Détecter et neutraliser efficacement les cybermenaces !

Expert sécurité, réseau et services informatiques

Version :

Date :

Classification :

Détecter et neutraliser efficacement les cybermenaces !Uwe Hartmann, Richard QuignonMartino Dell’Ambrogio, Alessandro Miotto, Maxime Feroul

Public

1.0

05.10.2016

Détecter et neutraliser efficacement les cybermenaces !

Presenter

Presentation Notes

Durée : 30s Présentation des acteurs : LogRythm : Uwe , Richard Martino Dell’Ambrogio : Analyste Sécurité - expérience de 2 ans dans un SOC, 70% de son temps depuis l’année dernière pour un de nos clients, questionner le sur la «vraie vie» & l’utilisation d’un outil au quotidien.

Kyos SARL

Kyos en quelques mots

• Expert sécurité, réseau et services informatiques• Création à Genève depuis novembre 2002• Entreprise à taille humaine : 31 personnes• Société autofinancée et indépendante• Notre signature :


05.10.2016 2

Presenter

Presentation Notes

Durée : 45s Message : Kyos, SSII à taille humaine, 3 domaines mais une signature commune / culture sécurité Transition : parlons le même language ... acronymes principaux Notre signature " embedded security " exprime la forte culture sécurité qui imprègne Kyos depuis sa création. L’attitude " embedded security " est partagée au quotidien par notre équipe et est au cœur de notre savoir-faire. Vous aussi optez pour des services IT avec " sécurité intégrée ".

Kyos SARL

Acronymes...

SIEM, SOC ?

Security Information andEvent Management

Security Operation Center

Pourquoi en parlons nous ?

Keep an eYe On Security

Une problématique ancrée dans l’ADNde Kyos...

... partie intégrante de notre vision de la sécurité dès notre origine

05.10.2016


3

Kyos SARL

Agenda

• Partie 1 : Présentation et démonstration‒ 08h30 – 08h40 : Le cycle de vie intégré de détection et de riposte aux menaces, et les problématiques Log

Management, SIEM, SOC.‒ 08h40 – 09h10 : Le modèle de maturité en matière d’intelligence en sécurité de LogRhythm, modules et

fonctionnalités.‒ 09h10 – 09h30 : Démonstrations : Outils d’analyse SIEM de nouvelle génération, exemples de « use cases » : de la

menace à la riposte.‒ A partir de 09h30 : Discussion ouverte

05.10.2016


• Partie 2 : Hands-on Experience‒ accédez directement à l’interface LogRhythm mise à disposition,‒ testez vous-mêmes comment les menaces peuvent être repérés et répondues assez tôt dans leur cycle de vie,‒ voir comment mettre en place le traitement des use cases et faire un parallèle avec vos propres scénarios,‒ se confronter à un cadre de travail possible pour mieux protéger votre organisation face aux cybermenaces.

4

Presenter

Presentation Notes

Durée : 30s Faire vite ... ;)


Agenda Le cycle de vie intégré de détection et de riposte aux menaces, et les problématiques Log Management, SIEM, SOC.

- Le cycle de vie intégré de détection et de riposte aux menaces, et les problématiques Log Management, SIEM, SOC.

- Le modèle de maturité en matière d’intelligence en sécurité de LogRhythm, modules et fonctionnalités

- Démonstrations : Outils d’analyse SIEM de nouvelle génération, exemples de "use cases":de la menace à la riposte


Kyos SARL

Contexte05.10.2016


“There are two kinds of big companies in the United States: those who've been hacked by the Chinese and those who don't know they've been hacked by the Chinese.”– October 5, 2014

James Comey, FBI Director

Uniquement aux US ?

6

Presenter

Presentation Notes

Durée : 45s Message : Le clin d’oeil est il vraiment une joke ? Il y ceux qui sont victime d’une cyberattaque et ceux qui ne le save pas ! Nous sommes concernés en Suisse également. L’objet n’est pas de vous montrer une centaine de statistiques sur les APT, les intrusion etc, ni faire plus peur que de raison, mais bien de rappeler que ce n’est pas non plus de la science fiction ! Rappeller l’érosion du périmètre (avec un grand coup quand on sera obligé de tous passer dans Azur ...) Transition : Le Cas du RUAG est intéressant car il été décortiqué par MELANI.

Kyos SARL

MELANI/RUAG – Retour Expérience

• «une attaque complexe prends du temps»• «les attaquants peuvent commettre des

erreurs»• «nombre de contre-mesures sont peu

onéreuses»

05.10.2016


7

Presenter

Presentation Notes

Durée : 30s Message : Une chose intéressante est la chronologie de l’attaque. Il faut détecter les attaques et ce n’est pas «impossible» ni «irréaliste.» Dans le rapport, nous émettons plusieurs recommandations et proposons des contre-mesures que nous estimons les plus efficaces contre ce type de menace au niveau des terminaux, de l’Active Directory ainsi qu’au niveau du réseau. Il est important de souligner que nombre de ces contre-mesures sont peu onéreuses et que leur mise en oeuvre nécessite une charge de travail raisonnable. Même s’il est difficile d’assurer à une organisation une protection totale contre de telles attaques, nous restons persuadés que les attaquants peuvent être repérés, car ils sont aussi susceptibles de commettre des erreurs. L’organisation victime doit être capable de détecter les signes de ces attaques et d’échanger des informations à ce sujet avec des tiers afin qu’il soit possible de suivre les agissements des auteurs.

Kyos SARL

Recommandation

• Le problème n’est pas de savoir si nous allons nous faire attaquer MAIS de détecter quand cela va se produire.

• ... et si cela c’est déjà produit, de le détecter le plus rapidement possible !• Réduire le risque :

05.10.2016


Détection & Réponse

Prévention

8

Presenter

Presentation Notes

Durée : 30s Message : Zero DAY, APT sont quasi impossible à prevenir. Plus on detecte rapidement plus on réduit le niveau de risque. Balance dans ces invest. entre prevention & detection / reponse

Kyos SARL

Comment : SIM ? SEM ? SIEM ? SOC ?

• Tous !‒SIM + SEM = SIEM

• Approche «holistique»‒ «Security Intelligence»

• SOC dans le sens : pratiquer / opérer la discipline.

05.10.2016


9

Presenter

Presentation Notes

Durée : 30s Message : Définir la security intelligence. SOC = pratiquer la discipline. On ne parle plus d’IDS / APS / IDPS ... mais

Kyos SARL

SOC / Security Intelligence - Un programme plus qu’un projet

• «Orienté» par des objectifs tactiques :‒Compliance, Restreint à un service

critique, réponse à incidents

• Sponsor(s) & acteurs «internes» indispensable‒Appui externe pour certains jalons /

services

05.10.2016


10

Presenter

Presentation Notes

Durée : 60s Message : Un processus itératif, issu / cadré par d’une strategie de GRC (Governance, Risk Management, and Compliance). Necéssite un sponsor interne. Des enjeus dans trois domaines (sans parler du budget) Quelques défis: Utiliser au mieux les compétences de son équipe sécurité. Ne pas perdre de temps sur des opérations sans valeur ajoutée. Simplifier l’analyse. Automatiser les processus (incident response, investigation, ...). Définir, enrichir des use case Budget ! Cout ? Temps / Efficacité ? Expertise ? People: Maximize the value of your security team in order to build an effective and efficient monitoring and response program Processes: Build repeatable, enabled, and automated workflows that align your Security Intelligence Platform with your organization’s functions and responsibilities Technology: Optimally leverage environmental data and threat intelligence, detect advanced attacks with real-time machine analytics, and rapidly neutralize threats with the industry’s leading detection and response platform Advance Your Threat Management LogRhythm’s centralized platform consolidates, normalizes, monitors, and prioritizes your security technologies and data to help you continually improve your mean-time-to-detect (MTTD) and mean-time-to-respond (MTTR). Meet Compliance and Regulatory Requireme nts LogRhythm helps you meet stringent regulatory requirements. Streamline compliance with the purpose-built reports in our compliance automation modules. Enforce compliance in real-time with analytics rules and dashboards. Rapidly Realize Value LogRhythm’s unified architecture streamlines deployment and ongoing management, while out-of-the-box content helps you rapidly reach your threat management and compliance objectives. Scale Over Time Regardless of performance, storage or device support requirements, LogRhythm’s modular architecture gives you the flexibility and functionality you need now and as you grow. Ce n’est pas l’objet de parcouri toute les étapes de / defi de construction d’un SOC, mais pour introduire et vous faire sentir quelque aspects je vous propose de reprendre un un use case qui nous “parle” : les ransomware !

Kyos SARL

People / Organisation05.10.2016


• Valoriser au mieux les compétences de son équipe sécurité. • Ne pas perdre de temps sur des opérations sans valeur ajoutée.

Security Analyst (Level 1,2,3)SOC Manager, Report & Dashboard Developer

Security Guru

11

Presenter

Presentation Notes

Durée : 30s Message : La taille va dépendre des objectifs & moyens disponible. Quelle que soit la taille / constitution de l’équipe l’enjeu reste le même. Il faut la valoriser au maximum. Staffing a SOC can be more difficult than expected. Two questions that executives ask are: - 1. How many employees do I need? -2. What skill sets are required? The number of employees is dependent on the operating hours of the SO Possible profile : - Security Analyst. .level 1 - Security Specialists. level 2 - Forensics or Threat Investigators. level3 - Manager or Director: document / manage ... - Report & Use Case developper :

Kyos SARL

Processus

• A définir / documenter / automatiser :‒Rotation des logs, ‒Notification, réponse à un incident.‒Gestion des investigations.‒Développement de rapport.‒ ...

‒Développement de cas d’utilisations (Use Cases).

05.10.2016


12

Presenter

Presentation Notes

Durée : 20s Message : Enjeu documentaire et définition de nombreux processus. Rien ne sert qu‘un expert sécu, détecte une menace s’il ne sait pas quelle plan réaction / suite il faut donner Monitoring procedure. Notification procedure (email, mobile, home, chat, etc.). Notification and escalation processes. Shift logging procedures. Incident logging procedures. Compliance monitoring procedure. Report development procedure. Incident investigation procedures (malware, etc.

Kyos SARL

Cas d’utilisations – un aspect«crucial»

• Un «évènement» qui requiert une surveillance / intervention.

• Le «principal» défi de la «Security Intelligence»

05.10.2016


13

Presenter

Presentation Notes

Durée : 30s Message : Importance des Use Case. Un plus que l’on va rechercher dans une solution : une banque de use case prédéfini. Transition : Mais surtout il faut pouvoir en créer rapidement. To ensure the SOC is effective, a series of Use Cases must be defined. The term “Use Cases” may be a little misleading—think of them as events that require SOC intervention and/or monitoring. For instance, a repeat attack from a single source is a Use Case. It’s an actionable component of the SIEM in which the SOC was notified of, through the network’s primary monitoring tool. A Use Case may include the involvement of a Rule, Alarm, or even a Dashboard to meet the organization’s requirements. Before defining Use Cases, it is important to have a firm grasp on the company policy, its assets, and the technical environment. A good way to develop Use Cases is by viewing the network from an attacker’s perspective; think of a disruption to the environment. Another option is to look at the regulations the organization is subject to and evaluate the items that could become non-compliant.

Kyos SARL

Créer «rapidement» des nouveaux Use Case !

• Développer un Use Case = un mini-projet‒ Scénario de

détection ‒ procédure

d’alerte et de réponse rapide

‒ Investigation pour empêcher la propagation

‒ ...

05.10.2016


14

Presenter

Presentation Notes

Durée : 60s Message : Nouvelle menace – les cryptolocker. Il faut réagir et construire un nouveau use case Identification des source d’info / moyen de detection Processus simple de notification : Actions urgentes : couper le réseau / isoler le file server , identifier la source pour empecher la propagation / reproduction , etc. Micro - Projet requirement (business, compliance, security, ...) scope : Infra IT concernées event source validation pahse : ensure event source produce the required data to trigger the event detection logic : pattern, behavior,.. define process, notification rule, implement & test document Use Case response procedure Un process en echec (i.e le cryptolocker essaye des chiffrer des folder auquel il n’a pas accès ...) Un utilisateur = une piste pour identifier le cyptolocker et qui en a été victime : Scénario de détection procédure d’alerte et de réponse rapide Investigation pour empêcher la propagation ...

Kyos SARL

Technologie

• Comprendre l’environnement : Diagramme architecture, CMDB, ...• Information et évènements : Collecte, catégorisation, corrélation, ...• Intégration dans le SI : IAM, Suite ITSM (gestion des incidents), Service de

notification (SMS GW, Contact Center,...), ...• S’adapter aux évolutions / transformation du SI

05.10.2016


15

Presenter

Presentation Notes

Durée : 45s Message : C’est l’objet de la suite de la présentation, il faut retenir que les enjeux ne sont pas juste de collecter & corréler des logs Gestion de Case d’investigation Big Data : Masse de donnée Catégorisation automatique Exigence de compliance : intégrité des traces Understand the Environment : Without an understanding of the technical environment, it will be difficult to investigate and to understand if an actual attack has occurred. For this reason, the staff within the SOC must have the appropriate tools, diagrams, and knowledge of the network to perform their daily job. It is important to have both an electronic and a hard copy of the key network and application architecture diagrams. For any new SOC staff, navigating and understanding the environment should be included as part of their required basic training. This will also help meet SLAs and overall customer service within the SOC.

Kyos SARL

Leverage Security Intelligence ! 05.10.2016


It’s not only about tools, but you can’t achieve it without an adequate solution at your disposal !

16

Presenter

Presentation Notes

It is not only a matter of tools , but you can‘t achieve it without IT A critical aspect of SOC design is the optimization of the triad of people, processes and technology, and their interactions. Investing in sophisticated security solutions will offer compre-hensive protection to your network, but tools are only as good as the people using them. Hence, the investment you make in people is as, if not more important. In the same vein, the best security analysts will fall short of providing a holistic view of the organizational security posture without adequate tools at their disposal. Underlying the two—people and technology—is the need for well-defined processes and workflows. Building an SOC, thus, requires seamless communication between the different functions, disparate security products and the numerous processes and procedures. Positionnement / Pérénnité : - Gartner La principale raison, reste technologique : Ces solutions reste un investissment important, elle doivent êter scalable performace et pertinentes et surtout faire ganger du temps si on veut un ROI ! - Il est capable d'extraire les métadonnées et catégoriser finement les messages de presque un millier de types de log (syslog, event logs, bases de données et même des API spécifiques pour certains services cloud) et des nouvelles règles de parsing sont facilement écrites. - Il possède un grand nombre de règles d'analyse et corrélation basés sur ces métadonnées et catégorisations, qui peuvent donc être utilisés out-of-the-box et seront appliqués à n'importe quel log, et la création de nouvelles règles d'analyse et corrélation sont facilement écrites. Donc facilité d'intégration et choix du fonctionnement (métadonnées/indexing dès que le message est reçu, pas comme Splunk qui cherche on-the-fly sur un datalake). Parmi les raisons secondaires, je dirais : - Plusieurs bases de données (4-5) avec des scopes différents (expiration, vitesse, compression, etc.) permettent d'achever plusieurs objectifs : forensic, compliance, alerting, etc. - Moteur de corrélation techniquement excellent (par exemple la possibilité de corréler avec l'absence d'un messages, ou corréler avec un message passé). - Interface de présentation/analyse/forensic très moderne (HTML5), comprenant la gestion de Case.


Agenda Le modèle de maturité en matière d’intelligence en sécurité de LogRhythm, modules et fonctionnalités.Richard Quignon - Sales Engineer



- Démonstrations : Outils d’analyse SIEM de nouvelle génération, exemples de "use cases":de la menace à la riposte.


Company Confidential

Company LogRhythm

Security Intelligence (SIEM)

Focus Customer Satisfaction (RenewalRate over 96%)

Recognized Market Leader

3.000+ Customers Worldwide

100% Channel


Gartner MQ for SIEM: 2015 vs. 2016CHALLENGERS LEADERS

NICHE PLAYERS VISIONARIES

Splunk

AccelOps

EventTrackerBlackStratus

Trustwave Micro Focus (NetIQ)

SolarWinds

EMC (RSA)AB

ILIT

Y TO

EXE

CUTE

AlienVault

Intel Security

HPE

IBM Security

COMPLETENESS OF VISION

Fortinet (AccelOps)

ManagedEngine

LogRhythm


Gartner – Magic Quadrant for Security Information and Event Management - 2016

• LogRhythm combines SIEM capabilities with endpoint monitoring, network forensics, UEBA and incident management capabilities to support security operations and advanced threat monitoring use cases

• LogRhythm provides a highly interactive and customizable user experience, with dynamic context integration and security monitoring workflows.

• LogRhythm provides emerging automated response capabilities to execute actions on remote devices

• Gartner receives consistent user feedback stating that LogRhythm's solution is straightforward to deploy and maintain, and provides effective out-of-the-box use cases and workflows

• LogRhythm continues to be very visible in the competitive SIEM technology evaluations of Gartner clients

Presenter

Presentation Notes

Company ConfidentialCompany Confidential

Why more Security?


Big Data Analytics can best detect these threats

LogRhythm Delivers:• Big Data analytics to identify

advanced threats

• Qualified and prioritized detection, reducing noise

• Incident response workflow orchestration and automation

• Capabilities to prevent high-impact breaches & damaging cyber incidents

However, advanced threats:• Require a broader view to recognize• Only emerge over time• Get lost in the noise

Prevention-centric approachescan stop common threats

A New Security Approach is Required

Presenter

Presentation Notes

Key Talking Points: With traditional methods, threats get lost in the noise. “Big Data” analytics can help solve this problem. “Prioritized threats” ----- Notes: Previous slides are about painting a picture of the environment. This slide begins our shift toward presenting a solution. Some things can be blocked and stopped, but only known threats in real-time, or otherwise you get in the way of the business. Analytics is needed to address the threats that get through. We use big data analytics to separate the signal from the noise. This slide also sets up our incident response message.


Recon. and Planning

Initial Planning

Command and Control

Lateral Movement

Target Attainment

Exfiltration,Corruption,Disruption

Data Breaches Can Be Avoided

Advanced threats take their timeand leverage the holistic attack surface

Early neutralization stops cyber incidents and data breaches

Presenter

Presentation Notes

Key Talking Points: “Holistic attack surface” Mission realization Kill the threat easily Previous breaches would’ve been avoided if detected early. ----- Notes: Goes further on our solution to show that damaging breaches can be avoided because the attack lifecycle takes time. The lifecycle of a threat begins with reconnaissance. Find their way in by manipulating users, dropping USB keys in parking lot, compromising physical environment, etc. At some point, they will begin to engage with the environment and eventually compromise the system. If that compromise isn’t detected, they will take increasing control over the environment and move laterally toward their target, taking over accounts and systems until they attain their target, where the biggest damage is done: exfiltration, corruption, disruption, etc. This is how threats work. If we can stop the attacker after the initial compromise, we can prevent the damaging breach.


Security Intelligence & Analytics Platform

Time to Detect Time to Respond

Recover

Cleanup

Report

Review

Adapt

Neutralize

Implement countermeasures to mitigate threat

Investigate

Analyze threat to determine nature and extent of the

incident

Qualify

Assess threat to determine risk

and whether full investigation is necessary

Detect & Prioritize

SearchAnalytics

Machine Analytics

Collect & Generate

Forensic Sensor Data

SecurityEvent Data

Log &Machine Data

Example Sources

Example Sources

Threat Lifecycle Management

http://www.google.com/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0CAcQjRw&url=http://secure360.org/sponsor/rapid-7/rapid7_logo_orange-3/&ei=EWJ0VfeOMKa1sATUvYGgBQ&bvm=bv.95039771,d.cWc&psig=AFQjCNHBrfZugEkYxHJYPX_yhMAOMW196w&ust=1433777040589530

http://www.google.com/url?sa=i&rct=j&q=&esrc=s&source=images&cd=&cad=rja&uact=8&ved=0CAcQjRw&url=http://secure360.org/sponsor/rapid-7/rapid7_logo_orange-3/&ei=EWJ0VfeOMKa1sATUvYGgBQ&bvm=bv.95039771,d.cWc&psig=AFQjCNHBrfZugEkYxHJYPX_yhMAOMW196w&ust=1433777040589530

http://cyberark.com/

http://cyberark.com/


Endpoint Monitoring& Forensics

Network Monitoring& Forensics

Unified Security Intelligence Platform

Log Management

Next-Gen SIEM

Security Analytics

Incident Response Orchestration & Automation

User Behavior Analytics

Endpoint BehaviorAnalytics

Network BehaviorAnalytics


Architecture


Security Intelligence Platform


InputSecurity Intelligence Platform


AnalyticsSecurity Intelligence Platform


OutputSecurity Intelligence Platform


All-In-One: XM

XM

DP

DX

AIE

PM

Hosts, Databases, Apps File ServersWeb ServersERP SystemsCRM Systems

Flow DataNetflowJflowSflow

Network & Security DevicesRoutersSwitchesFirewallsIDS/IPSVPN

LogRhythm System MonitorFile Integrity MonitoringFile Activity MonitoringProcess MonitoringNetwork Connection

LogRhythm Network MonitorDeep Packet InspectionApplication IdentificationDerived Meta Data


DP

PM

DX

DP

DX

Deployed: Pinned-Architecture

Presenter

Presentation Notes

Rather than using Processing and Indexing on the same appliance we can now scale this out to separate roles to improve performance


Deployed: Cluster-Architecture

DX DX DX

DP DP

PM

Presenter

Presentation Notes

High Availability, DR and Clustering available for resilience and performance increase Anti-splunk: Resilient cluster architecture, any clustered node can be master, no manual reconfiguration of config files, no point of failures No multiple node searching, single cluster node is bottleneck


SIMM-Model


Detection and Response are the Key

MEAN-TIME-TO-DETECT (MTTD)

MEAN-TIME-TO-RESPOND (MTTR)

Security IntelligenceMaturity LevelsLevel 0: BlindLevel 1: Minimally ComplaintLevel 2: Securely CompliantLevel 3: VigilantLevel 4: Resilient

Greater threat resiliency is achieved at higher levels of security intelligence maturity

Months

Days

Hours

Minutes

Weeks

Tim

efra

me

Level 0 Level 1 Level 2 Level 3 Level 4

Exposed to Threats Resilient to Threats

Presenter

Presentation Notes

Key Talking Points: “Mean-time-to-detect” and “Mean-time-to-response” Reduce risk of damaging cyber incident or data breach ----- Notes: What’s the solution? Faster detection and faster response. We’ve developed a model to assess your current maturity and ability to detect and respond to threats. Help customers measure their overall security posture. Many studies show that MTTD and MTTR are measured in weeks and months, and companies that want to improve need the types of solutions we provide.


Maturity Level 0 1 2 3

Security Posture

4In

vestm

ent

Log Management

Blind Minimally Compliant

Securely Compliant Vigilant Resilient

SIEM

User Forensics

Endpoint Forensics

Network Forensics

Machine Analytics

Vulnerability Intelligence

Threat Intelligence

Monitoring Response Process

Security Operations Centre

SIMM Overview


Link: do your own assessment


Agenda Démonstrations : Outils d’analyse SIEM de nouvelle génération, exemples de "use cases" : de la menace à la riposte.



- Démonstrations : Outils d’analyse SIEM de nouvelle génération, exemples de "use cases":de la menace à la riposte.



Contact us

Kyos SARL

Chemin Frank-Thomas, 321208 Genève

Tel. : +41 22 566 76 30Fax : +41 22 734 79 03

www.kyos.ch

[email protected]

Préparez vous à jouer…


Détecter et neutraliser efficacement les cybermenaces !

Technology

Transcript of Détecter et neutraliser efficacement les cybermenaces !