Retour dexpérience création dun service de supervision de sécurité Stéphane Sciacco SCE/MOA...

Retour d’expérience création d’un service de supervision de sécurité

Stéphane Sciacco

SCE/MOA SI/DS

Février 2008

Groupe France Télécom copyright Orange business

« Décor »

Pourquoi et pour qui un service de supervision de la sécurité ?

Mise en place du service à partir d’une extrapolation d’un modèle formel

Constitution de l’équipe de supervision de la sécurité

Les missions du « SOC »

Liste des processus mis en place

Interfaces du « SOC »

Un exemple

Moyen techniques

Rôle et panorama des MSSPs

Conclusion

Sommaire


Le « décor »


Service de supervision de la sécurité S(ecurity) O(perating) C(enter)

Service de détection uniquement pas de réaction ni de configuration

Début de la réflexion sur la mise en place du service 2005

Date de création du service 2006

Premier « service » mis en supervision Mi 2006


Pourquoi et pour un service de supervision de la sécurité ?


Pourquoi / Pour qui ? Pourquoi ?

Un service complémentaire de sécurité pour le projets

Augmente le niveau de sécurité des « projets »

Augmente la confiance

Rationalisations des investissements

Pour qui ? Service pour des activités internes

Service pour des activités externes


Mise en place du service à partir d’une extrapolation d’un modèle formel


Extrapolation : modèle PDCA

Définition du périmètre de supervision

global

Mise en œuvre

Activité de supervision

Ajustement du service


« Boucle d’amélioration »

Pilotage

Analyse de risquesinterne

Collecte desévé nements

Incidents

100% 90% 80% 70% 60% 50% 40% 30%

12

34

5

Qualificationinterne

Collecte desévénementsIncidents

Tableaux de bord

100% 90% 80% 70% 60% 50% 40% 30%

12

34

514, 29 € %

14, 29 € %14, 29 € %

14, 29 € %

14, 29 € %14, 29 € %

14, 29 € %

14, 29 € %

14, 29 € %14, 29 € %

14, 29 € %

14, 29 € %14, 29 € %

14, 29 € %

Gestion de crises

Capitalisation

Plan d'action


Constitution de l’équipe de supervision de sécurité


Ressources humaines « SOC » type

Un/une responsable 7 personnes minimum pour le niveau 1/2 24/7 5/7 personnes minimum pour le niveau 2/3 HO astreinte Formation conséquente au démarrage de l’équipe

Niveau 1/2 Profil : technicien minimum 1 à 2 ans d’expérience Rôle

• Monitoring des alarmes de sécurité (investigation, qualification)

Niveau 2/3 Profile : Ingénieur minimum 2 à 3 ans d’expérience Ingénierie Expertise incident niveau 2/3 Fournir mitigation sur incident Formation niveau 1/2 Assure test-bed (reproduction nouvelle attaque, veille sécurité,….)


Les missions du « SOC »


« Poste écoute» de la sécurité

Veille sécurité

S(ecurity) O(perating) C(enter)

Nouvelle vulnérabilité

Projet en supervision

Autre entité sécurité (Lutte anti-virale, Patch management,... )

Alarmes sécurité

Information sécurité

« reconfiguration »

Instance de pilotage


Activités du « SOC »

Phase « ingénierie » Mise en place de la supervision de sécurité dans le cadre des services Administration de l’infrastructure de supervision de sécurité Contractualisation avec le responsable du service mis en supervision

Phase récurrente Traitement des événements de sécurité Préconisation et suivi du plan d’action Réalisation des reportings


Activité projet supervision sécurité

Quoi mettre en supervision sur le

service ?

Quel solution technique ?

Activité récurrente ?

« Stopper l’attaque »

Analyse de risqueBiens/menaces

IDS, LOG,...

Alertes sécuritéReporting

Les corrections sont faites par des équipes

externe


Phase « d’ingénierie »Rédaction du cahier des charges

Analyse de risque formelle ou pas

étude du contexte

expression des besoins de sécurité

étude des menaces

identification des objectifs de sécurité

élaboration des exigences

de sécurité

Identification des biensIdentification des

menaces, méthodes

d’attaques et des vulnérabilités

Mesures détection couvrant les objectifs

de sécurité


Phase « d’ingénierie » Réponse technique au cahier des charges

Validation et configuration du type de sonde Validation du type de reporting

Déploiement de la solution Installation, configuration et mise au point des sondes

Administration de l’infrastructures Mise à jour de l’outil de supervision et des sondes

Contractualisation Rédaction et validation du contrat de service entre le SOC et la

MOA/MOE

Durée de la phase « d’ingénierie » 3 mois


Phase récurrente : traitement des événements

Qualification des événements Analyse de l’événement qui a activé l’alerte (Logs ou signature) Identification d’un « scénario d’attaque » Suppression du bruit (tunning + nez de l’expert)

Qualification de la criticité d’un événement La notion de criticité permet d’établir une hiérarchisation dans traitement de

l’événement

Criticité d’un événement (sévérité de l’événement, sensibilité bien attaqué en DIC)

Le niveau de sévérité peux être défini à partir des critères suivants:• Facilité de mise en œuvre du scénario d’attaque par l’attaquant• « Dangerosité » (pas de contre-mesure, propagation/amplification,…)• Vulnérabilité (potentielle ou constaté)• Profondeur DiD de 1 à 7• Motivation de l’attaquant


Phase récurrente : suite

Notification « client » @IP attaquant @IP, port machine cible Evénements détecté Vulnérabilité de la cible/ événement et impact Plan d’action possible

Préconisation d’un plan d’action Le « SOC » fournit des recommandations Le « SOC » n’intervient pas directement sur l’équipement « attaqué »

Suivi du plan d’action Le « SOC » ne pilote pas le plan d’action Il suit le plan d’action à des fins de capitalisation

Reporting En adéquation avec la demande client


Contrat de service 1/2

Définition du périmètre à superviser Inventaires des « biens »

Identification des acteurs et rôles/responsabilités Contact en cas de détection « d’attaques »

Description de la prestation récurrente Mise en place de « délai » de détection fonction de la criticité

Evolution et maintien Surtout fonction de l’expression du besoin


Contrat de service 2/2

Réunion de suivi Au démarrage du projet mais aussi en phase récurrente

Durée du contrat Logiquement arrêt à la fermeture du service

Délais de réalisation De la mise en place des sondes

Respect « légaux» Clause de confidentialité

Charge Opex


Synchronisation des phases

Analysedu besoin

Etude de faisabilité

Installationconfiguration

Tuning

Politique de sécurité

Cahier des chargesRapport installation

Rapport de tuning

Exploitation

Dossier technique

5 jours 5/10 jours 1 mois


Les processus d’un SOC


Processus global

Responsable service « SOC »

Expression du bessoin

Solution technique

Processus déploiement

solution Porteur

Processus Supervision

Sécurité

Processus Supervision

Sécurité

Soutien Processus Déploiement


De l’expression du besoin au contrat

SOCResponsable service

Demandeur du service Fournisseur

Expression du besoin (CdC)

Analyse de risque

Demande modification

CDC

Cahier des charges

Analyse du cahier des charges

Etude techniqueRéponse au CdC

Validation

Vérification adéquation étude technique / CdC

Demande modification

étude technique

Non

Élaboration / Validation du contrat de service

Validation

Oui

Non

Oui


Processus de déploiement

Non

Oui

SOC

Spécifications sonde

Notification fin d’installation

Problème d’installation

Responsable service

Pilotage déploiement

technique


Devis détailléPilotage

processus d’achatPilotage livraison /

Réception

Suivi processus d’achat

Installation Hardware – O/S

Plan de câblage / mise en baie

Ouverture des flux

Matrice des flux

Demande soutient

Soutient

Installation logiciel « capteur » et configuration

Notification fin d’installation

Réalisation tests de bon

fonctionnement

Réalisation tests de bon

fonctionnement

Démarrage recette tunning

Information flux Alerte/administration


Processus suivi d’incident

Oui

Interlocuteur habilité SOC

Proposition modification signatures

Validation ?

Détection / prise en charge

Qualification

Plan de réaction

Refus modification signatures

Acceptation modification signatures

Rapport de prise en compte

Notification /Préconisations

Faux Positif ?

Acceptation préconisations

Modification Signatures

Non

Non

Oui

Evénement de sécurié

Oui

CapitalisationClôture incident

Reporting MensuelAnalyse reporting


Non


Les « interfaces »


Liste des interfaces 1/2

Un SOC ne doit pas vivre en autarcie Implique une communication entre le SOC et les « processus »

• De veille sécurité

• « De gestion vulnérabilités »

• De gestion de crise

• Des entités non sécurité

• D’autres SOC

• …..


Liste des interfaces 2/2

Entité sécurité spécifique

Lutte anti virale

Expert et auditeur sécurité

Patch management

Virtual SOC

Autres entités N(etwork) O(perating) C(enter) Supervision des applications des systèmes d’exploitations


Liste des interfacesLe service juridique

Données à caractère personnel • Recueillies et traités dans un cadre d’usage déterminé et légitime

Code du travail• Principe de proportionnalité et traitement sans entraver les droits et libertés

Durée de conservations des événements• En fonction des lois en vigueur

Confidentialité• Données consultés uniquement par les services « habilités »

Principe de transparence• Les employés/partenaires sont informés des objectifs poursuivis et de leurs

droits

CNIL Ces principes peuvent être audité par la CNIL


Exemple


Détection périmétrique

SITE A

Bien sensible

SITE B

PHASE 1Identification et prise

d’empreinte non pris en compte

PHASE 2Détection d’une tentative

d’attaque20 événements/5000 en base

Génération d’une

notification d’attaque potentiel


Les moyens techniques


Ressources techniques

SIM/SIEM fonction de base Acquisition des données

• Logs systèmes/application et sonde spécifique• Scanner de vulnérabilité, base d’inventaire

« Corrélation »• « Scénario » d’attaque• Comportemental (déviation par rapport à un modèle stable)• « Environnemental » (inventaire, vulnérabilité)

Reporting• Capacité à générer/visualiser des rapports (ou confié à un outil tierce)

Workflow• Trouble ticketing intégré ou confié à un produit tierce

Asset classification• Positionnent d’un indicateur de criticité


Ressources techniques SIM magic Quadrant (Gardner 2007)


Ressources techniques Sonde

IDS/ « IPS »• Snort, ISS, juniper,…

Log• Application, système et équipement

Honeypot• Honeyd

…..

Gestion Workflow incident interne Base de connaissance

Plate forme de test SIM/SIEM Sondes Outil audit,…..


Les MSSPs


MSSPs Services offerts

Monitoring et management des Firewall et IPS

Monitoring et management des IDS

Lutte contre les dénis de service

Management des anti-virus, anti-spam

SIM et SIEM

Management des vulnérabilités

Fourniture de reporting


MSSPs Leaders

AT&T• Focus sur les dénis de service• http://www.business.att.com/service_portfolio.jsp?

repoid=ProductCategory&repoitem=eb_security&serv_port=eb_security&segment=ent_biz

BT (rachat de Counterpane)• 3 centre de supervision• http://www.counterpane.com/index.html

IBM (rachat de ISS)• Utilisation du Virtual SOC (Atlanta)• http://www.iss.net/services/managed_services/Virtual_SOC_Portal/service_main_page.html

SecureWorks• 3 centre de supervision• Outil propriétaire Sherlok• http://www.secureworks.com/services/infrastructure/soc.html

Symantec• 6 Centre de supervision 1 certifié ISO 27001• http://www.symantec.com/enterprise/services/overview.jsp?pcid=consulting_services&pvid=security_operation_center

VeriSign • 6 centre de supervision• Outil propriétaire TeraGuard• http://www.verisign.com/managed-security-services/why verisign/expertise/SOC/index.html


MSSPs Challengers

Verizon Business • Rachat de Cybertrust (Juillet 2007)• http://www.verizonbusiness.com/us/security/managed/

Unisys• 4 Centre de supervision (security in the box)• http://www.unisys.com/services/security/managed__services/index.htm

SAIC• http://www.saic.com/infosec/mss.html• Travail pour le gouvernement Américain

CSC• http://www.csc.com/solutions/security/offerings/1094.shtml

Geotronics• http://www.getronics.com/global/en-gb/services/security_services.htm

Autre Alcatel http://www.alcatel-lucent.com/wps/portal/solution/detail?LMSG_CABINET=Solution_Product_Catalog&LMS

G_CONTENT_FILE=Solutions/Solution_Detail_000055.xml#tabAnchor1

C&W• 4 équipe (2 -UK 1 -Germany 1-India)


Conclusion


A retenir…..un service de supervision de la sécurité

C’est surtout Une organisation à mettre en place Des moyens humains

Et au final c’est Globalement un « projet » complexe

Un projet long à mettre en place et en perpétuel amélioration

Une réponse à une expression des besoins des services à mettre en supervision

Attention Ce n’est pas des outils


Questions ?


Merci

A l’équipe de supervision de sécurité

A vous

Retour dexpérience création dun service de supervision de sécurité Stéphane Sciacco SCE/MOA...

Documents

Transcript of Retour dexpérience création dun service de supervision de sécurité Stéphane Sciacco SCE/MOA...