SlideShare une entreprise Scribd logo
1  sur  51
IBM SECURITY
UNE NOUVELLE APPROCHE DE LA SÉCURITÉ
Serge RICHARD – CISSP®
Security Channel Technical Leader Europe
Security Architect
IBM Security
serge.richard@fr.ibm.com
2 IBM Security
Les postulats de la sécurité d’aujourd’hui
CONFORMITÉ
ERREUR
HUMAINE
EXPERTISE
ATTAQUE
EVOLUÉE
INNOVATION
3 IBM Security
2013
800+ Million d’incidents
2014
1+ Milliard d’incidents
2015
Impact sans précèdent
Chaque jour, les pirates contournent les protections
$6.5M
Coût moyen perte de données (U.S.)Temps moyen de détection APTs
256 jours
V2016-2-11
Source: IBM X-Force Threat Intelligence Quarterly
4 IBM Security
Mode d’emploi pour se faire voler de l’information…
http://www.verizonenterprise.com/DBIR/
L’utilisateur du système d’information ainsi
que les vulnérabilités de ce même système
d’information sont les deux vecteurs
principaux sur lesquels se basent les
attaques…
5 IBM Security
Deux familles – Attaques non ciblées
Avec les attaques de non-ciblées, les attaquants ciblent indistinctement, autant que possible des dispositifs et des services
informatiques ainsi que des utilisateurs.
Ils ne se soucient pas de savoir qui est la victime car ils sont quasiment certains de trouver un certain nombre de machines
ou de services avec des vulnérabilités.
Pour ce faire les attaquants utilisent des techniques qui se basent sur des services de l’Internet.
• Phishing (Hameçonage) - envoi de courriels à un grand
nombre de personnes demandant des informations sensibles
(telles que les coordonnées bancaires) ou encourageant ceux-ci à
visiter un faux site Web.
• Waterholing (Trou d’eau) -mise en place d'un faux site Web
ou compromission d’un site légitime afin de compromettre
les machines des utilisateurs qui le visitent
http://searchsecurity.techtarget.com/feature/Targeted-Cyber-Attacks
6 IBM Security
Deux familles – Attaques non ciblées (suite)
• Ransomware – Chiffrement des espaces de stockage de l’entreprise par un logiciel malveillant dans le but d’une extorsion financière.
7 IBM Security
Deux familles – Attaques ciblées
Dans une attaque ciblée, l’entreprise (voir un pays, Opérateur d’Importance Vitale - OIV) est ciblée parce
qu’elle a un intérêt particulier pour l'attaquant, ou celui-ci a été payé pour cela.
Le travail de fond est plus important et la définition du processus d’attaque peut prendre plusieurs mois avant
que les attaquants puissent trouver la meilleure méthode pour compromettre les systèmes ou les utilisateurs.
Une attaque ciblée est souvent plus dommageable qu’une attaque non ciblée parce qu’elle a été
spécialement conçue pour attaquer les systèmes, les processus ou les collaborateurs, soit au sein du
système d’information ou bien en dehors de celui-ci.
Les attaques ciblées peuvent être :
• Spear-Phishing - Envoi de message, à des personnes ciblées, contenant une pièce jointe avec un logiciel
malveillant ou un lien qui télécharge des logiciels malveillants.
• Le déploiement d'un Botnet - Permettant la mise en place d’une attaque DDOS (Distributed Denial of
Service).
• Perturber les processus industriels - Attaque sur un équipement métier, qu’il soit matériel ou logiciel.
8 IBM Security
A propos des vulnérabilités
Les vulnérabilités fournissent des opportunités, pour des attaquants, d'accéder aux systèmes d’information.
Ces vulnérabilités peuvent être des failles, des fonctionnalités détournées ou des erreurs de l'utilisateur.
Les attaquants vont chercher à exploiter l'une d’entre elles, parfois en les combinant, pour atteindre leur
objectif final.
Une vulnérabilité est une faiblesse dans un système informatique qui peut être exploitée par un attaquant
pour permettre la réussite d’une attaque.
Faille - Une faille est une fonctionnalité involontaire. Cela peut être soit un résultat d'une mauvaise conception ou soit des
erreurs commises lors de la mise en œuvre d’une solution. Une faille peut passer inaperçue pendant une longue période. La
majorité des attaques courantes que nous voyons aujourd'hui exploitent ce type de vulnérabilité (Zero Day)
Détournement d’une fonctionnalité – Une fonctionnalité est utilisée à mauvais escient par un attaquant afin de perturber un
système. (Macro MS Office, JavaScript, ...)
Erreur de l'utilisateur - Un système, matériel ou logiciel, qui a été soigneusement conçu et mis en œuvre peut minimiser
l'exposition à des vulnérabilités. Malheureusement, ces efforts peuvent être facilement annihilés par des erreurs commises par
des utilisateurs (compte à privilège, non respect des politiques des mots de passe, …).
Plus généralement, les utilisateurs peuvent être des sources significatives de vulnérabilités.
9 IBM Security
Le paysage des menaces émergentes
APTs
MENACE
INTERNE
Cyber
Attack
activismE
FraudE
Ciblée, Persistante, Clandestine
Situationnelle, Subversive, Non sanctionnée
Centrée, Financée, EvolutivePerturbatrice, Publique
Dissimulée, motivée, Opportuniste
10 IBM Security
Les méthodes de sécurité traditionnelles ne sont plus adaptées
MILLION
de poste d’’expert en
sécurité non pourvus
d’ici 2020
1.585Outils de sécurité de45vendeurs
% des chefs d’entreprise
sont réticents à partager
sur leurs incidents de
sécurité
68
11 IBM Security
Imaginez si vous pouviez aujourd’hui vous…
PROTÉGER contre les risques de demain
12 IBM Security
Déployer votre sécurité comme un système immunitaire
Firewalls
Incident and threat management
Virtual patching
Sandboxing
Network visibility
Data access control
Data monitoringMalware protection
Antivirus
Endpoint patching and management
Criminal detection
Fraud protection
Incident
response
Access managementEntitlements and roles
Identity management
Privileged identity management
Application security
management
Application scanning
Transaction protection
Device management
Content security
Log, flow and
data analysis
Vulnerability
assessment
Anomaly detection
13 IBM Security
Global Threat Intelligence
Consulting Services | Managed Services
Cloud
L’approche IBM : La sécurité, le système immunitaire de votre système d’information
Firewalls
Incident and threat management
Virtual patching
Sandboxing
Network visibility
Data access control
Data monitoring
Malware protection
Antivirus
Endpoint patching and management
Criminal detection
Fraud protection
Incident
response
Access management
Entitlements and roles
Identity management
Privileged identity management
Application security
management
Application scanning
Transaction protection
Device management
Content security
Security
Intelligence
Log, flow and
data analysis
Vulnerability
assessment
Anomaly detection
14 IBM Security
Stratégie IBM Security
IBM Security Capability Framework
CATALOGUE
CONSULTING
CISO, CIO, and Line-of-Business
• Strategy and leadership
• Rapid transformation
• Integrated solutions
INNOVATION
Advanced Threats
Cloud
Mobile and Internet of Things
Compliance Mandates
Skills Shortage
Strategy, Risk and Compliance Cybersecurity Assessment and Response
Security Intelligence and Operations
Advanced Fraud
Protection
Identity and Access
Management
Data
Security
Application
Security
Network, Mobile,
Endpoint, and Mainframe
Advanced Threat and Security Research
15 IBM Security
IBM Security, un acteur majeur de la sécurité
Incident
response
Cloud-enabled
identity management
Identity governance
Application security
Risk management
Data management
Security services
and network
security
Database monitoring
and protection
Application security
SOA
management
and security
2011 2012 2013 2014 2015 20162005 2006 2007 2008 2009 20102002
IBM Security
Systems
IBM Security
Services
Identity
management
Directory
integration
Enterprise
single-sign-on
Endpoint
management
and security
Security
Intelligence
Advanced fraud
protection
Secure mobile mgmt.
CyberTap
16 IBM Security
IBM a un catalogue complet de solution de sécurité
Consulting Services | Managed Services
QRadar Risk Manager
QRadar Incident Forensics
SiteProtector
Network Protection XGS
Key Lifecycle Manager
Guardium
zSecure
BigFix
Trusteer Apex
MaaS360
Trusteer Mobile
Trusteer Rapport
Trusteer Pinpoint
Resilient
Systems Incident
Response
Identity Manager
Access Manager
Identity Governance and Intelligence
Privileged Identity Manager
DataPower Web
Security Gateway
AppScan
Security
Intelligence
Cloud
Cloud Security Enforcer
QRadar SIEM
QRadar Vulnerability Manager
QRadar Log Manager
Global Threat Intelligence
X-Force Exchange
App Exchange
SIEM - Les principes
IBM CAN HELP YOU…
• Defend against web fraud and cybercrime
• Prevent targeted attacks in real-time
• Detect threats with security intelligence
Log Manager versus Security Event & Information Management
18 IBM Security
• Informations associées aux « services » de
sécurité :
 Antimalware Software
 Intrusion Detection and Intrusion Prevention Systems
 Remote Access Software
 Web Proxies
 Vulnerability Management Software
 Authentication Servers
 Routers
 Firewalls
 Network Quarantine Servers
 …
• Informations associées aux applications :
 Client requests and server responses
 Account information
 Usage information
 Significant operational actions
• Informations associées aux systèmes
d’exploitation :
 System Events
 Audit Records
Comprendre le contenu des messages
19 IBM Security
Une architecture fonctionnelle pour traiter l’information
Collecte Agrégation
Normalisatio
n
Régle /
Corrélation
Stockag
e
Rejeu
Analyse /
Rapport
Evénements
collectés du
SI
Les traces brutes sont
stockées sans modification
pour garder leur valeur
juridique. Elles sont
normalisées sous un format
plus lisible. Ce sont ces
évènements qui seront
enrichis avec d'autres
données puis envoyés vers
le moteur de corrélation.
La corrélation
permettent
d'identifier un
évènement qui a
causé la génération
de plusieurs autres.
Elle permet la
remontée d’une
alerte
Investigations
post-incidentGestion des tableaux de bord et des rapports.
Les différents acteurs du SI, RSSI,
administrateurs, utilisateurs peuvent avoir une
visibilité sur le SI (nombre d'attaques, nombre
d'alertes par jour…).
Un archivage à valeur
probante permet de
garantir l'intégrité des
traces.
Source
Application
de règles de
filtrage puis
agrégation
Adapté de : Security Information and Event Management (SIEM) Implementation - David R.Miller, Shon Harris, Allen A. Harper, Stephen VanDyke, Chris Blask
20 IBM Security
Approche architecture Log / SIEM
La solution de Log en frontal de la solution de
SIEM pour absorber le volume des données
La solution de Log est déployée dans un premier
temps et le besoin des fonctionnalités de SIEM
dans un second temps (50% des approches)
La solution de Log et la solution de SIEM sont
déployées en même temps et la plupart du
temps avec le même éditeur
La solution de SIEM est déployée avec la solution de
Log en tant qu’archive. C’est le cas dans l’acquisition
en premier temps du SIEM et que le client s’aperçoit
d’un manque de normalisation et d’agrégation des
informations
Adapté de : The Complete Guide to Log and Event Management - Dr. Anton Chuvakin
21 IBM Security
Analyse de la maturité de l’entreprise sur la gestion des journaux
Log Ignorance
Pas de traitement
Log Collection
Collection et stockage
uniquement
Log Investigation
Collection et traitement en
cas d’incident
Log Reporting
Collection et analyse sur
rapport mensuel
Log Analyse
Collection et analyse
journaliére
Log Surveillance
Informations de sécurité
surveillées en temps réelAdapté de : The Complete Guide to Log and Event Management - Dr. Anton Chuvakin
22 IBM Security
Fontionnalités SIEM Log Management
Collection Collecte les informations de
sécurité nécessaire
Collecte l’ensemble des log
(Opérationnel, Application
Rétention Conservation à court terme
des données normalisées et
agrégées
Conservations à long terme
des données brutes
Reporting Rapports spécifiques
(conformité, menace,…)
Rapport sur historique et
utilisation
Analyse Corrélation, priorité sur les
menaces et les incidents
Analyse contextuelle, tag du
payload
Alerte et notification Analyse et rapport avancés Simple alerte sur les logs
Autres fonctionnalités Gestion des incidents,
analyse des données des
incidents
Grande capacité de
collection et d’analyse
Comparaison SIEM versus Log Management
Adapté de : The Complete Guide to Log and Event Management - Dr. Anton Chuvakin
23 IBM Security
SIEM…au tableau blanc
Bloquer les menaces
IBM CAN HELP YOU…
• Defend against web fraud and cybercrime
• Prevent targeted attacks in real-time
• Detect threats with security intelligence
Use analytics and insights for smarter and more integrated defense
25 IBM Security
Se poser les bonnes questions…
Quel est l’impact sur
l’entreprise?
Quels sont les incidents de
sécurité en ce moment ?
Sommes nous configurés
pour nous protéger contre les
attaques avancées?
Quels sont les risques
majeurs et les vulnérabilités ?
• Gain de visibilité sur les failles de sécurité du
système d’information de l’entreprise
• Détection des écarts, par rapport au
standard, pouvant être utilisé pour une
attaque
• Priorisation des vulnérabilités pour optimiser
le processus de correction et ainsi limiter
l’exposition à une attaque
• Détection automatique des menaces et analyse
rapide de l’impact
• Définition des contextes de risque par une
analyse avancée des informations de sécurité
• Investigation post-mortem automatique afin de
trouver rapidement la cause de l’incident et de
mettre en place la remédiation
Exploit Remédiation
REACTION / PHASE DE REMEDIATION
Post-ExploitVulnérabilité Pré-Exploit
PREDICTION / PHASE DE PREVENTION
Vulnerability
Manager
Risk
Manager
SIEM Log
Manager
Incident
Forensics
26 IBM Security
What was the impact
to the organization?
What security incidents
are happening right now?
Are we configured
to protect against
advanced threats?
What are the major risks
and vulnerabilities?
• Gain visibility over the organization’s
security posture and identity security gaps
• Detect deviations from the norm
that indicate early warnings of APTs
• Prioritize vulnerabilities to optimize
remediation processes and close critical
exposures before exploit
• Automatically detect threats with prioritized
workflow to quickly analyze impact
• Gather full situational awareness
through advanced security analytics
• Perform forensic investigation reducing time
to find root-cause; use results to drive faster
remediation
Exploit Remediation
REACTION / REMEDIATION PHASE
Post-ExploitVulnerability Pre-Exploit
PREDICTION / PREVENTION PHASE
Vulnerability
Manager
Risk
Manager
SIEM Log
Manager
Incident
Forensics
27 IBM Security
IBM QRadar Security Intelligence Platform
Fournir une aide éclairée pour la prise de décision
IBM QRadar
Security Intelligence
Platform
AUTOMATED
Pilotage simplifiée et
prise en main rapide
INTEGRATED
Architecture unifiée au
travers une console unique
INTELLIGENT
Corrélation, analyse et
consolidation du volume des
données
28 IBM Security
Intelligence embarquée pour identification automatique des incidents
Suspicions
d’Incidents
Serveurs & mainframes
Activité données
Réseau & environnement virtuel
Activité Applications
Information de configuration
Actifs sécurité
Utilisateurs & identités
Vulnérabilités & menaces
Gestion des menaces
Identification
Automatique
des Incidents
• Collecte, stockage et analyse
illimités des données
• Normalisation des données
• Découverte automatique des actifs, des
services et des utilisateurs et profilage
• Corrélation en temps réel
et gestion des menaces
• Détection des comportements
anormaux
• Détections des
incidents
Intelligence
Embarquée
Incidents Prioritaires
29 IBM Security
Répondre aux questions pour prévenir et remédier aux attaques
Combien d’actifs ciblés
sont impactés ?
Quelle a été l’attaque ? L’attaque est elle
crédible?
Les cibles ont elle s un
impact ?
Qui est responsable de
l’attaque?
Ou est que c’est
localisé ?
Qu’est qui a été volé et ou
sont les évidences ?
Y a t-il des actifs
vulnérables ?
30 IBM Security
Rule R detects “Event D” which
is added to Offense 909.
Adjusted magnitude becomes
critical.
Offense Description:
D preceded by C
preceded by B
preceded bt A
Cycle de vie d’un incident
D
OffenseMagnitude
Time
Unrelated events
X Events that participate to the offense
Offense Description:
C preceded by B
preceded by AOffense Description:
B preceded by A
Offense Description:
A
Rule Z detects “ Event
C” which is added to
Offense 909.
Magnitude adjusted.
C
Rule Y detects “Event
B” which is added to
Offense 909.
Magnitude adjusted.
B
Rule X detects “Event
A” and triggers the
Offense creation.
Low Magnitude.
A
31 IBM Security
Offense Life Cycle
Events that do not participate to an offense
Events that participate to the offense
Magistrate
Correlation
Engine
32 IBM Security
Investiguer les incidents en profondeur
Suspicion
d’incidents
Enquêtes d’investigation
• Réduction rapide du temps de résolution par une
approche intuitive d’investigation
• Utilisation de l’intuition plus que l’expertise technique
• Déterminer la cause et empêcher de nouvelles
occurrences
Intelligence
Embarquée
Incidents Prioritaires
33 IBM Security
EMAIL
Chat
Social
Web
Vue détaillée de l’activité
From session data analysis yielding
basic application insights
To full visualization of extended relationships
and embedded content
From standard asset
identity information
To rich visualizations of digital impressions
showing extended relationships
34 IBM Security
Une architecture unifiée autour d’une console Web unique
Gestion des
événements
Sécurité
intelligente et
Analytique
Gestion de
l’activité réseau
Gestion des
risques
Gestion des
vulnérabilités
Analyse légale
des évidences
35 IBM Security
Pilotage simplifié et prise en main rapide
QRadar’s ease-of-use in set-up and maintenance
resulted in reduced time to resolve network issues
and freed-up IT staff for other projects.
Private U.S. University
with large online education community
Découverte
automatique des
actifs du réseau
Analyse proactive des
vulnérabilités, contrôle
des configurations et
des politiques de
sécurité
Déploiement simplifié
Configuration automatique
des sources de
données journaux et
flux ainsi que des actifs
réseau
Mise à jour
automatique
Etre informé des
dernières
vulnérabilités et
menaces
Règles et
rapports
inclus
Réduire les efforts
d’investigation
ainsi que de mise
en conformité
IBM QRadar is nearly three times
faster to implement across the
enterprise than other SIEM solutions.
2014 Ponemon Institute, LLC
Independent Research Report
36 IBM Security
Les attaquants partagent leur compétences, nous devons faire de même !
IBM Security X-Force Exchange
 IBM Security met à disposition, sur une infrastructure Cloud, son environnement IBM xForce qui vous permet de faire
des recherches sur les dernières menaces de sécurité, sur les vulnérabilités ainsi que d’échanger avec nos experts:
 Ouverture : Accès à une multitude de données sur les menaces et les vulnérabilités.
 Collaboratif : Partage d’informations avec nos experts
 Intégration : Interaction avec nos solutions pour bloquer rapidement les menaces.
• .
37 IBM Security
Intégration avec des sources de menaces tierces
 Support des formats STIX/TAXII
 Enregistrement des IOCs dans les composants QRadar Reference sets
 Utilisation de ces composants pour corrélation, recherche et rapport
 Création de règle pour gérer les IOC dans les QRadar Reference sets
 CAS D’UTILISATION
Utilisation d’un liste d’adresse IP par une règle permettant de modifier
l’importance d’un incident.
IBM Security Threat Intelligence
38 IBM Security
Les attaquants partagent leur compétences, nous devons faire de même !
IBM Security App Exchange
 Mise à disposition d’un magasin d’application permettant une intégration rapide de
solutions tierces (éditeur ou partenaire)
39 IBM Security
Un composant pour une gestion complète des incidents de sécurité
PRÉVENTION DÉTECTION RÉPONSE
Gérer les attaques potentielles
ainsi que des vulnérabilités
Identifier les menaces avec de
l’approche analytique et de
l’analyse des évidences
Résoudre les incidents en suivant
un processus de traitement
adéquates
Unites Security
Operations and Incident
Response
Resilient will extend IBM’s
offerings to create one of
the industry’s most
complete solutions to
prevent, detect, and
respond to threats
Delivers a Single Hub for
Response Management
Resilient will allow security
teams to orchestrate
response processes, and
resolve incidents faster,
more effectively, and more
intelligently
Integrates Seamlessly
with IBM and 3rd Party
Solutions
Resilient integrates with
QRadar and other IBM and
3rd party solutions so
organizations of various
sizes can successfully
resolve attacks
40 IBM Security
Réduire les coûts, améliorer la visibilité
SIEM traditionnel
6 produits de 6 vendeurs
IBM Sécurité Intelligente
et Analytique
Flux
Paquets
Vulnérabilités
Configurations
Logs
Evénements
Une architecture unifiée et
intégrée au travers d’une console
unique
IBM Security QRadar
Security Intelligence Platform
Architecture
IBM CAN HELP YOU…
• Defend against web fraud and cybercrime
• Prevent targeted attacks in real-time
• Detect threats with security intelligence
Components, correlation, rules,…
42 IBM Security
Architecture QRadar
Event Collector
Flow Collector /
Qflow
Flow
Event
Accum
Event
Processor
Identity Asset Offense Config
Console/UI
Magistrate
Reporting
Flow
Event
Accum
Data
Node
Qflow
• réception flux
Event Collector
• réception événements
• normalisation événements
• Catégorisation événements
Event Processor
• tests événement et flux
avec les règles
• Ariel stockage pour événements
et flux
Data Node
• Extension Processor et stockage
Console/Magistrate
• Interface utilisateur
• Processus incident
• Reporting
• actif, incident, et configuration
Flow Sources:
Interface,
Netflow, Sflow, Jflow,
etc.
Log Sources:
Syslog, log files,
traps, etc.
43 IBM Security
Evolution selon votre besoin
All-in-One est un appareil unique qui est utilisée pour
recueillir les événements et les données de flux des
différents dispositifs de sécurité et de réseau, pour
effectuer la corrélation des données et la
correspondance aux règles, pour gérer des rapports sur
les alertes et les menaces, et pour fournir toutes les
fonctions d'administration via un navigateur Web.
Un déploiement distribué se compose de plusieurs appareils à des fins différentes:
• Event Processor pour collecter, traiter et stocker journaux
• Flow Processor pour collecter, traiter et stocker plusieurs types de données sur les flux
générés par le dispositif de réseau.
• QFlow Collector (facultatif) pour collecter des données d'application.
• Console pour corréler les données des différents processeurs, pour générer des alertes /
rapports, et pour fournir toutes les fonctions d'administration
QRadar SIEM All-in-One
IDS
Firewall
All-in-One
(31XX)
QFlow
Collector
Event
Collector
QRadar SIEM distribué
Console
(31XX) Event Processor
(16XX)
Flow Processor
(17XX)
QFlow
Collector
12xx/13xxRouters/Switches
Layer 4 Flows
Routers/Switches
Layer 4 Flows
Firewalls, IDS, Routers, Switches, Servers, etc
Event Collector
(15XX)
QRadar
Web
Console
QRadar
Web
Console
44 IBM Security
Architecture des composants
Advanced
Threat
Detection
Insider
Threat
Detection
Risk &
Vulnerability
Management
Incident
Forensics
Incident
Response
Compliance
Reporting
Securing
Cloud
USE
CASES
ACTION
ENGINE
COLLECTION
DEPLOYMENT MODELS
Behavior-Based
Analytics
PRIORITIZED INCIDENTS
Context-Based
Analytics
Time-Based
Analytics
QRadar
Sense
AnalyticsTM
Third-Party
Usage
Automation WorkflowsDashboards Visualizations
ON PREM AS A SERVICE CLOUD HYBRID
Business
Systems
Cloud Infrastructure Threat Intel Applications
Capability
and Threat
Intelligence
Collaboration
Platforms
App
Exchange
X-Force
Exchange
45 IBM Security
Interface gestion des règles
46 IBM Security
Un processus simple
47 IBM Security
Quels sont les éléments de dimensionnement ?
 Evénements Par Seconde (EPS)
 Flux réseau (si nécessaire)
 Stockage en ligne (rétention)
 Nombre de sources qui génèrent des événements
 Mode appliance physique, virtuelle ou mode serveur
 Facteurs géographiques
 Exigences de haute disponibilité
 Exigences de sauvegarde
 Nombre d’opérateurs
 “Profondeur” des recherches (nombre, longueur,…)
48 IBM Security
Intelligence is the new defense
It helps prevent threats faster and make more informed decisions
Integration is the new foundation
It puts security in context and automates protection
Expertise is the new focus
It is essential to leverage global knowledge and experience to stay ahead
A new way to think about security
49 IBM Security
Learn more about IBM Security Intelligence and Analytics
V2015-11-23
countries where IBM delivers
managed security services
industry analyst reports rank
IBM Security as a LEADER
enterprise security vendor
in total revenue
clients protected
including…
130+
25
No. 1
12K+
90% of the Fortune 100
companies
Join IBM X-Force Exchange
xforce.ibmcloud.com
Visit our website
ibm.com/security
Watch our videos on YouTube
IBM Security Channel
Read new blog posts
SecurityIntelligence.com
Follow us on Twitter
@ibmsecurity
© Copyright IBM Corporation 2016. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind,
express or implied. Any statement of direction represents IBM's current intent, is subject to change or withdrawal, and represent only goals and objectives. IBM, the IBM logo, and other IBM products
and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service
marks of others.
Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your
enterprise. Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others.
No IT system or product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems,
products and services are designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products
or services to be most effective. IBM does not warrant that any systems, products or services are immune from, or will make your enterprise immune from, the malicious or illegal conduct of any party.
ibm.com/security
securityintelligence.com
xforce.ibmcloud.com
@ibmsecurity
youtube/user/ibmsecuritysolutions
FOLLOW US ON:
THANK YOU
Information concerning non-IBM products was obtained from the suppliers of those
products, their published announcements or other publicly available sources. IBM has
not tested those products in connection with this publication and cannot confirm the
accuracy of performance, compatibility or any other claims related to non-IBM products.
Questions on the capabilities of non-IBM products should be addressed to the suppliers
of those products. IBM does not warrant the quality of any third-party products, or the
ability of any such third-party products to interoperate with IBM’s products. IBM
EXPRESSLY DISCLAIMS ALL WARRANTIES, EXPRESSED OR IMPLIED,
INCLUDING BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF
MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE.
The provision of the information contained herein is not intended to, and does not, grant
any right or license under any IBM patents, copyrights, trademarks or other intellectual
property right.
Other company, product, or service names may be trademarks or service marks of
others. A current list of IBM trademarks is available at “Copyright and
trademark information” www.ibm.com/legal/copytrade.shtml
Copyright © 2015 by International Business Machines Corporation (IBM). No part of this
document may be reproduced or transmitted in any form without written permission from
IBM.
U.S. Government Users Restricted Rights – Use, duplication or disclosure restricted by
GSA ADP Schedule Contract with IBM.
Information in these presentations (including information relating to products that have
not yet been announced by IBM) has been reviewed for accuracy as of the date of initial
publication and could include unintentional technical or typographical errors. IBM shall
have no responsibility to update this information. THIS document is distributed "AS IS"
without any warranty, either express or implied. In no event shall IBM be liable for any
damage arising from the use of this information, including but not limited to, loss of data,
business interruption, loss of profit or loss of opportunity.
IBM products and services are warranted according to the terms and conditions of the
agreements under which they are provided.
Any statements regarding IBM’s future direction, intent or product plans are subject to
change or withdrawal without notice. Performance data contained herein was generally
obtained in a controlled, isolated environments. Customer examples are presented as
illustrations of how those customers have used IBM products and the results they may
have achieved. Actual performance, cost, savings or other results in other operating
environments may vary. References in this document to IBM products, programs, or
services does not imply that IBM intends to make such products, programs or services
available in all countries in which IBM operates or does business.
Workshops, sessions and associated materials may have been prepared by independent
session speakers, and do not necessarily reflect the views of IBM. All materials and
discussions are provided for informational purposes only, and are neither intended to,
nor shall constitute legal or other guidance or advice to any individual participant or their
specific situation.
It is the customer’s responsibility to insure its own compliance with legal requirements
and to obtain advice of competent legal counsel as to the identification and interpretation
of any relevant laws and regulatory requirements that may affect the customer’s business
and any actions the customer may need to take to comply with such laws. IBM does not
provide legal advice or represent or warrant that its services or products will ensure that
the customer is in compliance with any law.
Legal notices and disclaimers

Contenu connexe

Tendances

Des cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industrielDes cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industriel
fEngel
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !
Kyos
 
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?
Kyos
 
La sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’informationLa sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’information
Dimassi Khoulouda
 

Tendances (20)

Atelier Technique MANAGE ENGINE ACSS 2018
Atelier Technique MANAGE ENGINE ACSS 2018Atelier Technique MANAGE ENGINE ACSS 2018
Atelier Technique MANAGE ENGINE ACSS 2018
 
IBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécuritéIBM SW Les nouveaux enjeux de la sécurité
IBM SW Les nouveaux enjeux de la sécurité
 
IBM MobileFirst Protect - Maîtrisez les risques liées à la Mobilité (V2)
IBM MobileFirst Protect - Maîtrisez les risques liées à la Mobilité (V2)IBM MobileFirst Protect - Maîtrisez les risques liées à la Mobilité (V2)
IBM MobileFirst Protect - Maîtrisez les risques liées à la Mobilité (V2)
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivité
 
FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?FIDDAYS - Cybersecurite, comment proteger son entreprise ?
FIDDAYS - Cybersecurite, comment proteger son entreprise ?
 
Des cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industrielDes cyberattaques massives menacent les systèmes de contrôle industriel
Des cyberattaques massives menacent les systèmes de contrôle industriel
 
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & RisquesASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !
 
Cyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminelsCyberattaques : prenez de l’avance sur les cybercriminels
Cyberattaques : prenez de l’avance sur les cybercriminels
 
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innoverSortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
Sortir des sentiers battus: les TI et l’entreprise s’unissent pour innover
 
Sécurité des applications Web
Sécurité des applications WebSécurité des applications Web
Sécurité des applications Web
 
Ibm sécurité marcel labelle 16 9 pdf
Ibm sécurité marcel labelle 16 9 pdfIbm sécurité marcel labelle 16 9 pdf
Ibm sécurité marcel labelle 16 9 pdf
 
« Protégez votre entreprise avec une approche multiniveau de l'anti-phishing »
« Protégez votre entreprise avec  une approche multiniveau de l'anti-phishing »« Protégez votre entreprise avec  une approche multiniveau de l'anti-phishing »
« Protégez votre entreprise avec une approche multiniveau de l'anti-phishing »
 
Livret Seamless Security exaprobe & Cisco
Livret Seamless Security exaprobe & CiscoLivret Seamless Security exaprobe & Cisco
Livret Seamless Security exaprobe & Cisco
 
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?
 
Ds sandblast-mobile fr
Ds sandblast-mobile frDs sandblast-mobile fr
Ds sandblast-mobile fr
 
Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014 Guide d'hygiène informatique - ANSSI - 2014
Guide d'hygiène informatique - ANSSI - 2014
 
La sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’informationLa sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’information
 
Meetup ibm abakus banque postale
Meetup ibm abakus banque postaleMeetup ibm abakus banque postale
Meetup ibm abakus banque postale
 
Clusif 2014 scada panorama des referentiels sécurité système information ind...
Clusif 2014  scada panorama des referentiels sécurité système information ind...Clusif 2014  scada panorama des referentiels sécurité système information ind...
Clusif 2014 scada panorama des referentiels sécurité système information ind...
 

En vedette

Cheops Technology sécurise ses datacenters avec IBM QRadar SIEM
Cheops Technology sécurise ses datacenters avec IBM QRadar SIEMCheops Technology sécurise ses datacenters avec IBM QRadar SIEM
Cheops Technology sécurise ses datacenters avec IBM QRadar SIEM
Solutions IT et Business
 
Detect and Respond to Threats Better with IBM Security App Exchange Partners
Detect and Respond to Threats Better with IBM Security App Exchange PartnersDetect and Respond to Threats Better with IBM Security App Exchange Partners
Detect and Respond to Threats Better with IBM Security App Exchange Partners
IBM Security
 
Ibm services 2011 brochure
Ibm services 2011 brochureIbm services 2011 brochure
Ibm services 2011 brochure
None
 
Best Practices Sales Cycle
Best Practices Sales CycleBest Practices Sales Cycle
Best Practices Sales Cycle
scottymiller
 
Cge leadership summit ibm presentation public sector analytics
Cge leadership summit   ibm presentation public sector analyticsCge leadership summit   ibm presentation public sector analytics
Cge leadership summit ibm presentation public sector analytics
IBMGovernmentCA
 
Nowhere to Hide: Expose Threats in Real-time with IBM QRadar Network Insights
Nowhere to Hide: Expose Threats in Real-time with IBM QRadar Network InsightsNowhere to Hide: Expose Threats in Real-time with IBM QRadar Network Insights
Nowhere to Hide: Expose Threats in Real-time with IBM QRadar Network Insights
IBM Security
 

En vedette (20)

AMAN - CISSI SIEM 12 mars 2014
AMAN - CISSI SIEM 12 mars 2014AMAN - CISSI SIEM 12 mars 2014
AMAN - CISSI SIEM 12 mars 2014
 
Leverage machine learning using splunk user behavioral analytics
Leverage machine learning using splunk user behavioral analyticsLeverage machine learning using splunk user behavioral analytics
Leverage machine learning using splunk user behavioral analytics
 
Cheops Technology sécurise ses datacenters avec IBM QRadar SIEM
Cheops Technology sécurise ses datacenters avec IBM QRadar SIEMCheops Technology sécurise ses datacenters avec IBM QRadar SIEM
Cheops Technology sécurise ses datacenters avec IBM QRadar SIEM
 
SplunkSummit 2015 - Splunk User Behavioral Analytics
SplunkSummit 2015 - Splunk User Behavioral AnalyticsSplunkSummit 2015 - Splunk User Behavioral Analytics
SplunkSummit 2015 - Splunk User Behavioral Analytics
 
Detect and Respond to Threats Better with IBM Security App Exchange Partners
Detect and Respond to Threats Better with IBM Security App Exchange PartnersDetect and Respond to Threats Better with IBM Security App Exchange Partners
Detect and Respond to Threats Better with IBM Security App Exchange Partners
 
Gov Day Sacramento 2015 - User Behavior Analytics
Gov Day Sacramento 2015 - User Behavior AnalyticsGov Day Sacramento 2015 - User Behavior Analytics
Gov Day Sacramento 2015 - User Behavior Analytics
 
Presentation data security solutions certified ibm business partner for ibm...
Presentation   data security solutions certified ibm business partner for ibm...Presentation   data security solutions certified ibm business partner for ibm...
Presentation data security solutions certified ibm business partner for ibm...
 
Oracle fusion middleware services & solutions at yash
Oracle fusion middleware services & solutions at yashOracle fusion middleware services & solutions at yash
Oracle fusion middleware services & solutions at yash
 
Security Trends and Risk Mitigation for the Public Sector
Security Trends and Risk Mitigation for the Public SectorSecurity Trends and Risk Mitigation for the Public Sector
Security Trends and Risk Mitigation for the Public Sector
 
Business Analytics for Government
Business Analytics for GovernmentBusiness Analytics for Government
Business Analytics for Government
 
Ibm services 2011 brochure
Ibm services 2011 brochureIbm services 2011 brochure
Ibm services 2011 brochure
 
YASH Technologies at ASUG Minnesota chapter meeting
YASH Technologies at ASUG Minnesota chapter meetingYASH Technologies at ASUG Minnesota chapter meeting
YASH Technologies at ASUG Minnesota chapter meeting
 
Unlocking The Potential Of Frontline Managers Exec Briefing
Unlocking The Potential Of Frontline Managers Exec BriefingUnlocking The Potential Of Frontline Managers Exec Briefing
Unlocking The Potential Of Frontline Managers Exec Briefing
 
Best Practices Sales Cycle
Best Practices Sales CycleBest Practices Sales Cycle
Best Practices Sales Cycle
 
Accenture path to success game
Accenture path to success gameAccenture path to success game
Accenture path to success game
 
Cge leadership summit ibm presentation public sector analytics
Cge leadership summit   ibm presentation public sector analyticsCge leadership summit   ibm presentation public sector analytics
Cge leadership summit ibm presentation public sector analytics
 
Top 12 Cybersecurity Predictions for 2017
Top 12 Cybersecurity Predictions for 2017Top 12 Cybersecurity Predictions for 2017
Top 12 Cybersecurity Predictions for 2017
 
Consolidating services with middleware - NDC London 2017
Consolidating services with middleware - NDC London 2017Consolidating services with middleware - NDC London 2017
Consolidating services with middleware - NDC London 2017
 
IT and ITeS Sectore Report - January 2017
IT and ITeS Sectore Report - January 2017IT and ITeS Sectore Report - January 2017
IT and ITeS Sectore Report - January 2017
 
Nowhere to Hide: Expose Threats in Real-time with IBM QRadar Network Insights
Nowhere to Hide: Expose Threats in Real-time with IBM QRadar Network InsightsNowhere to Hide: Expose Threats in Real-time with IBM QRadar Network Insights
Nowhere to Hide: Expose Threats in Real-time with IBM QRadar Network Insights
 

Similaire à IBM Security Intelligence Juin-2016

cyberenjeux_presentation_eleves (1).pptx
cyberenjeux_presentation_eleves (1).pptxcyberenjeux_presentation_eleves (1).pptx
cyberenjeux_presentation_eleves (1).pptx
OuattaraAboulaye1
 

Similaire à IBM Security Intelligence Juin-2016 (20)

sécurité informatique notion de securité
sécurité informatique notion de securitésécurité informatique notion de securité
sécurité informatique notion de securité
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
 
Présentation1.pptx
Présentation1.pptxPrésentation1.pptx
Présentation1.pptx
 
Cybercrime Update : sensibilisation
Cybercrime Update : sensibilisationCybercrime Update : sensibilisation
Cybercrime Update : sensibilisation
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
 
unité 2.pptx
unité 2.pptxunité 2.pptx
unité 2.pptx
 
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdfResume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
 
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
 
Démystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilitésDémystifier la gestion des vulnérabilités
Démystifier la gestion des vulnérabilités
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoT
 
On a volé les clefs de mon SI !
On a volé les clefs de mon SI !On a volé les clefs de mon SI !
On a volé les clefs de mon SI !
 
MasterClass Intelligence Artificielle et Sécurité FIC 2019
MasterClass Intelligence Artificielle et Sécurité FIC 2019MasterClass Intelligence Artificielle et Sécurité FIC 2019
MasterClass Intelligence Artificielle et Sécurité FIC 2019
 
Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
Cybersecurité dossier
Cybersecurité dossier Cybersecurité dossier
Cybersecurité dossier
 
1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdf1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdf
 
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
 
Nouveaux risques cyber - 4 décembre 2019
Nouveaux risques cyber - 4 décembre 2019Nouveaux risques cyber - 4 décembre 2019
Nouveaux risques cyber - 4 décembre 2019
 
Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1
 
cyberenjeux_presentation_eleves (1).pptx
cyberenjeux_presentation_eleves (1).pptxcyberenjeux_presentation_eleves (1).pptx
cyberenjeux_presentation_eleves (1).pptx
 

IBM Security Intelligence Juin-2016

  • 1. IBM SECURITY UNE NOUVELLE APPROCHE DE LA SÉCURITÉ Serge RICHARD – CISSP® Security Channel Technical Leader Europe Security Architect IBM Security serge.richard@fr.ibm.com
  • 2. 2 IBM Security Les postulats de la sécurité d’aujourd’hui CONFORMITÉ ERREUR HUMAINE EXPERTISE ATTAQUE EVOLUÉE INNOVATION
  • 3. 3 IBM Security 2013 800+ Million d’incidents 2014 1+ Milliard d’incidents 2015 Impact sans précèdent Chaque jour, les pirates contournent les protections $6.5M Coût moyen perte de données (U.S.)Temps moyen de détection APTs 256 jours V2016-2-11 Source: IBM X-Force Threat Intelligence Quarterly
  • 4. 4 IBM Security Mode d’emploi pour se faire voler de l’information… http://www.verizonenterprise.com/DBIR/ L’utilisateur du système d’information ainsi que les vulnérabilités de ce même système d’information sont les deux vecteurs principaux sur lesquels se basent les attaques…
  • 5. 5 IBM Security Deux familles – Attaques non ciblées Avec les attaques de non-ciblées, les attaquants ciblent indistinctement, autant que possible des dispositifs et des services informatiques ainsi que des utilisateurs. Ils ne se soucient pas de savoir qui est la victime car ils sont quasiment certains de trouver un certain nombre de machines ou de services avec des vulnérabilités. Pour ce faire les attaquants utilisent des techniques qui se basent sur des services de l’Internet. • Phishing (Hameçonage) - envoi de courriels à un grand nombre de personnes demandant des informations sensibles (telles que les coordonnées bancaires) ou encourageant ceux-ci à visiter un faux site Web. • Waterholing (Trou d’eau) -mise en place d'un faux site Web ou compromission d’un site légitime afin de compromettre les machines des utilisateurs qui le visitent http://searchsecurity.techtarget.com/feature/Targeted-Cyber-Attacks
  • 6. 6 IBM Security Deux familles – Attaques non ciblées (suite) • Ransomware – Chiffrement des espaces de stockage de l’entreprise par un logiciel malveillant dans le but d’une extorsion financière.
  • 7. 7 IBM Security Deux familles – Attaques ciblées Dans une attaque ciblée, l’entreprise (voir un pays, Opérateur d’Importance Vitale - OIV) est ciblée parce qu’elle a un intérêt particulier pour l'attaquant, ou celui-ci a été payé pour cela. Le travail de fond est plus important et la définition du processus d’attaque peut prendre plusieurs mois avant que les attaquants puissent trouver la meilleure méthode pour compromettre les systèmes ou les utilisateurs. Une attaque ciblée est souvent plus dommageable qu’une attaque non ciblée parce qu’elle a été spécialement conçue pour attaquer les systèmes, les processus ou les collaborateurs, soit au sein du système d’information ou bien en dehors de celui-ci. Les attaques ciblées peuvent être : • Spear-Phishing - Envoi de message, à des personnes ciblées, contenant une pièce jointe avec un logiciel malveillant ou un lien qui télécharge des logiciels malveillants. • Le déploiement d'un Botnet - Permettant la mise en place d’une attaque DDOS (Distributed Denial of Service). • Perturber les processus industriels - Attaque sur un équipement métier, qu’il soit matériel ou logiciel.
  • 8. 8 IBM Security A propos des vulnérabilités Les vulnérabilités fournissent des opportunités, pour des attaquants, d'accéder aux systèmes d’information. Ces vulnérabilités peuvent être des failles, des fonctionnalités détournées ou des erreurs de l'utilisateur. Les attaquants vont chercher à exploiter l'une d’entre elles, parfois en les combinant, pour atteindre leur objectif final. Une vulnérabilité est une faiblesse dans un système informatique qui peut être exploitée par un attaquant pour permettre la réussite d’une attaque. Faille - Une faille est une fonctionnalité involontaire. Cela peut être soit un résultat d'une mauvaise conception ou soit des erreurs commises lors de la mise en œuvre d’une solution. Une faille peut passer inaperçue pendant une longue période. La majorité des attaques courantes que nous voyons aujourd'hui exploitent ce type de vulnérabilité (Zero Day) Détournement d’une fonctionnalité – Une fonctionnalité est utilisée à mauvais escient par un attaquant afin de perturber un système. (Macro MS Office, JavaScript, ...) Erreur de l'utilisateur - Un système, matériel ou logiciel, qui a été soigneusement conçu et mis en œuvre peut minimiser l'exposition à des vulnérabilités. Malheureusement, ces efforts peuvent être facilement annihilés par des erreurs commises par des utilisateurs (compte à privilège, non respect des politiques des mots de passe, …). Plus généralement, les utilisateurs peuvent être des sources significatives de vulnérabilités.
  • 9. 9 IBM Security Le paysage des menaces émergentes APTs MENACE INTERNE Cyber Attack activismE FraudE Ciblée, Persistante, Clandestine Situationnelle, Subversive, Non sanctionnée Centrée, Financée, EvolutivePerturbatrice, Publique Dissimulée, motivée, Opportuniste
  • 10. 10 IBM Security Les méthodes de sécurité traditionnelles ne sont plus adaptées MILLION de poste d’’expert en sécurité non pourvus d’ici 2020 1.585Outils de sécurité de45vendeurs % des chefs d’entreprise sont réticents à partager sur leurs incidents de sécurité 68
  • 11. 11 IBM Security Imaginez si vous pouviez aujourd’hui vous… PROTÉGER contre les risques de demain
  • 12. 12 IBM Security Déployer votre sécurité comme un système immunitaire Firewalls Incident and threat management Virtual patching Sandboxing Network visibility Data access control Data monitoringMalware protection Antivirus Endpoint patching and management Criminal detection Fraud protection Incident response Access managementEntitlements and roles Identity management Privileged identity management Application security management Application scanning Transaction protection Device management Content security Log, flow and data analysis Vulnerability assessment Anomaly detection
  • 13. 13 IBM Security Global Threat Intelligence Consulting Services | Managed Services Cloud L’approche IBM : La sécurité, le système immunitaire de votre système d’information Firewalls Incident and threat management Virtual patching Sandboxing Network visibility Data access control Data monitoring Malware protection Antivirus Endpoint patching and management Criminal detection Fraud protection Incident response Access management Entitlements and roles Identity management Privileged identity management Application security management Application scanning Transaction protection Device management Content security Security Intelligence Log, flow and data analysis Vulnerability assessment Anomaly detection
  • 14. 14 IBM Security Stratégie IBM Security IBM Security Capability Framework CATALOGUE CONSULTING CISO, CIO, and Line-of-Business • Strategy and leadership • Rapid transformation • Integrated solutions INNOVATION Advanced Threats Cloud Mobile and Internet of Things Compliance Mandates Skills Shortage Strategy, Risk and Compliance Cybersecurity Assessment and Response Security Intelligence and Operations Advanced Fraud Protection Identity and Access Management Data Security Application Security Network, Mobile, Endpoint, and Mainframe Advanced Threat and Security Research
  • 15. 15 IBM Security IBM Security, un acteur majeur de la sécurité Incident response Cloud-enabled identity management Identity governance Application security Risk management Data management Security services and network security Database monitoring and protection Application security SOA management and security 2011 2012 2013 2014 2015 20162005 2006 2007 2008 2009 20102002 IBM Security Systems IBM Security Services Identity management Directory integration Enterprise single-sign-on Endpoint management and security Security Intelligence Advanced fraud protection Secure mobile mgmt. CyberTap
  • 16. 16 IBM Security IBM a un catalogue complet de solution de sécurité Consulting Services | Managed Services QRadar Risk Manager QRadar Incident Forensics SiteProtector Network Protection XGS Key Lifecycle Manager Guardium zSecure BigFix Trusteer Apex MaaS360 Trusteer Mobile Trusteer Rapport Trusteer Pinpoint Resilient Systems Incident Response Identity Manager Access Manager Identity Governance and Intelligence Privileged Identity Manager DataPower Web Security Gateway AppScan Security Intelligence Cloud Cloud Security Enforcer QRadar SIEM QRadar Vulnerability Manager QRadar Log Manager Global Threat Intelligence X-Force Exchange App Exchange
  • 17. SIEM - Les principes IBM CAN HELP YOU… • Defend against web fraud and cybercrime • Prevent targeted attacks in real-time • Detect threats with security intelligence Log Manager versus Security Event & Information Management
  • 18. 18 IBM Security • Informations associées aux « services » de sécurité :  Antimalware Software  Intrusion Detection and Intrusion Prevention Systems  Remote Access Software  Web Proxies  Vulnerability Management Software  Authentication Servers  Routers  Firewalls  Network Quarantine Servers  … • Informations associées aux applications :  Client requests and server responses  Account information  Usage information  Significant operational actions • Informations associées aux systèmes d’exploitation :  System Events  Audit Records Comprendre le contenu des messages
  • 19. 19 IBM Security Une architecture fonctionnelle pour traiter l’information Collecte Agrégation Normalisatio n Régle / Corrélation Stockag e Rejeu Analyse / Rapport Evénements collectés du SI Les traces brutes sont stockées sans modification pour garder leur valeur juridique. Elles sont normalisées sous un format plus lisible. Ce sont ces évènements qui seront enrichis avec d'autres données puis envoyés vers le moteur de corrélation. La corrélation permettent d'identifier un évènement qui a causé la génération de plusieurs autres. Elle permet la remontée d’une alerte Investigations post-incidentGestion des tableaux de bord et des rapports. Les différents acteurs du SI, RSSI, administrateurs, utilisateurs peuvent avoir une visibilité sur le SI (nombre d'attaques, nombre d'alertes par jour…). Un archivage à valeur probante permet de garantir l'intégrité des traces. Source Application de règles de filtrage puis agrégation Adapté de : Security Information and Event Management (SIEM) Implementation - David R.Miller, Shon Harris, Allen A. Harper, Stephen VanDyke, Chris Blask
  • 20. 20 IBM Security Approche architecture Log / SIEM La solution de Log en frontal de la solution de SIEM pour absorber le volume des données La solution de Log est déployée dans un premier temps et le besoin des fonctionnalités de SIEM dans un second temps (50% des approches) La solution de Log et la solution de SIEM sont déployées en même temps et la plupart du temps avec le même éditeur La solution de SIEM est déployée avec la solution de Log en tant qu’archive. C’est le cas dans l’acquisition en premier temps du SIEM et que le client s’aperçoit d’un manque de normalisation et d’agrégation des informations Adapté de : The Complete Guide to Log and Event Management - Dr. Anton Chuvakin
  • 21. 21 IBM Security Analyse de la maturité de l’entreprise sur la gestion des journaux Log Ignorance Pas de traitement Log Collection Collection et stockage uniquement Log Investigation Collection et traitement en cas d’incident Log Reporting Collection et analyse sur rapport mensuel Log Analyse Collection et analyse journaliére Log Surveillance Informations de sécurité surveillées en temps réelAdapté de : The Complete Guide to Log and Event Management - Dr. Anton Chuvakin
  • 22. 22 IBM Security Fontionnalités SIEM Log Management Collection Collecte les informations de sécurité nécessaire Collecte l’ensemble des log (Opérationnel, Application Rétention Conservation à court terme des données normalisées et agrégées Conservations à long terme des données brutes Reporting Rapports spécifiques (conformité, menace,…) Rapport sur historique et utilisation Analyse Corrélation, priorité sur les menaces et les incidents Analyse contextuelle, tag du payload Alerte et notification Analyse et rapport avancés Simple alerte sur les logs Autres fonctionnalités Gestion des incidents, analyse des données des incidents Grande capacité de collection et d’analyse Comparaison SIEM versus Log Management Adapté de : The Complete Guide to Log and Event Management - Dr. Anton Chuvakin
  • 23. 23 IBM Security SIEM…au tableau blanc
  • 24. Bloquer les menaces IBM CAN HELP YOU… • Defend against web fraud and cybercrime • Prevent targeted attacks in real-time • Detect threats with security intelligence Use analytics and insights for smarter and more integrated defense
  • 25. 25 IBM Security Se poser les bonnes questions… Quel est l’impact sur l’entreprise? Quels sont les incidents de sécurité en ce moment ? Sommes nous configurés pour nous protéger contre les attaques avancées? Quels sont les risques majeurs et les vulnérabilités ? • Gain de visibilité sur les failles de sécurité du système d’information de l’entreprise • Détection des écarts, par rapport au standard, pouvant être utilisé pour une attaque • Priorisation des vulnérabilités pour optimiser le processus de correction et ainsi limiter l’exposition à une attaque • Détection automatique des menaces et analyse rapide de l’impact • Définition des contextes de risque par une analyse avancée des informations de sécurité • Investigation post-mortem automatique afin de trouver rapidement la cause de l’incident et de mettre en place la remédiation Exploit Remédiation REACTION / PHASE DE REMEDIATION Post-ExploitVulnérabilité Pré-Exploit PREDICTION / PHASE DE PREVENTION Vulnerability Manager Risk Manager SIEM Log Manager Incident Forensics
  • 26. 26 IBM Security What was the impact to the organization? What security incidents are happening right now? Are we configured to protect against advanced threats? What are the major risks and vulnerabilities? • Gain visibility over the organization’s security posture and identity security gaps • Detect deviations from the norm that indicate early warnings of APTs • Prioritize vulnerabilities to optimize remediation processes and close critical exposures before exploit • Automatically detect threats with prioritized workflow to quickly analyze impact • Gather full situational awareness through advanced security analytics • Perform forensic investigation reducing time to find root-cause; use results to drive faster remediation Exploit Remediation REACTION / REMEDIATION PHASE Post-ExploitVulnerability Pre-Exploit PREDICTION / PREVENTION PHASE Vulnerability Manager Risk Manager SIEM Log Manager Incident Forensics
  • 27. 27 IBM Security IBM QRadar Security Intelligence Platform Fournir une aide éclairée pour la prise de décision IBM QRadar Security Intelligence Platform AUTOMATED Pilotage simplifiée et prise en main rapide INTEGRATED Architecture unifiée au travers une console unique INTELLIGENT Corrélation, analyse et consolidation du volume des données
  • 28. 28 IBM Security Intelligence embarquée pour identification automatique des incidents Suspicions d’Incidents Serveurs & mainframes Activité données Réseau & environnement virtuel Activité Applications Information de configuration Actifs sécurité Utilisateurs & identités Vulnérabilités & menaces Gestion des menaces Identification Automatique des Incidents • Collecte, stockage et analyse illimités des données • Normalisation des données • Découverte automatique des actifs, des services et des utilisateurs et profilage • Corrélation en temps réel et gestion des menaces • Détection des comportements anormaux • Détections des incidents Intelligence Embarquée Incidents Prioritaires
  • 29. 29 IBM Security Répondre aux questions pour prévenir et remédier aux attaques Combien d’actifs ciblés sont impactés ? Quelle a été l’attaque ? L’attaque est elle crédible? Les cibles ont elle s un impact ? Qui est responsable de l’attaque? Ou est que c’est localisé ? Qu’est qui a été volé et ou sont les évidences ? Y a t-il des actifs vulnérables ?
  • 30. 30 IBM Security Rule R detects “Event D” which is added to Offense 909. Adjusted magnitude becomes critical. Offense Description: D preceded by C preceded by B preceded bt A Cycle de vie d’un incident D OffenseMagnitude Time Unrelated events X Events that participate to the offense Offense Description: C preceded by B preceded by AOffense Description: B preceded by A Offense Description: A Rule Z detects “ Event C” which is added to Offense 909. Magnitude adjusted. C Rule Y detects “Event B” which is added to Offense 909. Magnitude adjusted. B Rule X detects “Event A” and triggers the Offense creation. Low Magnitude. A
  • 31. 31 IBM Security Offense Life Cycle Events that do not participate to an offense Events that participate to the offense Magistrate Correlation Engine
  • 32. 32 IBM Security Investiguer les incidents en profondeur Suspicion d’incidents Enquêtes d’investigation • Réduction rapide du temps de résolution par une approche intuitive d’investigation • Utilisation de l’intuition plus que l’expertise technique • Déterminer la cause et empêcher de nouvelles occurrences Intelligence Embarquée Incidents Prioritaires
  • 33. 33 IBM Security EMAIL Chat Social Web Vue détaillée de l’activité From session data analysis yielding basic application insights To full visualization of extended relationships and embedded content From standard asset identity information To rich visualizations of digital impressions showing extended relationships
  • 34. 34 IBM Security Une architecture unifiée autour d’une console Web unique Gestion des événements Sécurité intelligente et Analytique Gestion de l’activité réseau Gestion des risques Gestion des vulnérabilités Analyse légale des évidences
  • 35. 35 IBM Security Pilotage simplifié et prise en main rapide QRadar’s ease-of-use in set-up and maintenance resulted in reduced time to resolve network issues and freed-up IT staff for other projects. Private U.S. University with large online education community Découverte automatique des actifs du réseau Analyse proactive des vulnérabilités, contrôle des configurations et des politiques de sécurité Déploiement simplifié Configuration automatique des sources de données journaux et flux ainsi que des actifs réseau Mise à jour automatique Etre informé des dernières vulnérabilités et menaces Règles et rapports inclus Réduire les efforts d’investigation ainsi que de mise en conformité IBM QRadar is nearly three times faster to implement across the enterprise than other SIEM solutions. 2014 Ponemon Institute, LLC Independent Research Report
  • 36. 36 IBM Security Les attaquants partagent leur compétences, nous devons faire de même ! IBM Security X-Force Exchange  IBM Security met à disposition, sur une infrastructure Cloud, son environnement IBM xForce qui vous permet de faire des recherches sur les dernières menaces de sécurité, sur les vulnérabilités ainsi que d’échanger avec nos experts:  Ouverture : Accès à une multitude de données sur les menaces et les vulnérabilités.  Collaboratif : Partage d’informations avec nos experts  Intégration : Interaction avec nos solutions pour bloquer rapidement les menaces. • .
  • 37. 37 IBM Security Intégration avec des sources de menaces tierces  Support des formats STIX/TAXII  Enregistrement des IOCs dans les composants QRadar Reference sets  Utilisation de ces composants pour corrélation, recherche et rapport  Création de règle pour gérer les IOC dans les QRadar Reference sets  CAS D’UTILISATION Utilisation d’un liste d’adresse IP par une règle permettant de modifier l’importance d’un incident. IBM Security Threat Intelligence
  • 38. 38 IBM Security Les attaquants partagent leur compétences, nous devons faire de même ! IBM Security App Exchange  Mise à disposition d’un magasin d’application permettant une intégration rapide de solutions tierces (éditeur ou partenaire)
  • 39. 39 IBM Security Un composant pour une gestion complète des incidents de sécurité PRÉVENTION DÉTECTION RÉPONSE Gérer les attaques potentielles ainsi que des vulnérabilités Identifier les menaces avec de l’approche analytique et de l’analyse des évidences Résoudre les incidents en suivant un processus de traitement adéquates Unites Security Operations and Incident Response Resilient will extend IBM’s offerings to create one of the industry’s most complete solutions to prevent, detect, and respond to threats Delivers a Single Hub for Response Management Resilient will allow security teams to orchestrate response processes, and resolve incidents faster, more effectively, and more intelligently Integrates Seamlessly with IBM and 3rd Party Solutions Resilient integrates with QRadar and other IBM and 3rd party solutions so organizations of various sizes can successfully resolve attacks
  • 40. 40 IBM Security Réduire les coûts, améliorer la visibilité SIEM traditionnel 6 produits de 6 vendeurs IBM Sécurité Intelligente et Analytique Flux Paquets Vulnérabilités Configurations Logs Evénements Une architecture unifiée et intégrée au travers d’une console unique IBM Security QRadar Security Intelligence Platform
  • 41. Architecture IBM CAN HELP YOU… • Defend against web fraud and cybercrime • Prevent targeted attacks in real-time • Detect threats with security intelligence Components, correlation, rules,…
  • 42. 42 IBM Security Architecture QRadar Event Collector Flow Collector / Qflow Flow Event Accum Event Processor Identity Asset Offense Config Console/UI Magistrate Reporting Flow Event Accum Data Node Qflow • réception flux Event Collector • réception événements • normalisation événements • Catégorisation événements Event Processor • tests événement et flux avec les règles • Ariel stockage pour événements et flux Data Node • Extension Processor et stockage Console/Magistrate • Interface utilisateur • Processus incident • Reporting • actif, incident, et configuration Flow Sources: Interface, Netflow, Sflow, Jflow, etc. Log Sources: Syslog, log files, traps, etc.
  • 43. 43 IBM Security Evolution selon votre besoin All-in-One est un appareil unique qui est utilisée pour recueillir les événements et les données de flux des différents dispositifs de sécurité et de réseau, pour effectuer la corrélation des données et la correspondance aux règles, pour gérer des rapports sur les alertes et les menaces, et pour fournir toutes les fonctions d'administration via un navigateur Web. Un déploiement distribué se compose de plusieurs appareils à des fins différentes: • Event Processor pour collecter, traiter et stocker journaux • Flow Processor pour collecter, traiter et stocker plusieurs types de données sur les flux générés par le dispositif de réseau. • QFlow Collector (facultatif) pour collecter des données d'application. • Console pour corréler les données des différents processeurs, pour générer des alertes / rapports, et pour fournir toutes les fonctions d'administration QRadar SIEM All-in-One IDS Firewall All-in-One (31XX) QFlow Collector Event Collector QRadar SIEM distribué Console (31XX) Event Processor (16XX) Flow Processor (17XX) QFlow Collector 12xx/13xxRouters/Switches Layer 4 Flows Routers/Switches Layer 4 Flows Firewalls, IDS, Routers, Switches, Servers, etc Event Collector (15XX) QRadar Web Console QRadar Web Console
  • 44. 44 IBM Security Architecture des composants Advanced Threat Detection Insider Threat Detection Risk & Vulnerability Management Incident Forensics Incident Response Compliance Reporting Securing Cloud USE CASES ACTION ENGINE COLLECTION DEPLOYMENT MODELS Behavior-Based Analytics PRIORITIZED INCIDENTS Context-Based Analytics Time-Based Analytics QRadar Sense AnalyticsTM Third-Party Usage Automation WorkflowsDashboards Visualizations ON PREM AS A SERVICE CLOUD HYBRID Business Systems Cloud Infrastructure Threat Intel Applications Capability and Threat Intelligence Collaboration Platforms App Exchange X-Force Exchange
  • 45. 45 IBM Security Interface gestion des règles
  • 46. 46 IBM Security Un processus simple
  • 47. 47 IBM Security Quels sont les éléments de dimensionnement ?  Evénements Par Seconde (EPS)  Flux réseau (si nécessaire)  Stockage en ligne (rétention)  Nombre de sources qui génèrent des événements  Mode appliance physique, virtuelle ou mode serveur  Facteurs géographiques  Exigences de haute disponibilité  Exigences de sauvegarde  Nombre d’opérateurs  “Profondeur” des recherches (nombre, longueur,…)
  • 48. 48 IBM Security Intelligence is the new defense It helps prevent threats faster and make more informed decisions Integration is the new foundation It puts security in context and automates protection Expertise is the new focus It is essential to leverage global knowledge and experience to stay ahead A new way to think about security
  • 49. 49 IBM Security Learn more about IBM Security Intelligence and Analytics V2015-11-23 countries where IBM delivers managed security services industry analyst reports rank IBM Security as a LEADER enterprise security vendor in total revenue clients protected including… 130+ 25 No. 1 12K+ 90% of the Fortune 100 companies Join IBM X-Force Exchange xforce.ibmcloud.com Visit our website ibm.com/security Watch our videos on YouTube IBM Security Channel Read new blog posts SecurityIntelligence.com Follow us on Twitter @ibmsecurity
  • 50. © Copyright IBM Corporation 2016. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. Any statement of direction represents IBM's current intent, is subject to change or withdrawal, and represent only goals and objectives. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others. Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed, misappropriated or misused or can result in damage to or misuse of your systems, including for use in attacks on others. No IT system or product should be considered completely secure and no single product, service or security measure can be completely effective in preventing improper use or access. IBM systems, products and services are designed to be part of a lawful, comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective. IBM does not warrant that any systems, products or services are immune from, or will make your enterprise immune from, the malicious or illegal conduct of any party. ibm.com/security securityintelligence.com xforce.ibmcloud.com @ibmsecurity youtube/user/ibmsecuritysolutions FOLLOW US ON: THANK YOU
  • 51. Information concerning non-IBM products was obtained from the suppliers of those products, their published announcements or other publicly available sources. IBM has not tested those products in connection with this publication and cannot confirm the accuracy of performance, compatibility or any other claims related to non-IBM products. Questions on the capabilities of non-IBM products should be addressed to the suppliers of those products. IBM does not warrant the quality of any third-party products, or the ability of any such third-party products to interoperate with IBM’s products. IBM EXPRESSLY DISCLAIMS ALL WARRANTIES, EXPRESSED OR IMPLIED, INCLUDING BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. The provision of the information contained herein is not intended to, and does not, grant any right or license under any IBM patents, copyrights, trademarks or other intellectual property right. Other company, product, or service names may be trademarks or service marks of others. A current list of IBM trademarks is available at “Copyright and trademark information” www.ibm.com/legal/copytrade.shtml Copyright © 2015 by International Business Machines Corporation (IBM). No part of this document may be reproduced or transmitted in any form without written permission from IBM. U.S. Government Users Restricted Rights – Use, duplication or disclosure restricted by GSA ADP Schedule Contract with IBM. Information in these presentations (including information relating to products that have not yet been announced by IBM) has been reviewed for accuracy as of the date of initial publication and could include unintentional technical or typographical errors. IBM shall have no responsibility to update this information. THIS document is distributed "AS IS" without any warranty, either express or implied. In no event shall IBM be liable for any damage arising from the use of this information, including but not limited to, loss of data, business interruption, loss of profit or loss of opportunity. IBM products and services are warranted according to the terms and conditions of the agreements under which they are provided. Any statements regarding IBM’s future direction, intent or product plans are subject to change or withdrawal without notice. Performance data contained herein was generally obtained in a controlled, isolated environments. Customer examples are presented as illustrations of how those customers have used IBM products and the results they may have achieved. Actual performance, cost, savings or other results in other operating environments may vary. References in this document to IBM products, programs, or services does not imply that IBM intends to make such products, programs or services available in all countries in which IBM operates or does business. Workshops, sessions and associated materials may have been prepared by independent session speakers, and do not necessarily reflect the views of IBM. All materials and discussions are provided for informational purposes only, and are neither intended to, nor shall constitute legal or other guidance or advice to any individual participant or their specific situation. It is the customer’s responsibility to insure its own compliance with legal requirements and to obtain advice of competent legal counsel as to the identification and interpretation of any relevant laws and regulatory requirements that may affect the customer’s business and any actions the customer may need to take to comply with such laws. IBM does not provide legal advice or represent or warrant that its services or products will ensure that the customer is in compliance with any law. Legal notices and disclaimers