Post on 03-Apr-2015
Retour d’expérience création d’un service de supervision de sécurité
Stéphane Sciacco
SCE/MOA SI/DS
Février 2008
Groupe France Télécom copyright Orange business
« Décor »
Pourquoi et pour qui un service de supervision de la sécurité ?
Mise en place du service à partir d’une extrapolation d’un modèle formel
Constitution de l’équipe de supervision de la sécurité
Les missions du « SOC »
Liste des processus mis en place
Interfaces du « SOC »
Un exemple
Moyen techniques
Rôle et panorama des MSSPs
Conclusion
Sommaire
Groupe France Télécom copyright Orange business
Le « décor »
Groupe France Télécom copyright Orange business
Service de supervision de la sécurité S(ecurity) O(perating) C(enter)
Service de détection uniquement pas de réaction ni de configuration
Début de la réflexion sur la mise en place du service 2005
Date de création du service 2006
Premier « service » mis en supervision Mi 2006
Groupe France Télécom copyright Orange business
Pourquoi et pour un service de supervision de la sécurité ?
Groupe France Télécom copyright Orange business
Pourquoi / Pour qui ? Pourquoi ?
Un service complémentaire de sécurité pour le projets
Augmente le niveau de sécurité des « projets »
Augmente la confiance
Rationalisations des investissements
Pour qui ? Service pour des activités internes
Service pour des activités externes
Groupe France Télécom copyright Orange business
Mise en place du service à partir d’une extrapolation d’un modèle formel
Groupe France Télécom copyright Orange business
Extrapolation : modèle PDCA
Définition du périmètre de supervision
global
Mise en œuvre
Activité de supervision
Ajustement du service
Groupe France Télécom copyright Orange business
« Boucle d’amélioration »
Pilotage
Analyse de risquesinterne
Collecte desévé nements
Incidents
100% 90% 80% 70% 60% 50% 40% 30%
12
34
5
Qualificationinterne
Collecte desévénementsIncidents
Tableaux de bord
100% 90% 80% 70% 60% 50% 40% 30%
12
34
514, 29 € %
14, 29 € %14, 29 € %
14, 29 € %
14, 29 € %14, 29 € %
14, 29 € %
14, 29 € %
14, 29 € %14, 29 € %
14, 29 € %
14, 29 € %14, 29 € %
14, 29 € %
Gestion de crises
Capitalisation
Plan d'action
Groupe France Télécom copyright Orange business
Constitution de l’équipe de supervision de sécurité
Groupe France Télécom copyright Orange business
Ressources humaines « SOC » type
Un/une responsable 7 personnes minimum pour le niveau 1/2 24/7 5/7 personnes minimum pour le niveau 2/3 HO astreinte Formation conséquente au démarrage de l’équipe
Niveau 1/2 Profil : technicien minimum 1 à 2 ans d’expérience Rôle
• Monitoring des alarmes de sécurité (investigation, qualification)
Niveau 2/3 Profile : Ingénieur minimum 2 à 3 ans d’expérience Ingénierie Expertise incident niveau 2/3 Fournir mitigation sur incident Formation niveau 1/2 Assure test-bed (reproduction nouvelle attaque, veille sécurité,….)
Groupe France Télécom copyright Orange business
Les missions du « SOC »
Groupe France Télécom copyright Orange business
« Poste écoute» de la sécurité
Veille sécurité
S(ecurity) O(perating) C(enter)
Nouvelle vulnérabilité
Projet en supervision
Autre entité sécurité (Lutte anti-virale, Patch management,... )
Alarmes sécurité
Information sécurité
« reconfiguration »
Instance de pilotage
Groupe France Télécom copyright Orange business
Activités du « SOC »
Phase « ingénierie » Mise en place de la supervision de sécurité dans le cadre des services Administration de l’infrastructure de supervision de sécurité Contractualisation avec le responsable du service mis en supervision
Phase récurrente Traitement des événements de sécurité Préconisation et suivi du plan d’action Réalisation des reportings
Groupe France Télécom copyright Orange business
Activité projet supervision sécurité
Quoi mettre en supervision sur le
service ?
Quel solution technique ?
Activité récurrente ?
« Stopper l’attaque »
Analyse de risqueBiens/menaces
IDS, LOG,...
Alertes sécuritéReporting
Les corrections sont faites par des équipes
externe
Groupe France Télécom copyright Orange business
Phase « d’ingénierie »Rédaction du cahier des charges
Analyse de risque formelle ou pas
étude du contexte
expression des besoins de sécurité
étude des menaces
identification des objectifs de sécurité
élaboration des exigences
de sécurité
Identification des biensIdentification des
menaces, méthodes
d’attaques et des vulnérabilités
Mesures détection couvrant les objectifs
de sécurité
Groupe France Télécom copyright Orange business
Phase « d’ingénierie » Réponse technique au cahier des charges
Validation et configuration du type de sonde Validation du type de reporting
Déploiement de la solution Installation, configuration et mise au point des sondes
Administration de l’infrastructures Mise à jour de l’outil de supervision et des sondes
Contractualisation Rédaction et validation du contrat de service entre le SOC et la
MOA/MOE
Durée de la phase « d’ingénierie » 3 mois
Groupe France Télécom copyright Orange business
Phase récurrente : traitement des événements
Qualification des événements Analyse de l’événement qui a activé l’alerte (Logs ou signature) Identification d’un « scénario d’attaque » Suppression du bruit (tunning + nez de l’expert)
Qualification de la criticité d’un événement La notion de criticité permet d’établir une hiérarchisation dans traitement de
l’événement
Criticité d’un événement (sévérité de l’événement, sensibilité bien attaqué en DIC)
Le niveau de sévérité peux être défini à partir des critères suivants:• Facilité de mise en œuvre du scénario d’attaque par l’attaquant• « Dangerosité » (pas de contre-mesure, propagation/amplification,…)• Vulnérabilité (potentielle ou constaté)• Profondeur DiD de 1 à 7• Motivation de l’attaquant
Groupe France Télécom copyright Orange business
Phase récurrente : suite
Notification « client » @IP attaquant @IP, port machine cible Evénements détecté Vulnérabilité de la cible/ événement et impact Plan d’action possible
Préconisation d’un plan d’action Le « SOC » fournit des recommandations Le « SOC » n’intervient pas directement sur l’équipement « attaqué »
Suivi du plan d’action Le « SOC » ne pilote pas le plan d’action Il suit le plan d’action à des fins de capitalisation
Reporting En adéquation avec la demande client
Groupe France Télécom copyright Orange business
Contrat de service 1/2
Définition du périmètre à superviser Inventaires des « biens »
Identification des acteurs et rôles/responsabilités Contact en cas de détection « d’attaques »
Description de la prestation récurrente Mise en place de « délai » de détection fonction de la criticité
Evolution et maintien Surtout fonction de l’expression du besoin
Groupe France Télécom copyright Orange business
Contrat de service 2/2
Réunion de suivi Au démarrage du projet mais aussi en phase récurrente
Durée du contrat Logiquement arrêt à la fermeture du service
Délais de réalisation De la mise en place des sondes
Respect « légaux» Clause de confidentialité
Charge Opex
Groupe France Télécom copyright Orange business
Synchronisation des phases
Analysedu besoin
Etude de faisabilité
Installationconfiguration
Tuning
Politique de sécurité
Cahier des chargesRapport installation
Rapport de tuning
Exploitation
Dossier technique
5 jours 5/10 jours 1 mois
Groupe France Télécom copyright Orange business
Les processus d’un SOC
Groupe France Télécom copyright Orange business
Processus global
Responsable service « SOC »
Expression du bessoin
Solution technique
Processus déploiement
solution Porteur
Processus Supervision
Sécurité
Processus Supervision
Sécurité
Soutien Processus Déploiement
Groupe France Télécom copyright Orange business
De l’expression du besoin au contrat
SOCResponsable service
Demandeur du service Fournisseur
Expression du besoin (CdC)
Analyse de risque
Demande modification
CDC
Cahier des charges
Analyse du cahier des charges
Etude techniqueRéponse au CdC
Validation
Vérification adéquation étude technique / CdC
Demande modification
étude technique
Non
Élaboration / Validation du contrat de service
Validation
Oui
Non
Oui
Groupe France Télécom copyright Orange business
Processus de déploiement
Non
Oui
SOC
Spécifications sonde
Notification fin d’installation
Problème d’installation
Responsable service
Pilotage déploiement
technique
Demandeur du service Fournisseur
Devis détailléPilotage
processus d’achatPilotage livraison /
Réception
Suivi processus d’achat
Installation Hardware – O/S
Plan de câblage / mise en baie
Ouverture des flux
Matrice des flux
Demande soutient
Soutient
Installation logiciel « capteur » et configuration
Notification fin d’installation
Réalisation tests de bon
fonctionnement
Réalisation tests de bon
fonctionnement
Démarrage recette tunning
Information flux Alerte/administration
Groupe France Télécom copyright Orange business
Processus suivi d’incident
Oui
Interlocuteur habilité SOC
Proposition modification signatures
Validation ?
Détection / prise en charge
Qualification
Plan de réaction
Refus modification signatures
Acceptation modification signatures
Rapport de prise en compte
Notification /Préconisations
Faux Positif ?
Acceptation préconisations
Modification Signatures
Non
Non
Oui
Evénement de sécurié
Oui
CapitalisationClôture incident
Reporting MensuelAnalyse reporting
Demandeur du service Fournisseur
Non
Groupe France Télécom copyright Orange business
Les « interfaces »
Groupe France Télécom copyright Orange business
Liste des interfaces 1/2
Un SOC ne doit pas vivre en autarcie Implique une communication entre le SOC et les « processus »
• De veille sécurité
• « De gestion vulnérabilités »
• De gestion de crise
• Des entités non sécurité
• D’autres SOC
• …..
Groupe France Télécom copyright Orange business
Liste des interfaces 2/2
Entité sécurité spécifique
Lutte anti virale
Expert et auditeur sécurité
Patch management
Virtual SOC
Autres entités N(etwork) O(perating) C(enter) Supervision des applications des systèmes d’exploitations
Groupe France Télécom copyright Orange business
Liste des interfacesLe service juridique
Données à caractère personnel • Recueillies et traités dans un cadre d’usage déterminé et légitime
Code du travail• Principe de proportionnalité et traitement sans entraver les droits et libertés
Durée de conservations des événements• En fonction des lois en vigueur
Confidentialité• Données consultés uniquement par les services « habilités »
Principe de transparence• Les employés/partenaires sont informés des objectifs poursuivis et de leurs
droits
CNIL Ces principes peuvent être audité par la CNIL
Groupe France Télécom copyright Orange business
Exemple
Groupe France Télécom copyright Orange business
Détection périmétrique
SITE A
Bien sensible
SITE B
PHASE 1Identification et prise
d’empreinte non pris en compte
PHASE 2Détection d’une tentative
d’attaque20 événements/5000 en base
Génération d’une
notification d’attaque potentiel
Groupe France Télécom copyright Orange business
Les moyens techniques
Groupe France Télécom copyright Orange business
Ressources techniques
SIM/SIEM fonction de base Acquisition des données
• Logs systèmes/application et sonde spécifique• Scanner de vulnérabilité, base d’inventaire
« Corrélation »• « Scénario » d’attaque• Comportemental (déviation par rapport à un modèle stable)• « Environnemental » (inventaire, vulnérabilité)
Reporting• Capacité à générer/visualiser des rapports (ou confié à un outil tierce)
Workflow• Trouble ticketing intégré ou confié à un produit tierce
Asset classification• Positionnent d’un indicateur de criticité
Groupe France Télécom copyright Orange business
Ressources techniques SIM magic Quadrant (Gardner 2007)
Groupe France Télécom copyright Orange business
Ressources techniques Sonde
IDS/ « IPS »• Snort, ISS, juniper,…
Log• Application, système et équipement
Honeypot• Honeyd
…..
Gestion Workflow incident interne Base de connaissance
Plate forme de test SIM/SIEM Sondes Outil audit,…..
Groupe France Télécom copyright Orange business
Les MSSPs
Groupe France Télécom copyright Orange business
MSSPs Services offerts
Monitoring et management des Firewall et IPS
Monitoring et management des IDS
Lutte contre les dénis de service
Management des anti-virus, anti-spam
SIM et SIEM
Management des vulnérabilités
Fourniture de reporting
Groupe France Télécom copyright Orange business
MSSPs Leaders
AT&T• Focus sur les dénis de service• http://www.business.att.com/service_portfolio.jsp?
repoid=ProductCategory&repoitem=eb_security&serv_port=eb_security&segment=ent_biz
BT (rachat de Counterpane)• 3 centre de supervision• http://www.counterpane.com/index.html
IBM (rachat de ISS)• Utilisation du Virtual SOC (Atlanta)• http://www.iss.net/services/managed_services/Virtual_SOC_Portal/service_main_page.html
SecureWorks• 3 centre de supervision• Outil propriétaire Sherlok• http://www.secureworks.com/services/infrastructure/soc.html
Symantec• 6 Centre de supervision 1 certifié ISO 27001• http://www.symantec.com/enterprise/services/overview.jsp?pcid=consulting_services&pvid=security_operation_center
VeriSign • 6 centre de supervision• Outil propriétaire TeraGuard• http://www.verisign.com/managed-security-services/why verisign/expertise/SOC/index.html
Groupe France Télécom copyright Orange business
MSSPs Challengers
Verizon Business • Rachat de Cybertrust (Juillet 2007)• http://www.verizonbusiness.com/us/security/managed/
Unisys• 4 Centre de supervision (security in the box)• http://www.unisys.com/services/security/managed__services/index.htm
SAIC• http://www.saic.com/infosec/mss.html• Travail pour le gouvernement Américain
CSC• http://www.csc.com/solutions/security/offerings/1094.shtml
Geotronics• http://www.getronics.com/global/en-gb/services/security_services.htm
Autre Alcatel http://www.alcatel-lucent.com/wps/portal/solution/detail?LMSG_CABINET=Solution_Product_Catalog&LMS
G_CONTENT_FILE=Solutions/Solution_Detail_000055.xml#tabAnchor1
C&W• 4 équipe (2 -UK 1 -Germany 1-India)
Groupe France Télécom copyright Orange business
Conclusion
Groupe France Télécom copyright Orange business
A retenir…..un service de supervision de la sécurité
C’est surtout Une organisation à mettre en place Des moyens humains
Et au final c’est Globalement un « projet » complexe
Un projet long à mettre en place et en perpétuel amélioration
Une réponse à une expression des besoins des services à mettre en supervision
Attention Ce n’est pas des outils
Groupe France Télécom copyright Orange business
Questions ?
Groupe France Télécom copyright Orange business
Merci
A l’équipe de supervision de sécurité
A vous