Le 10.05.2016, Kyos a organisé une matinée sécurité sur Genève autour du thème "Détectez et neutralisez efficacement
les cybermenaces !"
Introduction :
Se doter d’une « capacité proactive d’intelligence en sécurité » est souvent perçu comme une démarche complexe et coûteuse. Cependant les attaques restent trop souvent identifiées uniquement plusieurs mois ou années après les méfaits. Avec LogRhythm, nous vous apportons une solution de nouvelle génération de visibilité centralisée autour des cybermenaces et incidents, qui a été construite pour :
- centraliser la collecte des logs et évènements de votre infrastructure,
- analyser en temps réel et détecter les menaces,
- accélérer votre workflow de gestion des menaces,
- savoir décerner votre niveau de risque,
- mettre en œuvre rapidement la sécurité analytique,
- orchestrer et automatiser la réponse aux incidents.
Nous vous présenterons les fonctionnalités de LogRhythm et son utilisation possible pour la mise en place d’un SOC (Centre de supervision et d’administration de la sécurité).
Pour les personnes voulant aller plus loin, une deuxième partie « hands-on » technique est organisée pour vous permettre d’évaluer les capacités de la solution en direct. Nous vous remercions de bien vouloir transmettre cette invitation à vos collègues intéressés par ce type d’approche pratique et conviviale.
2013.06.20 - évènement Kyos-Spacecom - 01_Avant-goût du futur de Kyos et Spac...
Détecter et neutraliser efficacement les cybermenaces !
1. Expert sécurité, réseau et services informatiques
Version :
Date :
Classification :
Détecter et neutraliser
efficacement les cybermenaces !
Uwe Hartmann, Richard Quignon
Martino Dell’Ambrogio, Alessandro Miotto, Maxime Feroul
Public
1.0
05.10.2016
Détecter et neutraliser efficacement les cybermenaces !
2. Kyos SARL
Kyos en quelques mots
• Expert sécurité, réseau et services informatiques
• Création à Genève depuis novembre 2002
• Entreprise à taille humaine : 31 personnes
• Société autofinancée et indépendante
• Notre signature :
Détecter et neutraliser efficacement les cybermenaces !
05.10.2016 2
3. Kyos SARL
Acronymes...
SIEM, SOC ?
Security Information and
Event Management
Security Operation Center
Pourquoi en parlons nous ?
Keep an eYe On Security
Une problématique ancrée dans l’ADN
de Kyos...
... partie intégrante de notre vision de la
sécurité dès notre origine
05.10.2016
Détecter et neutraliser efficacement les cybermenaces !
3
4. Kyos SARL
Agenda
• Partie 1 : Présentation et démonstration
‒ 08h30 – 08h40 : Le cycle de vie intégré de détection et de riposte aux menaces, et les problématiques Log
Management, SIEM, SOC.
‒ 08h40 – 09h10 : Le modèle de maturité en matière d’intelligence en sécurité de LogRhythm, modules et
fonctionnalités.
‒ 09h10 – 09h30 : Démonstrations : Outils d’analyse SIEM de nouvelle génération, exemples de « use cases » : de la
menace à la riposte.
‒ A partir de 09h30 : Discussion ouverte
05.10.2016
Détecter et neutraliser efficacement les cybermenaces !
• Partie 2 : Hands-on Experience
‒ accédez directement à l’interface LogRhythm mise à disposition,
‒ testez vous-mêmes comment les menaces peuvent être repérés et répondues assez tôt dans leur cycle de vie,
‒ voir comment mettre en place le traitement des use cases et faire un parallèle avec vos propres scénarios,
‒ se confronter à un cadre de travail possible pour mieux protéger votre organisation face aux cybermenaces.
4
5. Expert sécurité, réseau et services informatiques
Agenda
Le cycle de vie intégré de détection et de
riposte aux menaces, et les problématiques
Log Management, SIEM, SOC.
‐ Le cycle de vie intégré de
détection et de riposte
aux menaces, et les
problématiques Log
Management, SIEM, SOC.
‐ Le modèle de maturité en
matière d’intelligence en
sécurité de LogRhythm,
modules et
fonctionnalités
‐ Démonstrations : Outils
d’analyse SIEM de
nouvelle génération,
exemples de "use cases":
de la menace à la riposte
Détecter et neutraliser efficacement les cybermenaces !
6. Kyos SARL
Contexte
05.10.2016
Détecter et neutraliser efficacement les cybermenaces !
“There are two kinds of big companies in the United States: those who've been hacked by the
Chinese and those who don't know they've been hacked by the Chinese.”
– October 5, 2014
James Comey, FBI Director
Uniquement aux US ?
6
7. Kyos SARL
MELANI/RUAG – Retour Expérience
• «une attaque complexe prends du temps»
• «les attaquants peuvent commettre des
erreurs»
• «nombre de contre-mesures sont peu
onéreuses»
05.10.2016
Détecter et neutraliser efficacement les cybermenaces !
7
8. Kyos SARL
Recommandation
• Le problème n’est pas de savoir si nous allons nous faire attaquerMAIS de
détecter quand cela va se produire.
• ... et si cela c’est déjà produit, de le détecter leplus rapidement possible !
• Réduire le risque :
05.10.2016
Détecter et neutraliser efficacement les cybermenaces !
Détection &
Réponse
Prévention
8
9. Kyos SARL
Comment : SIM ? SEM ? SIEM ? SOC ?
• Tous !
‒SIM + SEM = SIEM
• Approche «holistique»
‒ «Security Intelligence»
• SOC dans le sens : pratiquer / opérer la discipline.
05.10.2016
Détecter et neutraliser efficacement les cybermenaces !
9
10. Kyos SARL
SOC / Security Intelligence - Un programme plus qu’un projet
• «Orienté» par des objectifs
tactiques :
‒Compliance, Restreint à un service
critique, réponse à incidents
• Sponsor(s) & acteurs «internes»
indispensable
‒Appui externe pour certains jalons /
services
05.10.2016
Détecter et neutraliser efficacement les cybermenaces !
10
11. Kyos SARL
People / Organisation
05.10.2016
Détecter et neutraliser efficacement les cybermenaces !
• Valoriser au mieux les compétences de son équipe sécurité.
• Ne pas perdre de temps sur des opérations sans valeur ajoutée.
Security Analyst (Level 1,2,3)
SOC Manager, Report & Dashboard Developer
Security
Guru
11
12. Kyos SARL
Processus
• A définir / documenter / automatiser :
‒Rotation des logs,
‒Notification, réponse à un incident.
‒Gestion des investigations.
‒Développement de rapport.
‒...
‒Développement de cas d’utilisations (Use Cases).
05.10.2016
Détecter et neutraliser efficacement les cybermenaces !
12
13. Kyos SARL
Cas d’utilisations – un aspect«crucial»
• Un
«évènement»
qui requiert
une
surveillance /
intervention.
• Le «principal»
défi de la
«Security
Intelligence»
05.10.2016
Détecter et neutraliser efficacement les cybermenaces !
13
14. Kyos SARL
Créer «rapidement» des nouveaux Use Case !
• Développer un
Use Case = un
mini-projet
‒ Scénario de
détection
‒ procédure
d’alerte et de
réponse rapide
‒ Investigation
pour empêcher
la propagation
‒ ...
05.10.2016
Détecter et neutraliser efficacement les cybermenaces !
14
15. Kyos SARL
Technologie
• Comprendre l’environnement :Diagramme architecture, CMDB, ...
• Information et évènements : Collecte, catégorisation, corrélation, ...
• Intégration dans le SI : IAM, Suite ITSM (gestion des incidents), Service de
notification (SMS GW, Contact Center,...), ...
• S’adapter aux évolutions / transformation du SI
05.10.2016
Détecter et neutraliser efficacement les cybermenaces !
15
16. Kyos SARL
Leverage Security Intelligence !
05.10.2016
Détecter et neutraliser efficacement les cybermenaces !
It’s not only about tools, but you
can’t achieve it without an adequate
solution at your disposal !
16
17. Expert sécurité, réseau et services informatiques
Agenda
Le modèle de maturité en matière
d’intelligence en sécurité de LogRhythm,
modules et fonctionnalités.
Richard Quignon - Sales Engineer
‐ Le cycle de vie intégré de
détection et de riposte
aux menaces, et les
problématiques Log
Management, SIEM, SOC.
‐ Le modèle de maturité en
matière d’intelligence en
sécurité de LogRhythm,
modules et
fonctionnalités
‐ Démonstrations : Outils
d’analyse SIEM de
nouvelle génération,
exemples de "use cases":
de la menace à la riposte.
Détecter et neutraliser efficacement les cybermenaces !
19. Company Confidential
Gartner MQ for SIEM: 2015 vs. 2016
CHALLENGERS LEADERS
NICHE PLAYERS VISIONARIES
Splunk
AccelOps
EventTracker
BlackStratus
Trustwave Micro Focus (NetIQ)
SolarWinds
EMC (RSA)
ABILITYTOEXECUTE
AlienVault
Intel Security
HPE
IBM Security
COMPLETENESS OF VISION
Fortinet (AccelOps)
ManagedEngine
LogRhythm
20. Company Confidential
Gartner – Magic Quadrant for Security Information and Event Management - 2016
• LogRhythm combines SIEM capabilities with endpoint
monitoring, network forensics, UEBA and incident
management capabilities to support security
operations and advanced threat monitoring use cases
• LogRhythm provides a highly interactive and
customizable user experience, with dynamic context
integration and security monitoring workflows.
• LogRhythm provides emerging automated response
capabilities to execute actions on remote devices
• Gartner receives consistent user feedback stating that
LogRhythm's solution is straightforward to deploy and
maintain, and provides effective out-of-the-box use
cases and workflows
• LogRhythm continues to be very visible in the
competitive SIEM technology evaluations of Gartner
clients
22. Company Confidential
Big Data Analytics can best detect these threats
LogRhythm Delivers:
• Big Data analytics to identify
advanced threats
• Qualified and prioritized
detection, reducing noise
• Incident response workflow
orchestration and automation
• Capabilities to prevent high-
impact breaches & damaging
cyber incidents
However, advanced threats:
• Require a broader view to recognize
• Only emerge over time
• Get lost in the noise
Prevention-centric approaches
can stop common threats
A New Security Approach is Required
23. Company Confidential
Recon. and
Planning
Initial
Planning
Command
and Control
Lateral
Movement
Target
Attainment
Exfiltration,
Corruption,
Disruption
Data Breaches Can Be Avoided
Advanced threats take their time
and leverage the holistic attack surface
Early neutralization stops cyber incidents and data breaches
24. Company Confidential
Security Intelligence & Analytics Platform
Time to Detect Time to Respond
Recover
Cleanup
Report
Review
Adapt
Neutralize
Implement
countermeasures
to mitigate threat
Investigate
Analyze threat to
determine nature
and extent of the
incident
Qualify
Assess threat to
determine risk
and whether full
investigation
is necessary
Detect &
Prioritize
Search
Analytics
Machine
Analytics
Collect &
Generate
Forensic
Sensor Data
Security
Event Data
Log &
Machine Data
Example Sources
Example Sources
Threat Lifecycle Management
41. Expert sécurité, réseau et services informatiques
Agenda
Démonstrations : Outils d’analyse SIEM de
nouvelle génération, exemples de "use
cases" : de la menace à la riposte.
‐ Le cycle de vie intégré de
détection et de riposte
aux menaces, et les
problématiques Log
Management, SIEM, SOC.
‐ Le modèle de maturité en
matière d’intelligence en
sécurité de LogRhythm,
modules et
fonctionnalités
‐ Démonstrations : Outils
d’analyse SIEM de
nouvelle génération,
exemples de "use cases":
de la menace à la riposte.
Détecter et neutraliser efficacement les cybermenaces !