Comment réussir un projet de supervision de sécurité ?
Le SIEM (définition)
Security Incident & Event Management
• Collecte les journaux (multi formats)
• Normalise les événemen...
Physionomie d’une attaque
L’attaquant scanne le périmètre pour découvrir une
faille dans le périmètre
L’attaquant traverse...
Logigramme
Analyse
Parsing
Collecte
Logs IT-IS-IM
Capture paquets/sessions
Flux d’informations
Archivage
Reporting
Détecti...
Evénements pondérés
Faux positifs, recorrélation, etc.
Corrélation
Agrégationdelogs
Corrélationd’événement
Corrélationvuln...
Les modèles SOCs
Opérations
Gestion des
événements
Gestion des
vulnérabilités
Gestion des
opérations
Gestion des
référenti...
Les modèles de delivery
Intégration
•Accompagnement à Maitrise d’Ouvrage(aide au choix, rédaction de RFI, RFP, etc.)
•Inst...
Les + de notre offre: Plan Do Check Act
Il s’agit, sur la base d’une quantité significative de logs et en
complément des s...
Conclusion
Une démarche SIEM réussie c’est :
• La fourniture d'indicateurs opérationnels et métiers nouveaux et la détecti...
Les erreurs à éviter
Défaut de continuité dans la chaine de transport du log
Objectifs de surveillance mal ciblés
• Faible...
Les facteurs clés
Paradigme
•la sécurité est une
activité pilotée par
l’entreprise
•Le SIEM facilite la
lecture
SIEM et pa...
Le marché SIEM sur 3 ans (source Gartner)
• Consolidation du marché de 25 acteurs à 16
• Seuls les produits mures technolo...
Cliquez pour modifier le style du titre
David.Maillard@Sogeti.Com
+33 6 24 13 32 03
ENVIE D’EN PARLER OU D’ALLER PLUS LOIN...
Prochain SlideShare
Chargement dans…5
×

Comment réussir un projet de supervision de sécurité #SIEM #Succès

1 612 vues

Publié le

Publié dans : Données & analyses
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
1 612
Sur SlideShare
0
Issues des intégrations
0
Intégrations
18
Actions
Partages
0
Téléchargements
1
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Comment réussir un projet de supervision de sécurité #SIEM #Succès

  1. 1. Comment réussir un projet de supervision de sécurité ?
  2. 2. Le SIEM (définition) Security Incident & Event Management • Collecte les journaux (multi formats) • Normalise les événements (taxonomie) • Corrèle et Reporte (tableaux de bords techniques, de pilotage et managériaux, synchrone et asynchrone) • Archive (au sein mémoriel et légal du terme) • Rejoue des événements (dans le cadre d’une analyse post mortem par exemple) • Gère le suivi (I) Objectifs métiers •Technique et/ou juridique : Collecte et centralisation de logs avec quelques règles de corrélations •Besoin : investigation technique interne, statistiques d’usages et détection d’usages anormaux •Conformité : Répondre à des besoins réglementaires (CNIL, PCI DSS, RDBF, etc.) •Besoin : indicateurs issus de corrélations visant à surveiller des données et/ou des traitements •Proactif : détection de comportements anormaux •Besoin : suivi d’utilisation, détection d’APT, etc.
  3. 3. Physionomie d’une attaque L’attaquant scanne le périmètre pour découvrir une faille dans le périmètre L’attaquant traverse les lignes de défenses et compromet un équipement en exploitant une vulnérabilité Depuis l’équipement compromis l’attaquant cible des données confidentielles (SGBD, collaboratif, etc.) L’attaquant déploit des backdoors pour exfiltrer les données sensibles et élargir sa surface d’attaque Les équipements d’interfaces journalisent les scans horizontaux et verticaux Les IDS/IPS détectent les signatures d’attaques et contrôlent l’effectivité des barrières Les serveurs journalisent les accès Les bases de données journalisent les requêtes Le SIEM corrèle et détecte les attaques
  4. 4. Logigramme Analyse Parsing Collecte Logs IT-IS-IM Capture paquets/sessions Flux d’informations Archivage Reporting Détection temps réel
  5. 5. Evénements pondérés Faux positifs, recorrélation, etc. Corrélation Agrégationdelogs Corrélationd’événement Corrélationvulnérabilité Corrélationd’inventaire Gestionderisques Alerte Gestion de crise Retour à la normale 1012 109 106 103 10 1
  6. 6. Les modèles SOCs Opérations Gestion des événements Gestion des vulnérabilités Gestion des opérations Gestion des référentiels Technologique Gestion des configurations Gestion et MCO de la solution Gestion des infrastructure s Métiers Gestion des escalades Gestion de la disponibilité PRA/PCA Gestion des évolutions Gestion des KPI et SLA Analyse Gestion des incidents Gestion des investigations Gestion des problèmes Gestion des indicateurs PAQ, PAS, Plan de Management, Catalogue de Services, etc. Des équipes organisées et indépendantes
  7. 7. Les modèles de delivery Intégration •Accompagnement à Maitrise d’Ouvrage(aide au choix, rédaction de RFI, RFP, etc.) •Installation (POC, Pilote, déploiement, maintenance, etc.) •Mise en œuvre des processus (RACI, Plan de management, catalogue de services, etc.) Infogérance •Suite à une intégration ou à une réversibilité •Mise en place d’équipes N1/N2 chez les clients N3 en base arrière sur base horaire contractuelle •Organisation 24/7/365 sur site ou en mode bascule sur SOC interne maitrisé (FRA/IND) Services Managés •Modèle SIEM as a Service •Intégration dans l’infrastructure du client ou modèle externe •Equipe dédiée ou mutualisée •Choix d’une technologie ou d’un modèle en Unités d’Œuvres
  8. 8. Les + de notre offre: Plan Do Check Act Il s’agit, sur la base d’une quantité significative de logs et en complément des solutions existantes: • De réaliser – l’identification et la collecte les données – la modélisation (schéma en étoile, KPI, dimensions) – la visualisation et l’analyse des données. • D’identifier – les comportements atypiques et les zones cachées dans les épaisseurs de trait, – les groupes (clusters) de données ayant des comportements proches et des paramètres explicatifs à ces clusters. – les tendances. Approche progressive : • Data exploration  Recherche de singularités • Data control  Recherche focalisée à partir des singularités et des d’input métiers • Data Mining  Corrélation des données
  9. 9. Conclusion Une démarche SIEM réussie c’est : • La fourniture d'indicateurs opérationnels et métiers nouveaux et la détection incidents méconnus auparavant. • Un mode de gouvernance sécurité plus réactif et plus précis basé sur un contrôle permanent extrêmement fin des systèmes d’information • Un procédure et des réactions, testés et déroulées avec la même rigueur que les PCA ou PRA. • Une baisse des coûts d’audits périodiques (données d'audits exploitables au niveau des SOC)
  10. 10. Les erreurs à éviter Défaut de continuité dans la chaine de transport du log Objectifs de surveillance mal ciblés • Faible diversité des événements détectés (seuils trop élevés, donc sans intérêt pour les acteurs) • Complexité mail maîtrisée (impossible à corréler) • Finalité sécurité (améliorer des investissements sécurité, pratiques dangereuses) Focaliser la surveillance sur les équipements de sécurité ou la DMZ au détriment des serveurs et des postes de travail (Approche Jéricho) Négligence dans les objectifs de détection • Comportements des usagers internes (signaux faibles et APT) • Préservation des biens et des fonctions sensibles Défaut de vérification de l’effectivité des corrélations (PDCA)
  11. 11. Les facteurs clés Paradigme •la sécurité est une activité pilotée par l’entreprise •Le SIEM facilite la lecture SIEM et pas SEM •engagements d’interventions voire de résolutions sur les alertes •RACI l’organisation Périmètre •intégrer le GT-BC •les systèmes industriels •les accès aux locaux, Communiquer et accompagner •Les avantages (dissocier l’intentionnel de l’accidentel) •Indicateurs de succès des taches quotidiennes •Alertes avancées Reporting •Temps réel (remontée d’alertes rapides sur détection proactive) •Périodique (vision synthétique hebdomadaire ou mensuelle) •Type de projet (solution, logiciel, infogérance, MSSP, etc. ) •Les finalités •Le périmètre (technique et fonctionnel) •L’équipe projet en charge du déploiement, du MCO et de l’exploitation Objectifs •Pré requis (synchronisation temporelle, standardisation des types de journaux, etc.) •Conception, construction et opération (différents périmètres) •Organisation des équipes (niveaux, plages horaires, etc. Planifier •Ne pas se restreindre (le diable est dans les détails) •Partager un référentiel commun de temps •Sécuriser et sceller l’archivage •Vérifier périodiquement l’effectivité de la corrélation (PDCA) Ne pas oublier
  12. 12. Le marché SIEM sur 3 ans (source Gartner) • Consolidation du marché de 25 acteurs à 16 • Seuls les produits mures technologiquement et avec une roadmap ambitieuse sont leaders
  13. 13. Cliquez pour modifier le style du titre David.Maillard@Sogeti.Com +33 6 24 13 32 03 ENVIE D’EN PARLER OU D’ALLER PLUS LOIN WANT TO GO DEEPER OR FORWARD

×