Geneva Application Security Forum: Vers une authentification plus forte dans ...
Réflexion sur la mise en oeuvre d'un projet de corrélation
1. e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
Réflexion sur la mise en oeuvre d’un projet de corrélation
Séminaire du 9 mai 2006
Sylvain Maret
4 info@e-xpertsolutions.com | www.e-xpertsolutions.com
2. 4 Réflexion sur la mise en oeuvre d’un projet de corrélation
Comment aborder un projet de
corrélation?
Quelles sont les sources à
collecter?
Faut il donner des priorités aux
informations?
Que faire des informations du
périmètre de sécurité?
4 Solutions à la clef
3. 4 Fonctions principales d’une solution de corrélation
Collecter les informations là ou elles sont (A)
Corréler ces informations hétérogènes
Présenter en temps réel les alertes fiabilisées (B)
Donne les moyens de réagir aux alertes (C)
Générer des tableaux de bord
Archiver les logs
4 Solutions à la clef
4. 4 L’approche d’un projet SIM
(B)
alertes fiabilisées
(A)
(C)
là ou elles sont
réagir aux alertes
solution de corrélation
4 Solutions à la clef
5. 4 Inventaire du système d’information (SI)
Classification des biens du SI Exemple
Confidentialité (C) C I D
Intégrité (I)
Disponibilité (D) A
B
Niveau A (Elevé)
Niveau B (Moyen) C
Niveau C (Bas)
4 Solutions à la clef
6. 4 Exemple avec la société « Acme.com »
C I D
GESTIA (Application GED)
COCKPIT (ERP)
E-Connect (Extranet Web)
Prod4 (App. de production robotisé)
Messagerie (App. Lotus Notes)
Connectra (Système pour la vente)
Etc.
4 Solutions à la clef
7. 4 Une approche pragmatique
Voir le projet SIM comme un
processus à long terme.
Définition des priorités
Surveillance des points chauds
Biens niveau A
4 Solutions à la clef
8. 4 L’approche d’un projet SIM
(A)
la ou elles sont
4 Solutions à la clef
9. 4 Décomposition d’un bien informatique
ERP « COCKPIT »
Evénements directs
End Point Network System Application
Internal External
Security Security
Evénements avoisinants Evénements éloignés
4 Solutions à la clef
10. 4 Collecte d’événements pour « Cockpit »
Zone Description Poids
APP Tomcat, Apache 2.x, Oracle 10
System Linux Red Hat, SSH, PAM 8
System Solaris 2.8, SSH, PAM, Tripwire (FIA) 8
Collecte
Internal Nagios, Sonde IDS, firewall, Ace Server 5
Security
External Firewall, IDS 2
Security
4 Solutions à la clef
11. 4 L’approche d’un projet SIM
(B)
alertes fiabilisées
solution de corrélation
4 Solutions à la clef
12. 4 Réflexion sur les alertes ?
Pour les biens que l’on désire surveiller!
Définir les événements à « Remonter »
Utilisateurs inexistants
Brute force attaque
Brusque changement de trafique
Changement d’intégrité (FIA)
Nouvelle MAC adresse sur le réseau
Attaque sur une zone interne
Etc.
4 Solutions à la clef
13. 4 L’approche d’un projet SIM
(C)
réagir aux alertes
4 Solutions à la clef
14. 4 Des informations par rôle
Management
Responsable de l’entreprise
Gestion des risques
Securité
Responsable sécurité
Gestion global de la sécurité (gestion des risques)
Opérationnel
Intégration et exploitation
Gestion des systèmes et infrastructure
4 Solutions à la clef
15. 4 Conclusion
Un projet SIM est un processus à long terme
L’analyse des biens est très importante
Que surveiller?
Donner la priorité aux événements proches des biens
(Cœur du métier)
Ne pas négliger la partie organisationnelle
4 Solutions à la clef