (catégorie/cible) 44
Phase 3 : la création des indicateurs (3/4) Quel type d activité des serveurs doit être étudié? Quels services? Que doit-on étudier sur les utilisateurs? 45
Phase 3 : la création des indicateurs (4/4) Les enseignements Vérification de la politique de sécurité Détection d erreurs de paramétrage Correction des anomalies détectées Identification des indicateurs semblant les mieux adaptés à la surveillance de la sécurité du Système d Information 46
Phase 4 : Automatisation de la détection Phase 1 Phase 2 Phase 3 Phase 4 Phase 5 La définition du besoin L installation L installation La création des indicateurs Automatisation de la détection La mise en production 47 47
Phase 4 : Automatisation de la détection Après une étude précise des indicateurs, l automatisation de l obtention des indicateurs devient possible : Rapports pré programmés Alarmes Tableaux de bords Scénario de corrélation 48
Phase 5 : la mise en production Phase 1 Phase 2 Phase 3 Phase 4 Phase 5 La définition du besoin L installation L installation La création des indicateurs Automatisation de la détection La mise en production 49 49
Phase 5 : la mise en production Après optimisation en phase 4 de la détection (suppression des faux positifs, réduction des alertes, ), l ensemble peut être mis en production. 50
5 Les risques d échec d un projet SIEM 51
Avantages / Inconvénients Avantages liés au SIEM Contrôle en temps réel de l activité Analyse périodique Permet de détecter des attaques avancées Permet de faire des analyses forensics et de collecter des preuves Le SIEM est un système «intelligent» Difficultés liées au SIEM Projets SIEM non prioritaires Dimensionnement imprécis Sans configuration et sans optimisation, le SIEM ne sert à rien En cas "d inondation" d alertes, cela génère de la frustration Possibilité d avoir des faux positifs 52
Les facteurs de réussite / Les risques Facteurs de réussite : - Engagement des équipes et de la direction - Architecture adaptée aux capacités techniques des outils - Approche fonctionnelle adaptée Facteurs de risques : Manque d implication des instances dirigeantes (criticité du projet) Manque d engagement des équipes Choix technique impossible Choix fonctionnels inadaptés 53
Contacts Laurent NOE laurent.noe@oikialog.com 06-61-16-83-97 Paris 54, rue de Bitche 92400, Courbevoie Tél. : +33(0)1 43 34 09 04 Lyon 23, rue Renan 69007, Lyon Tél. : +33(0)4 78 95 23 87 PACA 3, rue du marché 06140, VENCE Tél. : +33(0)9 52 16 62 41 contact@oikialog.com