Orange

Les progrès réalisés par l’entreprise à travers la mise en œuvre d’un Centre de Supervision de la Sécurité

Stéphane SCIACCO Direction de la sécurité

Orange Business ServicesNovembre 2013

Page 2Orange

AGENDA

1. Introduction

2. Description d’un service de supervision de sécurité

3. Apports

4. Evolutoin de la maturité

5. Coûts

6. Externalisation

7. Conclusion

Page 3Orange

Introduction

Page 4Orange

Problème, besoins et enjeux

• Le problème n’est pas :• « De savoir si nous allons nous faire attaquer MAIS de détecter

quand cela va se produire »

• besoins identifiés par la direction de la sécurité du groupe :• Renforcer la sécurité

• Des réseaux d’entreprise • Des plates-formes de service

• les enjeux pour Orange :• Protéger l’image de marque Orange• Protéger les biens sensibles

OIV

• Autres « besoins »

Page 5Orange

SOC ?

Page 6Orange

Définition

• Une vision d’un S(ecurity)O(perating)C(enter)• Ce n’est pas une équipe dont l’activité consiste à :

• Configurer des équipements de sécurité,• Assurer le « monitoring » système ou réseau,• Réaliser des reportings.

• C’est un service qui (pour nous) : • Fournit des moyens de détection d’attaque,• « reçoit » et qualifie des événements de sécurité,• Délivre des plans de réaction.

• Un SOC pour cette présentation = • Centre de détection/qualification des événements de sécurité

Page 7Orange

Modélisation d’une attaque

Page 8Orange

Renseignement

DéploiementExploitation

«Représentation d’une attaque »

• Etapes d’une attaque

DETECTIONPrise d’empreinte

Fuite information

Dépôt code malicieux

Page 9Orange

Périmètre de supervision sécurité

Page 10Orange

Scope de supervision

• Types de services en supervision de sécurité

Supervision sécurité

« infrastructure»

Supervision sécurité

« applicative »

Réseau Backbone

Zone d’administration

Servicesdata

Zoned’hébergement

Page 11Orange

Trame de création du service

Page 12Orange

Création d’un service de supervision de la sécurité• Processus et choix critiques

Processu

s

• Processus de spécification et réponse à l’expression du besoin de supervision

• Processus de traitement des alertes

Gouvernan

ce

• Processus de de sélection des services à superviser (priorisation)

Humain

• Recrutement idéalement profil ingénieur sécurité• Plan de formation sécurité (test d’intrusion, capteurs, SIEM,…..)

Outillage

• Choix de capteurs de sécurité• Choix de l’outil de corrélation/visualisation des alertes

Page 13Orange

« Processus » de mise en supervision d’un service

Page 14Orange

Processus de mise en supervision d’un service

Analyse du besoin

5 à 10 jours

Etude de « faisabilité »

15 à 40 j

Test1/3 mois

Initialisation

• Etapes de mise en place

Implémentation

Supervision

Rédaction des spécifications des besoins

Réponse technique,

réalisation et tunning

SOCAlerte/report

Les clients Le SOC

Traitement « expert »

service

Page 15Orange

Détection

Page 16Orange

« Réseau externe »

Détection : introduction

• Type de capteurs utilisés• IDS, Analyse de LOGS, modélisation de trafic

Réseau de confiance ou service

IDS « externe »

IDS « interne »

Concentrateur de logs

SOC

Lutte DDoS

Page 17Orange

Détection : IDS

• Principe d’un IDS

Exploitation des

vulnérabilités par un

attaquant Base de signature

Vulnérabilités

By-pass des IDS

Ecoute flux

Page 18Orange

Détection : qualification d’un événement de sécurité

• Chaîne de qualification

Identification des vulnérabilités

Analyse des flux réseaux

Règles de détection

Qualification de l’host

Alerte(Sévérité)

Impact(Criticité)

Qualification

« enrichissement

Page 19Orange

Détection : logs

• Objectif• Supervision des logs fournis par les grandes familles de fonction de sécurité

• Architecture• Utilisation de concentrateur de log• D’une interface de scripting• Redirection des alertes

Fonction Description Type de logs

Contrôle d’accès Commande critique Logs système

Durcissement Désactivation d’un service

Logs TACACS

Durcissement Changement configuration

Logs TACACS

IP FilterFirewalls

Routers

Tacacs+ or Unix

Servers

Moteur syslog-ngudp/514

BD MySQL

Serveur de mail et SNMP

udp/514

udp/514

tcp/443

Page 20Orange

Détection : DDoS• Principe d’attaque

• Saturation de la bande passante d’un lien réseau

• Principe de détection• « Modélisation » des comportements normaux• « Comparaison » avec le modèle et mise en place de seuil

alerte

Page 21Orange

Apports : les quatre éléments

Page 22Orange

Apports directs

Apport 1

• Evaluation des « barrières » de défense

• Si attaque sans impact alors barrière de défense efficace• Pas de reconfiguration

• Si attaque avec impact alors barrière de défense inefficace • Reconfiguration de/des barrière(s) de défense

Apport 2

• Evaluation des politiques de sécurité

• Si attaque sans impact alors « politique» efficace • Pas d’action de mise à jour des « politiques »

• Si attaque avec impact alors « politique» inefficace• Mise à jour des « politiques », sensibilisation,…

Page 23Orange

Apports indirects

Apport 3

• Piste pour mise en place d’un « ROI »• Analyse de la répartition des attaques sur le service

• Si ∑ attaques avec impact > ∑ attaques sans impact • alors allocation des moyens de défense insuffisante ou

mal employée

Apport 4

• « Résilience » des services• Comparaison de la durée d’indisponibilité d’un service

• Sans détection temps d’indisponibilité d’un service = tps1• Avec détection temps d’indisponibilité d’un service = tps2

• « Augmentation» résilience avec de la supervision tps1 > tps2

Page 24Orange

Apports directs 1 et 2 : exemples

Apport 1

• Evaluation des « barrières » de défense• Tentative d’authentification sur des équipements réseau

• Attaque sans impact protection via la chaîne d’authentification MAIS• Visibilité des équipements anormale

• Modification des règles de filtrage• Contrôle des règles de filtrage sur l’ensemble des

équipements

Apport 2

• Evaluation des politiques de sécurité • Tentative d’authentification sur des équipements réseau

• Attaque sans impact protection via la chaine d’authentification MAIS• Traitement de l’alerte anormalement long

• Modification de la politique de traitement des alertes• Modification de la politique de gestion de crise

Page 25Orange

Apports indirects : exemple 3 et 4

• Indicateurs délivrés

efficacitéBarrières de défense

EfficacitéRésilience

Efficacitédes politiques

Page 26Orange

Evolution de la maturité

Page 27Orange

Evolution dans le temps de la maturité de la supervision de sécurité

Authentification

Analyse des anomalies d’authentificationUtilisation des logs

Flux réseau

Analyse des anomalies dans les fluxUtilisation d’un IDS

Trafic réseau

Analyse des anomalies réseau

Attaque applicative

Analyse des anomalies applicativeAnalyse de logs applicatifs

Corrélationtransformation 1 ou X

alerte en attaque

Comptage« Brute force »

« Périodique »N log période

glissante

Scénarii« modélisation »

attaque

EnrichissementType/versionVulnérabilité

Modélisation réseauDDoS

Agréationsrc/dst/signature

Page 28Orange

Coût

Page 29Orange

Coût et activités

• Répartition des activités et des coûts

Les activités de supervision

Qualification des événements

Les activités d’ingénierie

Les outilsCapteurs, SIEM,…..

La définition des processus

Les experts sécurité

Coûts de supervision

Répartition des activités

Page 30Orange

Externalisation

Page 31Orange

Externalisation de la supervision de sécurité

• Constat• Coût d’un Centre de Supervision Sécurité important

• Solution • Mise en place d’une externalisation de la supervision

• Condition• Sécurisation de la chaîne de remontée des alertes• Hébergement et cloisonnement des données sécurisées• « SLA » temps de traitement des alertes (induit expertise)

• Difficultés• Faux positif lors de la qualification des alertes par

méconnaissance du contexte service• Chaine de communication et de traitement des attaques

Page 32Orange

Conclusion

Page 33Orange

Conclusion : condition de réussite

• Pour chaque projet mis en supervision de sécurité• Communication des enjeux à la « MOA »• Spécification les « objets » à superviser précis• Structurer les rôles et responsabilités

• Détection, traitement des alertes, traitement des corrections

• Hors projet• L’ingénierie des capteurs est réalisé par le SOC• Mise en place d’une cellule de veille hors équipe SOC• Plate forme de simulation des attaques • Amélioration continue

• une solution de supervision de sécurité pertinente est une solution qui évolue !

Page 34Orange

Conclusion : une nouvelle « barrière » de défense• La supervision de sécurité

• Une brique supplémentaire dans le système de défense

Formation

SOC, IDS/IPS, SIEM

Analyse de risque Antivirus

Veille Certification Audit

IAM DLP

PKI Firewall Sensibilisation

WAF ?

Code audit

Page 35Orange

Questions

Page 36Orange

Mercipour votre

écoute

Page 37Orange

Flux réseau

• Capture du paquet

Récupération de la payload du paquet

Page 38Orange

Signature

• Synthèse d’une règle de détection• Protocole TCP• Fourniture de la chaine recherché

• Summary• Vulnérabilité Firefox

• Impact• Déni de service

Page 39Orange

«Enrichissement »

• Découverte des systèmesSystème Red Hat

Port TCP ouvert

Protocole réseau

Page 40Orange

«Enrichissement »

• Fourniture des vulnérabilités• Liste des vulnérabilités associé au système découvert

DHCP Buffer Overflow