Sécurité des infrastructures

Sécurité des infrastructures P. Pleinevaux, IBM GTS 2012 IBM Corporation

Sécurité des infrastructures L approche Les principes Les processus Les nouvelles approches 2

L approche prônée par l ISO repose sur la mise en place d un système de management de la sécurité ISO 27001 SMSI Système de Management de la Sécurité de l Information Inspiré par ISO 9000 Security Policy Approche processus Personnel Security Cycle de «Deming» (Shewhart) pour l amélioration continue: PDCA Le processus au cœur de l ISMS est la gestion des risques ISO 27002 11 domaines de sécurité Security policy Asset management Organizational System information security Access AssetHuman Development resources security Control Classification Access control and and Control Communications Maintenance and operations Info systems acquistion, dev, maintenance Physical and environmental security Business continuity management Business Incident management Continuity Compliance Planning Compliance V1 (BS7799) en 1995, v3 (27002) en 2005 3

Une approche IBM pour définir l architecture de sécurité 4

Sécurité des infrastructures L approche Les principes Les processus Les nouvelles approches 5

Principe 1 Zones de sécurité et segmentation en enclaves Internet Edge LAN Public DMZ Financial Information Services Other suppliers Remote sites Management access BACKBONE Private enclave Users Users Users Pourquoi segmenter - Ralentir la progression - Limiter l accès aux vulnérabilités - Zone utilisateurs pas sous contrôle Zones de sécurité - rouge, orange, jaune, vert, bleu DC 2 General purpose servers DC 1 To Management access DMZ Authentication servers DRBD replication V-Motion To Management access DMZ To Management access DMZ Enclaves = VLAN Nagios Nagios Stepping stone Management backbone 6

Zone utilisateurs - Sécurisation du poste de travail Les attaques par codes malicieux passent par les postes de travail - Surf web, emails, media portables (clés USB, CD, etc.), etc. Les points importants pour réduire les risques d attaques réussies: Desktop / laptop / server endpoint - Privilèges minima: pas droits administrateur, pas de jailbreak - AppStores: Sources fiables de codes d applications (éviter les chevaux de Troie) - Patching de l OS, du browser, de Java, des applications (Adobe, etc.) - Sensibilisation des utilisateurs Tablettes, Smartphones 7

Principe 2 - Visibilité L objectif est de détecter les menaces et de les suivre jusqu à la fin de leur traitement Solutions pour augmenter la visibilité - Logging et aggrégation des logs dans un SIEM (Security Information & Event Mgt) - Détection d intrusion au niveau réseau ou hosts (serveurs, postes de travail) - Solutions de type Nexthink au niveau du poste Utilisation d information de contexte - Vulnérabilités des serveurs et postes - Réputation des adresses IP, des URL, etc. (intelligence feeds) 8

Les flux d information sécurité aident à la détection des menaces 9 9

Les managed services permettent l agrégation des logs, donnent visibilité et support par des spécialistes 10 10

Sécurité des infrastructures L approche Les principes Les processus Les nouvelles approches 11

La sécurisation ne se limite pas à la mise en pace de mesures techniques mais inclut les processus qui les gèrent Ports utilisateurs Intranet Ports d administration Système Portes grandes ouvertes Portes dérobées (Backdoors) Attaquant Vulnérabilités du code ou config DMZ Internet 12

L approche choisie pour la sécurisation définit la répartition entre prévention, détection et capacité de réponse, répartition qui est propre à chaque entreprise Prévention Gestion des accès: qui a droit d accéder à quoi avec quels privilèges, avec des mots de passe solides Gestion des vulnérabilités: Identifier, analyser et corriger les vulnérabilités Filtrage et contrôle des communications avec les firewalls Blocage des codes malicieux: en périmètre et dans l infrastructure Détection Surveillance des accès: qui a accédé quelles ressources Surveillance des communications: sources, destinations, protocoles Surveillance des codes malicieux: en périmètre et dans l infrastructure Réponse Gestion des incidents: analyser, répondre, récupérer Blocage des accès: qui a accédé quelles ressources Blocage des communications: sources, destinations, protocoles L art du responsable sécurité assisté d un architecte sécurité est de répartir de manière adéquate les coûts entre prévention, détection et capacité de réponse 13

Gestion des vulnérabilités techniques Vulnérabilités: de programmation, de configuration, de design, d architecture, de processus ou procédure >> La gestion des vulnérabilités ne se réduit pas au patching << Processus de gestion des vulnérabilités Monitoring du processus (performances, fiabilité, etc.) Identification Scans, Revue manuelle Connaissance Analyse Sévérité Relevance Décision Correction, Compensation, Status quo Implémentation Correction, Compensation, Status quo Assurance Validation Tests 14

Sécurité des infrastructures L approche Les principes Les processus Les nouvelles approches 15

La détection d intrusion reste une technique utile pour les menaces avancées Powered by X-Force Virtual Patch Client-Side Application Protection Web Application Protection Threat Detection & Prevention Data Security Application Control What It Does: Shields vulnerabilities from exploitation independent of a software patch, and enables a responsible patch management process that can be adhered to without fear of a breach Why Important: At the end of 2010, 44% of all vulnerabilities disclosed during the year had no vendor-supplied patches available to remedy the vulnerability. What It Does: Protects end users against attacks targeting applications used everyday such as Microsoft Office, Adobe PDF, Multimedia files and Web browsers. Why Important: At the end of 2010, vulnerabilities which affect personal computers, represent the second-largest category of vulnerability disclosures and represent about a fifth of all vulnerability disclosures. What It Does: Protects web applications against sophisticated application-level attacks such as SQL Injection, XSS (Cross-site scripting), PHP fileincludes, CSRF (Crosssite request forgery), LDAP Injection. Why Important: Expands security capabilities to meet both compliance requirements and threat evolution. What It Does: Detects and prevents entire classes of threats as opposed to a specific exploit or vulnerability. Why Important: Eliminates need of constant signature updates. Protection includes the proprietary Shellcode Heuristics (SCH) technology, which has an unbeatable track record of protecting against zero day vulnerabilities. What It Does: Monitors and identifies unencrypted personally identifiable information (PII) and other confidential information for data awareness. Also provides capability to explore data flow through the network to help determine if any potential risks exist. Why Important: Flexible and scalable customized data search criteria; serves as a complement to data security strategy. What It Does: Manages control of unauthorized applications and risks within defined segments of the network, such as ActiveX fingerprinting, Peer To Peer, Instant Messaging, and tunneling. Why Important: Enforces network application and service access based on corporate policy and governance.

Les choix faits par Fidelis pour la lutte contre les fuites de données Threat Source Command and Control System Drop Site Infiltration Communication (Cmd & Ctrl) Exfiltration Malware Detection Engine Information feeds (IP, URL reputation) Sensitive Content Detection Propagation 17 17

Merci 2012 IBM Corporation