Détecter et neutraliser efficacement les cybermenaces !Uwe Hartmann, Richard QuignonMartino Dell’Ambrogio, Alessandro Miotto, Maxime Feroul
Public
1.0
05.10.2016
Détecter et neutraliser efficacement les cybermenaces !
Presenter
Presentation Notes
Durée : 30s Présentation des acteurs : LogRythm : Uwe , Richard Martino Dell’Ambrogio : Analyste Sécurité - expérience de 2 ans dans un SOC, 70% de son temps depuis l’année dernière pour un de nos clients, questionner le sur la «vraie vie» & l’utilisation d’un outil au quotidien.
Kyos SARL
Kyos en quelques mots
• Expert sécurité, réseau et services informatiques• Création à Genève depuis novembre 2002• Entreprise à taille humaine : 31 personnes• Société autofinancée et indépendante• Notre signature :
Détecter et neutraliser efficacement les cybermenaces !
05.10.2016 2
Presenter
Presentation Notes
Durée : 45s Message : Kyos, SSII à taille humaine, 3 domaines mais une signature commune / culture sécurité Transition : parlons le même language ... acronymes principaux Notre signature " embedded security " exprime la forte culture sécurité qui imprègne Kyos depuis sa création. L’attitude " embedded security " est partagée au quotidien par notre équipe et est au cœur de notre savoir-faire. Vous aussi optez pour des services IT avec " sécurité intégrée ".
Kyos SARL
Acronymes...
SIEM, SOC ?
Security Information andEvent Management
Security Operation Center
Pourquoi en parlons nous ?
Keep an eYe On Security
Une problématique ancrée dans l’ADNde Kyos...
... partie intégrante de notre vision de la sécurité dès notre origine
05.10.2016
Détecter et neutraliser efficacement les cybermenaces !
3
Kyos SARL
Agenda
• Partie 1 : Présentation et démonstration‒ 08h30 – 08h40 : Le cycle de vie intégré de détection et de riposte aux menaces, et les problématiques Log
Management, SIEM, SOC.‒ 08h40 – 09h10 : Le modèle de maturité en matière d’intelligence en sécurité de LogRhythm, modules et
fonctionnalités.‒ 09h10 – 09h30 : Démonstrations : Outils d’analyse SIEM de nouvelle génération, exemples de « use cases » : de la
menace à la riposte.‒ A partir de 09h30 : Discussion ouverte
05.10.2016
Détecter et neutraliser efficacement les cybermenaces !
• Partie 2 : Hands-on Experience‒ accédez directement à l’interface LogRhythm mise à disposition,‒ testez vous-mêmes comment les menaces peuvent être repérés et répondues assez tôt dans leur cycle de vie,‒ voir comment mettre en place le traitement des use cases et faire un parallèle avec vos propres scénarios,‒ se confronter à un cadre de travail possible pour mieux protéger votre organisation face aux cybermenaces.
4
Presenter
Presentation Notes
Durée : 30s Faire vite ... ;)
Expert sécurité, réseau et services informatiques
Agenda Le cycle de vie intégré de détection et de riposte aux menaces, et les problématiques Log Management, SIEM, SOC.
- Le cycle de vie intégré de détection et de riposte aux menaces, et les problématiques Log Management, SIEM, SOC.
- Le modèle de maturité en matière d’intelligence en sécurité de LogRhythm, modules et fonctionnalités
- Démonstrations : Outils d’analyse SIEM de nouvelle génération, exemples de "use cases":de la menace à la riposte
Détecter et neutraliser efficacement les cybermenaces !
Kyos SARL
Contexte05.10.2016
Détecter et neutraliser efficacement les cybermenaces !
“There are two kinds of big companies in the United States: those who've been hacked by the Chinese and those who don't know they've been hacked by the Chinese.”– October 5, 2014
James Comey, FBI Director
Uniquement aux US ?
6
Presenter
Presentation Notes
Durée : 45s Message : Le clin d’oeil est il vraiment une joke ? Il y ceux qui sont victime d’une cyberattaque et ceux qui ne le save pas ! Nous sommes concernés en Suisse également. L’objet n’est pas de vous montrer une centaine de statistiques sur les APT, les intrusion etc, ni faire plus peur que de raison, mais bien de rappeler que ce n’est pas non plus de la science fiction ! Rappeller l’érosion du périmètre (avec un grand coup quand on sera obligé de tous passer dans Azur ...) Transition : Le Cas du RUAG est intéressant car il été décortiqué par MELANI.
Kyos SARL
MELANI/RUAG – Retour Expérience
• «une attaque complexe prends du temps»• «les attaquants peuvent commettre des
erreurs»• «nombre de contre-mesures sont peu
onéreuses»
05.10.2016
Détecter et neutraliser efficacement les cybermenaces !
7
Presenter
Presentation Notes
Durée : 30s Message : Une chose intéressante est la chronologie de l’attaque. Il faut détecter les attaques et ce n’est pas «impossible» ni «irréaliste.» Dans le rapport, nous émettons plusieurs recommandations et proposons des contre-mesures que nous estimons les plus efficaces contre ce type de menace au niveau des terminaux, de l’Active Directory ainsi qu’au niveau du réseau. Il est important de souligner que nombre de ces contre-mesures sont peu onéreuses et que leur mise en oeuvre nécessite une charge de travail raisonnable. Même s’il est difficile d’assurer à une organisation une protection totale contre de telles attaques, nous restons persuadés que les attaquants peuvent être repérés, car ils sont aussi susceptibles de commettre des erreurs. L’organisation victime doit être capable de détecter les signes de ces attaques et d’échanger des informations à ce sujet avec des tiers afin qu’il soit possible de suivre les agissements des auteurs.
Kyos SARL
Recommandation
• Le problème n’est pas de savoir si nous allons nous faire attaquer MAIS de détecter quand cela va se produire.
• ... et si cela c’est déjà produit, de le détecter le plus rapidement possible !• Réduire le risque :
05.10.2016
Détecter et neutraliser efficacement les cybermenaces !
Détection & Réponse
Prévention
8
Presenter
Presentation Notes
Durée : 30s Message : Zero DAY, APT sont quasi impossible à prevenir. Plus on detecte rapidement plus on réduit le niveau de risque. Balance dans ces invest. entre prevention & detection / reponse
Kyos SARL
Comment : SIM ? SEM ? SIEM ? SOC ?
• Tous !‒SIM + SEM = SIEM
• Approche «holistique»‒ «Security Intelligence»
• SOC dans le sens : pratiquer / opérer la discipline.
05.10.2016
Détecter et neutraliser efficacement les cybermenaces !
9
Presenter
Presentation Notes
Durée : 30s Message : Définir la security intelligence. SOC = pratiquer la discipline. On ne parle plus d’IDS / APS / IDPS ... mais
Kyos SARL
SOC / Security Intelligence - Un programme plus qu’un projet
• «Orienté» par des objectifs tactiques :‒Compliance, Restreint à un service
critique, réponse à incidents
• Sponsor(s) & acteurs «internes» indispensable‒Appui externe pour certains jalons /
services
05.10.2016
Détecter et neutraliser efficacement les cybermenaces !
10
Presenter
Presentation Notes
Durée : 60s Message : Un processus itératif, issu / cadré par d’une strategie de GRC (Governance, Risk Management, and Compliance). Necéssite un sponsor interne. Des enjeus dans trois domaines (sans parler du budget) Quelques défis: Utiliser au mieux les compétences de son équipe sécurité. Ne pas perdre de temps sur des opérations sans valeur ajoutée. Simplifier l’analyse. Automatiser les processus (incident response, investigation, ...). Définir, enrichir des use case Budget ! Cout ? Temps / Efficacité ? Expertise ? People: Maximize the value of your security team in order to build an effective and efficient monitoring and response program Processes: Build repeatable, enabled, and automated workflows that align your Security Intelligence Platform with your organization’s functions and responsibilities Technology: Optimally leverage environmental data and threat intelligence, detect advanced attacks with real-time machine analytics, and rapidly neutralize threats with the industry’s leading detection and response platform Advance Your Threat Management LogRhythm’s centralized platform consolidates, normalizes, monitors, and prioritizes your security technologies and data to help you continually improve your mean-time-to-detect (MTTD) and mean-time-to-respond (MTTR). Meet Compliance and Regulatory Requireme nts LogRhythm helps you meet stringent regulatory requirements. Streamline compliance with the purpose-built reports in our compliance automation modules. Enforce compliance in real-time with analytics rules and dashboards. Rapidly Realize Value LogRhythm’s unified architecture streamlines deployment and ongoing management, while out-of-the-box content helps you rapidly reach your threat management and compliance objectives. Scale Over Time Regardless of performance, storage or device support requirements, LogRhythm’s modular architecture gives you the flexibility and functionality you need now and as you grow. Ce n’est pas l’objet de parcouri toute les étapes de / defi de construction d’un SOC, mais pour introduire et vous faire sentir quelque aspects je vous propose de reprendre un un use case qui nous “parle” : les ransomware !
Kyos SARL
People / Organisation05.10.2016
Détecter et neutraliser efficacement les cybermenaces !
• Valoriser au mieux les compétences de son équipe sécurité. • Ne pas perdre de temps sur des opérations sans valeur ajoutée.
Durée : 30s Message : La taille va dépendre des objectifs & moyens disponible. Quelle que soit la taille / constitution de l’équipe l’enjeu reste le même. Il faut la valoriser au maximum. Staffing a SOC can be more difficult than expected. Two questions that executives ask are: - 1. How many employees do I need? -2. What skill sets are required? The number of employees is dependent on the operating hours of the SO Possible profile : - Security Analyst. .level 1 - Security Specialists. level 2 - Forensics or Threat Investigators. level3 - Manager or Director: document / manage ... - Report & Use Case developper :
Kyos SARL
Processus
• A définir / documenter / automatiser :‒Rotation des logs, ‒Notification, réponse à un incident.‒Gestion des investigations.‒Développement de rapport.‒ ...
‒Développement de cas d’utilisations (Use Cases).
05.10.2016
Détecter et neutraliser efficacement les cybermenaces !
12
Presenter
Presentation Notes
Durée : 20s Message : Enjeu documentaire et définition de nombreux processus. Rien ne sert qu‘un expert sécu, détecte une menace s’il ne sait pas quelle plan réaction / suite il faut donner Monitoring procedure. Notification procedure (email, mobile, home, chat, etc.). Notification and escalation processes. Shift logging procedures. Incident logging procedures. Compliance monitoring procedure. Report development procedure. Incident investigation procedures (malware, etc.
Kyos SARL
Cas d’utilisations – un aspect«crucial»
• Un «évènement» qui requiert une surveillance / intervention.
• Le «principal» défi de la «Security Intelligence»
05.10.2016
Détecter et neutraliser efficacement les cybermenaces !
13
Presenter
Presentation Notes
Durée : 30s Message : Importance des Use Case. Un plus que l’on va rechercher dans une solution : une banque de use case prédéfini. Transition : Mais surtout il faut pouvoir en créer rapidement. To ensure the SOC is effective, a series of Use Cases must be defined. The term “Use Cases” may be a little misleading—think of them as events that require SOC intervention and/or monitoring. For instance, a repeat attack from a single source is a Use Case. It’s an actionable component of the SIEM in which the SOC was notified of, through the network’s primary monitoring tool. A Use Case may include the involvement of a Rule, Alarm, or even a Dashboard to meet the organization’s requirements. Before defining Use Cases, it is important to have a firm grasp on the company policy, its assets, and the technical environment. A good way to develop Use Cases is by viewing the network from an attacker’s perspective; think of a disruption to the environment. Another option is to look at the regulations the organization is subject to and evaluate the items that could become non-compliant.
Kyos SARL
Créer «rapidement» des nouveaux Use Case !
• Développer un Use Case = un mini-projet‒ Scénario de
détection ‒ procédure
d’alerte et de réponse rapide
‒ Investigation pour empêcher la propagation
‒ ...
05.10.2016
Détecter et neutraliser efficacement les cybermenaces !
14
Presenter
Presentation Notes
Durée : 60s Message : Nouvelle menace – les cryptolocker. Il faut réagir et construire un nouveau use case Identification des source d’info / moyen de detection Processus simple de notification : Actions urgentes : couper le réseau / isoler le file server , identifier la source pour empecher la propagation / reproduction , etc. Micro - Projet requirement (business, compliance, security, ...) scope : Infra IT concernées event source validation pahse : ensure event source produce the required data to trigger the event detection logic : pattern, behavior,.. define process, notification rule, implement & test document Use Case response procedure Un process en echec (i.e le cryptolocker essaye des chiffrer des folder auquel il n’a pas accès ...) Un utilisateur = une piste pour identifier le cyptolocker et qui en a été victime : Scénario de détection procédure d’alerte et de réponse rapide Investigation pour empêcher la propagation ...
Kyos SARL
Technologie
• Comprendre l’environnement : Diagramme architecture, CMDB, ...• Information et évènements : Collecte, catégorisation, corrélation, ...• Intégration dans le SI : IAM, Suite ITSM (gestion des incidents), Service de
notification (SMS GW, Contact Center,...), ...• S’adapter aux évolutions / transformation du SI
05.10.2016
Détecter et neutraliser efficacement les cybermenaces !
15
Presenter
Presentation Notes
Durée : 45s Message : C’est l’objet de la suite de la présentation, il faut retenir que les enjeux ne sont pas juste de collecter & corréler des logs Gestion de Case d’investigation Big Data : Masse de donnée Catégorisation automatique Exigence de compliance : intégrité des traces Understand the Environment : Without an understanding of the technical environment, it will be difficult to investigate and to understand if an actual attack has occurred. For this reason, the staff within the SOC must have the appropriate tools, diagrams, and knowledge of the network to perform their daily job. It is important to have both an electronic and a hard copy of the key network and application architecture diagrams. For any new SOC staff, navigating and understanding the environment should be included as part of their required basic training. This will also help meet SLAs and overall customer service within the SOC.
Kyos SARL
Leverage Security Intelligence ! 05.10.2016
Détecter et neutraliser efficacement les cybermenaces !
It’s not only about tools, but you can’t achieve it without an adequate solution at your disposal !
16
Presenter
Presentation Notes
It is not only a matter of tools , but you can‘t achieve it without IT A critical aspect of SOC design is the optimization of the triad of people, processes and technology, and their interactions. Investing in sophisticated security solutions will offer compre-hensive protection to your network, but tools are only as good as the people using them. Hence, the investment you make in people is as, if not more important. In the same vein, the best security analysts will fall short of providing a holistic view of the organizational security posture without adequate tools at their disposal. Underlying the two—people and technology—is the need for well-defined processes and workflows. Building an SOC, thus, requires seamless communication between the different functions, disparate security products and the numerous processes and procedures. Positionnement / Pérénnité : - Gartner La principale raison, reste technologique : Ces solutions reste un investissment important, elle doivent êter scalable performace et pertinentes et surtout faire ganger du temps si on veut un ROI ! - Il est capable d'extraire les métadonnées et catégoriser finement les messages de presque un millier de types de log (syslog, event logs, bases de données et même des API spécifiques pour certains services cloud) et des nouvelles règles de parsing sont facilement écrites. - Il possède un grand nombre de règles d'analyse et corrélation basés sur ces métadonnées et catégorisations, qui peuvent donc être utilisés out-of-the-box et seront appliqués à n'importe quel log, et la création de nouvelles règles d'analyse et corrélation sont facilement écrites. Donc facilité d'intégration et choix du fonctionnement (métadonnées/indexing dès que le message est reçu, pas comme Splunk qui cherche on-the-fly sur un datalake). Parmi les raisons secondaires, je dirais : - Plusieurs bases de données (4-5) avec des scopes différents (expiration, vitesse, compression, etc.) permettent d'achever plusieurs objectifs : forensic, compliance, alerting, etc. - Moteur de corrélation techniquement excellent (par exemple la possibilité de corréler avec l'absence d'un messages, ou corréler avec un message passé). - Interface de présentation/analyse/forensic très moderne (HTML5), comprenant la gestion de Case.
Expert sécurité, réseau et services informatiques
Agenda Le modèle de maturité en matière d’intelligence en sécurité de LogRhythm, modules et fonctionnalités.Richard Quignon - Sales Engineer
- Le cycle de vie intégré de détection et de riposte aux menaces, et les problématiques Log Management, SIEM, SOC.
- Le modèle de maturité en matière d’intelligence en sécurité de LogRhythm, modules et fonctionnalités
- Démonstrations : Outils d’analyse SIEM de nouvelle génération, exemples de "use cases":de la menace à la riposte.
Détecter et neutraliser efficacement les cybermenaces !
Company Confidential
Company LogRhythm
Security Intelligence (SIEM)
Focus Customer Satisfaction (RenewalRate over 96%)
Recognized Market Leader
3.000+ Customers Worldwide
100% Channel
Company Confidential
Gartner MQ for SIEM: 2015 vs. 2016CHALLENGERS LEADERS
NICHE PLAYERS VISIONARIES
Splunk
AccelOps
EventTrackerBlackStratus
Trustwave Micro Focus (NetIQ)
SolarWinds
EMC (RSA)AB
ILIT
Y TO
EXE
CUTE
AlienVault
Intel Security
HPE
IBM Security
COMPLETENESS OF VISION
Fortinet (AccelOps)
ManagedEngine
LogRhythm
Company Confidential
Gartner – Magic Quadrant for Security Information and Event Management - 2016
• LogRhythm combines SIEM capabilities with endpoint monitoring, network forensics, UEBA and incident management capabilities to support security operations and advanced threat monitoring use cases
• LogRhythm provides a highly interactive and customizable user experience, with dynamic context integration and security monitoring workflows.
• LogRhythm provides emerging automated response capabilities to execute actions on remote devices
• Gartner receives consistent user feedback stating that LogRhythm's solution is straightforward to deploy and maintain, and provides effective out-of-the-box use cases and workflows
• LogRhythm continues to be very visible in the competitive SIEM technology evaluations of Gartner clients
Presenter
Presentation Notes
Company ConfidentialCompany Confidential
Why more Security?
Company Confidential
Big Data Analytics can best detect these threats
LogRhythm Delivers:• Big Data analytics to identify
advanced threats
• Qualified and prioritized detection, reducing noise
• Incident response workflow orchestration and automation
• Capabilities to prevent high-impact breaches & damaging cyber incidents
However, advanced threats:• Require a broader view to recognize• Only emerge over time• Get lost in the noise
Prevention-centric approachescan stop common threats
A New Security Approach is Required
Presenter
Presentation Notes
Key Talking Points: With traditional methods, threats get lost in the noise. “Big Data” analytics can help solve this problem. “Prioritized threats” ----- Notes: Previous slides are about painting a picture of the environment. This slide begins our shift toward presenting a solution. Some things can be blocked and stopped, but only known threats in real-time, or otherwise you get in the way of the business. Analytics is needed to address the threats that get through. We use big data analytics to separate the signal from the noise. This slide also sets up our incident response message.
Company Confidential
Recon. and Planning
Initial Planning
Command and Control
Lateral Movement
Target Attainment
Exfiltration,Corruption,Disruption
Data Breaches Can Be Avoided
Advanced threats take their timeand leverage the holistic attack surface
Early neutralization stops cyber incidents and data breaches
Presenter
Presentation Notes
Key Talking Points: “Holistic attack surface” Mission realization Kill the threat easily Previous breaches would’ve been avoided if detected early. ----- Notes: Goes further on our solution to show that damaging breaches can be avoided because the attack lifecycle takes time. The lifecycle of a threat begins with reconnaissance. Find their way in by manipulating users, dropping USB keys in parking lot, compromising physical environment, etc. At some point, they will begin to engage with the environment and eventually compromise the system. If that compromise isn’t detected, they will take increasing control over the environment and move laterally toward their target, taking over accounts and systems until they attain their target, where the biggest damage is done: exfiltration, corruption, disruption, etc. This is how threats work. If we can stop the attacker after the initial compromise, we can prevent the damaging breach.
Company Confidential
Security Intelligence & Analytics Platform
Time to Detect Time to Respond
Recover
Cleanup
Report
Review
Adapt
Neutralize
Implement countermeasures to mitigate threat
Investigate
Analyze threat to determine nature and extent of the
LogRhythm System MonitorFile Integrity MonitoringFile Activity MonitoringProcess MonitoringNetwork Connection
LogRhythm Network MonitorDeep Packet InspectionApplication IdentificationDerived Meta Data
Company Confidential
DP
PM
DX
DP
DX
Deployed: Pinned-Architecture
Presenter
Presentation Notes
Rather than using Processing and Indexing on the same appliance we can now scale this out to separate roles to improve performance
Company Confidential
Deployed: Cluster-Architecture
DX DX DX
DP DP
PM
Presenter
Presentation Notes
High Availability, DR and Clustering available for resilience and performance increase Anti-splunk: Resilient cluster architecture, any clustered node can be master, no manual reconfiguration of config files, no point of failures No multiple node searching, single cluster node is bottleneck
Greater threat resiliency is achieved at higher levels of security intelligence maturity
Months
Days
Hours
Minutes
Weeks
Tim
efra
me
Level 0 Level 1 Level 2 Level 3 Level 4
Exposed to Threats Resilient to Threats
Presenter
Presentation Notes
Key Talking Points: “Mean-time-to-detect” and “Mean-time-to-response” Reduce risk of damaging cyber incident or data breach ----- Notes: What’s the solution? Faster detection and faster response. We’ve developed a model to assess your current maturity and ability to detect and respond to threats. Help customers measure their overall security posture. Many studies show that MTTD and MTTR are measured in weeks and months, and companies that want to improve need the types of solutions we provide.
Company Confidential
Maturity Level 0 1 2 3
Security Posture
4In
vestm
ent
Log Management
Blind Minimally Compliant
Securely Compliant Vigilant Resilient
SIEM
User Forensics
Endpoint Forensics
Network Forensics
Machine Analytics
Vulnerability Intelligence
Threat Intelligence
Monitoring Response Process
Security Operations Centre
SIMM Overview
Company Confidential
Link: do your own assessment
Expert sécurité, réseau et services informatiques
Agenda Démonstrations : Outils d’analyse SIEM de nouvelle génération, exemples de "use cases" : de la menace à la riposte.
- Le cycle de vie intégré de détection et de riposte aux menaces, et les problématiques Log Management, SIEM, SOC.
- Le modèle de maturité en matière d’intelligence en sécurité de LogRhythm, modules et fonctionnalités
- Démonstrations : Outils d’analyse SIEM de nouvelle génération, exemples de "use cases":de la menace à la riposte.
Détecter et neutraliser efficacement les cybermenaces !