Orange
Les progrès réalisés par l’entreprise à travers la mise en œuvre d’un Centre de Supervision de la Sécurité
Stéphane SCIACCO Direction de la sécurité
Orange Business ServicesNovembre 2013
Page 2Orange
AGENDA
1. Introduction
2. Description d’un service de supervision de sécurité
3. Apports
4. Evolutoin de la maturité
5. Coûts
6. Externalisation
7. Conclusion
Page 3Orange
Introduction
Page 4Orange
Problème, besoins et enjeux
• Le problème n’est pas :• « De savoir si nous allons nous faire attaquer MAIS de détecter
quand cela va se produire »
• besoins identifiés par la direction de la sécurité du groupe :• Renforcer la sécurité
• Des réseaux d’entreprise • Des plates-formes de service
• les enjeux pour Orange :• Protéger l’image de marque Orange• Protéger les biens sensibles
OIV
• Autres « besoins »
Page 5Orange
SOC ?
Page 6Orange
Définition
• Une vision d’un S(ecurity)O(perating)C(enter)• Ce n’est pas une équipe dont l’activité consiste à :
• Configurer des équipements de sécurité,• Assurer le « monitoring » système ou réseau,• Réaliser des reportings.
• C’est un service qui (pour nous) : • Fournit des moyens de détection d’attaque,• « reçoit » et qualifie des événements de sécurité,• Délivre des plans de réaction.
• Un SOC pour cette présentation = • Centre de détection/qualification des événements de sécurité
Page 7Orange
Modélisation d’une attaque
Page 8Orange
Renseignement
DéploiementExploitation
«Représentation d’une attaque »
• Etapes d’une attaque
DETECTIONPrise d’empreinte
Fuite information
Dépôt code malicieux
Page 9Orange
Périmètre de supervision sécurité
Page 10Orange
Scope de supervision
• Types de services en supervision de sécurité
Supervision sécurité
« infrastructure»
Supervision sécurité
« applicative »
Réseau Backbone
Zone d’administration
Servicesdata
Zoned’hébergement
Page 11Orange
Trame de création du service
Page 12Orange
Création d’un service de supervision de la sécurité• Processus et choix critiques
Processu
s
• Processus de spécification et réponse à l’expression du besoin de supervision
• Processus de traitement des alertes
Gouvernan
ce
• Processus de de sélection des services à superviser (priorisation)
Humain
• Recrutement idéalement profil ingénieur sécurité• Plan de formation sécurité (test d’intrusion, capteurs, SIEM,…..)
Outillage
• Choix de capteurs de sécurité• Choix de l’outil de corrélation/visualisation des alertes
Page 13Orange
« Processus » de mise en supervision d’un service
Page 14Orange
Processus de mise en supervision d’un service
Analyse du besoin
5 à 10 jours
Etude de « faisabilité »
15 à 40 j
Test1/3 mois
Initialisation
• Etapes de mise en place
Implémentation
Supervision
Rédaction des spécifications des besoins
Réponse technique,
réalisation et tunning
SOCAlerte/report
Les clients Le SOC
Traitement « expert »
service
Page 15Orange
Détection
Page 16Orange
« Réseau externe »
Détection : introduction
• Type de capteurs utilisés• IDS, Analyse de LOGS, modélisation de trafic
Réseau de confiance ou service
IDS « externe »
IDS « interne »
Concentrateur de logs
SOC
Lutte DDoS
Page 17Orange
Détection : IDS
• Principe d’un IDS
Exploitation des
vulnérabilités par un
attaquant Base de signature
Vulnérabilités
By-pass des IDS
Ecoute flux
Page 18Orange
Détection : qualification d’un événement de sécurité
• Chaîne de qualification
Identification des vulnérabilités
Analyse des flux réseaux
Règles de détection
Qualification de l’host
Alerte(Sévérité)
Impact(Criticité)
Qualification
« enrichissement
Page 19Orange
Détection : logs
• Objectif• Supervision des logs fournis par les grandes familles de fonction de sécurité
• Architecture• Utilisation de concentrateur de log• D’une interface de scripting• Redirection des alertes
Fonction Description Type de logs
Contrôle d’accès Commande critique Logs système
Durcissement Désactivation d’un service
Logs TACACS
Durcissement Changement configuration
Logs TACACS
IP FilterFirewalls
Routers
Tacacs+ or Unix
Servers
Moteur syslog-ngudp/514
BD MySQL
Serveur de mail et SNMP
udp/514
udp/514
tcp/443
Page 20Orange
Détection : DDoS• Principe d’attaque
• Saturation de la bande passante d’un lien réseau
• Principe de détection• « Modélisation » des comportements normaux• « Comparaison » avec le modèle et mise en place de seuil
alerte
Page 21Orange
Apports : les quatre éléments
Page 22Orange
Apports directs
Apport 1
• Evaluation des « barrières » de défense
• Si attaque sans impact alors barrière de défense efficace• Pas de reconfiguration
• Si attaque avec impact alors barrière de défense inefficace • Reconfiguration de/des barrière(s) de défense
Apport 2
• Evaluation des politiques de sécurité
• Si attaque sans impact alors « politique» efficace • Pas d’action de mise à jour des « politiques »
• Si attaque avec impact alors « politique» inefficace• Mise à jour des « politiques », sensibilisation,…
Page 23Orange
Apports indirects
Apport 3
• Piste pour mise en place d’un « ROI »• Analyse de la répartition des attaques sur le service
• Si ∑ attaques avec impact > ∑ attaques sans impact • alors allocation des moyens de défense insuffisante ou
mal employée
Apport 4
• « Résilience » des services• Comparaison de la durée d’indisponibilité d’un service
• Sans détection temps d’indisponibilité d’un service = tps1• Avec détection temps d’indisponibilité d’un service = tps2
• « Augmentation» résilience avec de la supervision tps1 > tps2
Page 24Orange
Apports directs 1 et 2 : exemples
Apport 1
• Evaluation des « barrières » de défense• Tentative d’authentification sur des équipements réseau
• Attaque sans impact protection via la chaîne d’authentification MAIS• Visibilité des équipements anormale
• Modification des règles de filtrage• Contrôle des règles de filtrage sur l’ensemble des
équipements
Apport 2
• Evaluation des politiques de sécurité • Tentative d’authentification sur des équipements réseau
• Attaque sans impact protection via la chaine d’authentification MAIS• Traitement de l’alerte anormalement long
• Modification de la politique de traitement des alertes• Modification de la politique de gestion de crise
Page 25Orange
Apports indirects : exemple 3 et 4
• Indicateurs délivrés
efficacitéBarrières de défense
EfficacitéRésilience
Efficacitédes politiques
Page 26Orange
Evolution de la maturité
Page 27Orange
Evolution dans le temps de la maturité de la supervision de sécurité
Authentification
Analyse des anomalies d’authentificationUtilisation des logs
Flux réseau
Analyse des anomalies dans les fluxUtilisation d’un IDS
Trafic réseau
Analyse des anomalies réseau
Attaque applicative
Analyse des anomalies applicativeAnalyse de logs applicatifs
Corrélationtransformation 1 ou X
alerte en attaque
Comptage« Brute force »
« Périodique »N log période
glissante
Scénarii« modélisation »
attaque
EnrichissementType/versionVulnérabilité
Modélisation réseauDDoS
Agréationsrc/dst/signature
Page 28Orange
Coût
Page 29Orange
Coût et activités
• Répartition des activités et des coûts
Les activités de supervision
Qualification des événements
Les activités d’ingénierie
Les outilsCapteurs, SIEM,…..
La définition des processus
Les experts sécurité
Coûts de supervision
Répartition des activités
Page 30Orange
Externalisation
Page 31Orange
Externalisation de la supervision de sécurité
• Constat• Coût d’un Centre de Supervision Sécurité important
• Solution • Mise en place d’une externalisation de la supervision
• Condition• Sécurisation de la chaîne de remontée des alertes• Hébergement et cloisonnement des données sécurisées• « SLA » temps de traitement des alertes (induit expertise)
• Difficultés• Faux positif lors de la qualification des alertes par
méconnaissance du contexte service• Chaine de communication et de traitement des attaques
Page 32Orange
Conclusion
Page 33Orange
Conclusion : condition de réussite
• Pour chaque projet mis en supervision de sécurité• Communication des enjeux à la « MOA »• Spécification les « objets » à superviser précis• Structurer les rôles et responsabilités
• Détection, traitement des alertes, traitement des corrections
• Hors projet• L’ingénierie des capteurs est réalisé par le SOC• Mise en place d’une cellule de veille hors équipe SOC• Plate forme de simulation des attaques • Amélioration continue
• une solution de supervision de sécurité pertinente est une solution qui évolue !
Page 34Orange
Conclusion : une nouvelle « barrière » de défense• La supervision de sécurité
• Une brique supplémentaire dans le système de défense
Formation
SOC, IDS/IPS, SIEM
Analyse de risque Antivirus
Veille Certification Audit
IAM DLP
PKI Firewall Sensibilisation
WAF ?
Code audit
Page 35Orange
Questions
Page 36Orange
Mercipour votre
écoute
Page 37Orange
Flux réseau
• Capture du paquet
Récupération de la payload du paquet
Page 38Orange
Signature
• Synthèse d’une règle de détection• Protocole TCP• Fourniture de la chaine recherché
• Summary• Vulnérabilité Firefox
• Impact• Déni de service
Page 39Orange
«Enrichissement »
• Découverte des systèmesSystème Red Hat
Port TCP ouvert
Protocole réseau
Page 40Orange
«Enrichissement »
• Fourniture des vulnérabilités• Liste des vulnérabilités associé au système découvert
DHCP Buffer Overflow
Top Related