Serge Richard, profile picture
Téléchargé parSerge Richard
1,951 vues

Security intelligence overview_may 2015 - fr

Le document discute des défis croissants de la cybersécurité, met en évidence l'évolution des menaces et l'augmentation des violations de données, soulignant la nécessité d'une approche modernisée pour la sécurité. IBM QRadar Security Intelligence est présenté comme une solution intégrée pour la détection des menaces, la gestion des incidents et l'analyse des risques, permettant aux entreprises de mieux comprendre et gérer leurs vulnérabilités. L'architecture proposée est axée sur la collecte, la corrélation et l'analyse des données de sécurité pour améliorer la réactivité face aux cyberattaques.

Intégrer la présentation

© 2015 IBM Corporation IBM Security 1© 2015 IBM Corporation IBM Security Intelligence Offre IBM QRadar Security Intelligence Serge RICHARD - CISSP® Security Channel Technical Advocate IBM Security Systems serge.richard@fr.ibm.com
© 2015 IBM Corporation IBM Security 2 Bienvenue dans le monde de la Cyber Criminalité… http://www.mcafee.com/us/resources/reports/rp-economic-impact-cybercrime2.pdf
© 2015 IBM Corporation IBM Security 3 Chaque jour, les attaques sophistiquées percent les défenses SQL injection Watering hole Physical access MalwareThird-party software DDoSSpear phishing XSS Undisclosed Types d’attaque Note: Size of circle estimates relative impact of incident in terms of cost to business Source: IBM X-Force Threat Intelligence Quarterly – 1Q 2014 2011 Année des failles 2012 Augmentation de 40% 2013 500,000,000+ record des failles 61% des entreprises indiquent que le vol des données et la cybercriminalité sont leurs principales préoccupations 2012 IBM Global Reputational Risk & IT Study $3.5M+ : coût moyen des vols de données 2014 Cost of Data Breach, Ponemon Institute
© 2015 IBM Corporation IBM Security 4 L’écosystème change…Si ce n’est déjà fait !!! Les entreprises sont en perpétuelles mutations Les limites du périmètre “Cyber” deviennent floues…Comment appréhender cela ?
© 2015 IBM Corporation IBM Security 5 L’approche de la sécurité doit changer
© 2015 IBM Corporation IBM Security 6 Mais comment garder une longueur d’avance sur les attaquants ? Evolution des menaces Complexité importante Gestion des ressources • Méthodes d'attaque de plus en plus sophistiquées • Disparition des périmètres • Augmentation des failles de sécurité • Constante évolution des infrastructures • Trop de produits provenant de plusieurs fournisseurs, donc coûteux à configurer et à gérer • Des outils inadaptés et inefficaces • Des équipes sécurité à la peine • Trop de données à gérer avec peu de personnel et des connaissances limitées sur les nouvelles menaces Spear Phishing Persistence Backdoors Designer Malware
© 2015 IBM Corporation IBM Security 7 L’augmentation et la diversité des attaques devient une problématique pour les RSSI Source: IBM X-Force® Research 2013 Trend and Risk Report Consolider les données de sécurité Identifier les attaques Mieux appréhender les risques métiers Gérer la conformité Détecter les fraudes internes
© 2015 IBM Corporation IBM Security 8 Le paysage des menaces émergentes APTs MENACE INTERNE Cyber Attack activismE FraudE Ciblée, Persistante, Clandestine Situationnelle, Subversive, Non sanctionnée Centrée, Financée, EvolutivePerturbatrice, Publique Dissimulée, motivée, Opportuniste
© 2015 IBM Corporation IBM Security 9 Gérer l’attaque au plus vite… http://www.verizonenterprise.com/resources/reports/rp_Rapport_d_enquete_2012_Sur_Les_Compromissions_De_Donnees_fr_xg.pdf La problématique n’est pas de savoir si nous allons être attaqués, mais quand nous allons être attaqués !!!
© 2015 IBM Corporation IBM Security 10 http://www.verizonenterprise.com/resources/reports/rp_Rapport_d_enquete_2012_Sur_Les_Compromissions_De_Donnees_fr_xg.pdf La problématique n’est pas de savoir si nous allons être attaqués, mais quand nous allons être attaqués !!! Gérer l’attaque au plus vite…
© 2015 IBM Corporation IBM Security 11 Des réponses aux besoins… Détection des menaces • Avoir des informations les plus complètes Consolider les silos de données • Collecter, mettre en corrélation créer des rapports sur ​​les données dans une solution intégrée Détection de fraude interne • Nouvelle génération de SIEM avec corrélation d’identité Mieux prédire les risques pour votre entreprise • Cycle de vie complet de la conformité et la gestion des risques pour les infrastructures de réseau et de sécurité Gérer les besoins de réglementation • Collecte automatique des données • Audits de configuration
© 2015 IBM Corporation IBM Security 12 …et comprendre l’activité sur le système d’information Compréhension de ce qui se passe sur le réseau Détecter et gérer les vulnérabilités Détecter les anomalies Fournir de l’information de sécurité pour les applications critiques Superviser l’activité des utilisateurs
© 2015 IBM Corporation13 Précisions sur le Log Management et le SIEM
© 2015 IBM Corporation IBM Security 14 Comprendre le contenu des événements  Informations associées aux « services » de sécurité : – Antimalware Software – Intrusion Detection and Intrusion Prevention Systems – Remote Access Software – Web Proxies – Vulnerability Management Software – Authentication Servers – Routers – Firewalls – Network Quarantine Servers – …  Informations associées aux applications : – Client requests and server responses – Account information – Usage information – Significant operational actions  Informations associées aux systèmes d’exploitation : – System Events – Audit Records
© 2015 IBM Corporation IBM Security 15 Une architecture fonctionnelle pour traiter l’information Collecte AgrégationNormalisation Régle / Corrélation Stockage Rejeu Analyse / Rapport Evénements collectés du SI Les traces brutes sont stockées sans modification pour garder leur valeur juridique. Elles sont normalisées sous un format plus lisible. Ce sont ces évènements qui seront enrichis avec d'autres données puis envoyés vers le moteur de corrélation. La corrélation permettent d'identifier un évènement qui a causé la génération de plusieurs autres. Elle permet la remontée d’une alerte Investigations post-incidentGestion des tableaux de bord et des rapports. Les différents acteurs du SI, RSSI, administrateurs, utilisateurs peuvent avoir une visibilité sur le SI (nombre d'attaques, nombre d'alertes par jour…). Un archivage à valeur probante permet de garantir l'intégrité des traces. Source Application de règles de filtrage puis agrégation Adapté de : Security Information and Event Management (SIEM) Implementation - David R.Miller, Shon Harris, Allen A. Harper, Stephen VanDyke, Chris Blask
© 2015 IBM Corporation IBM Security 16 Approche architecture Log / SIEM La solution de Log en frontal de la solution de SIEM pour absorber le volume des données La solution de Log est déployée dans un premier temps et le besoin des fonctionnalités de SIEM dans un second temps (50% des approches) La solution de Log et la solution de SIEM sont déployées en même temps et la plupart du temps avec le même éditeur La solution de SIEM est déployée avec la solution de Log en tant qu’archive. C’est le cas dans l’acquisition en premier temps du SIEM et que le client s’aperçoit d’un manque de normalisation et d’agrégation des informations Adapté de : The Complete Guide to Log and Event Management - Dr. Anton Chuvakin
© 2015 IBM Corporation IBM Security 17 Analyse de la maturité de l’entreprise sur la gestion des journaux Log Ignorance Pas de traitement Log Collection Collection et stockage uniquement Log Investigation Collection et traitement en cas d’incident Log Reporting Collection et analyse sur rapport mensuel Log Analyse Collection et analyse journaliére Log Surveillance Informations de sécurité surveillées en temps réelAdapté de : The Complete Guide to Log and Event Management - Dr. Anton Chuvakin
© 2015 IBM Corporation IBM Security 18 Comparaison : SIEM vs. Log Management Fontionnalités SIEM Log Management Collection Collecte les informations de sécurité nécessaire Collecte l’ensemble des log (Opérationnel, Application Rétention Conservation à court terme des données normalisées et agrégées Conservations à long terme des données brutes Reporting Rapports spécifiques (conformité, menace,…) Rapport sur historique et utilisation Analyse Corrélation, priorité sur les menaces et les incidents Analyse contextuelle, tag du payload Alerte et notification Analyse et rapport avancés Simple alerte sur les logs Autres fonctionnalités Gestion des incidents, analyse des données des incidents Grande capacité de collection et d’analyse Adapté de : The Complete Guide to Log and Event Management - Dr. Anton Chuvakin
© 2015 IBM Corporation IBM Security 19 Le SIEM (Security Information & Event Management) … au tableau blanc
© 2015 IBM Corporation20 L’approche IBM QRadar Security Intelligence Platform
© 2015 IBM Corporation IBM Security 21 Se poser les bonnes questions… Quel est l’impact sur l’entreprise? Quels sont les incidents de sécurité en ce moment ? Sommes nous configurés pour nous protéger contre les attaques avancées? Quels sont les risques majeurs et les vulnérabilités ? Security Intelligence Le bien-fondé d’un incident issu d’une analyse des données pertinentes de sécurité disponibles sur l’ensemble du système d’information de l’entreprise • Gain de visibilité sur les failles de sécurité du système d’information de l’entreprise • Détection des écarts, par rapport au standard, pouvant être utilisé pour une attaque • Priorisation des vulnérabilités pour optimiser le processus de correction et ainsi limiter l’exposition à une attaque • Détection automatique des menaces et analyse rapide de l’impact • Définition des contextes de risque par une analyse avancée des informations de sécurité • Investigation post-mortem automatique afin de trouver rapidement la cause de l’incident et de mettre en place la remédiation Exploit Remédiation REACTION / PHASE DE REMEDIATION Post-ExploitVulnérabilité Pré-Exploit PREDICTION / PHASE DE PREVENTION
© 2015 IBM Corporation IBM Security 22 IBM QRadar Security Intelligence Platform Fournir une aide éclairée pour la prise de décision IBM QRadar Security Intelligence Platform AUTOMATED Pilotage simplifiée et prise en main rapide INTEGRATED Architecture unifiée au travers une console unique INTELLIGENT Corrélation, analyse et consolidation du volume des données
© 2015 IBM Corporation IBM Security 23 Intelligence embarquée pour identification automatique des incidents INTELLIGENT Suspicions d’Incidents Serveurs & mainframes Activité données Réseau & environnement virtuel Activité Applications Information de configuration Actifs sécurité Utilisateurs & identités Vulnérabilités & menaces Gestion des menaces Identification Automatique des Incidents • Collecte, stockage et analyse illimités des données • Normalisation des données • Découverte automatique des actifs, des services et des utilisateurs et profilage • Corrélation en temps réel et gestion des menaces • Détection des comportements anormaux • Détections des incidents Intelligence Embarquée Incidents Prioritaires
© 2015 IBM Corporation IBM Security 24 Investiguer les incidents en profondeur INTELLIGENT Suspicion d’incidents Enquêtes d’investigation • Réduction rapide du temps de résolution par une approche intuitive d’investigation • Utilisation de l’intuition plus que l’expertise technique • Déterminer la cause et empêcher de nouvelles occurrences Intelligence Embarquée Incidents Prioritaires
© 2015 IBM Corporation IBM Security 25 Approche stratégique d’IBM Security Intelligence qui est basée sur les besoins de clients Security Intelligence .NEXTNetwork Forensics Investigation incidents et capture des paquets Vulnerability Management Scan temps réel vulnérabilités et priorisation vulnérabilités Risk Management Analyse des configurations gestion des politiques et évaluation des risques Log Management Gestion d’identité, gestion des logs, et besoin de conformité SIEM Intégration SIM et VA ClientNeeds Flow Visualization and NBAD Détection d’anomalies et traitement des menaces Evolutiondelaplateformeenfonctionbesoinsclient 2002 – 2005 2006 – 2007 2008 – 2009 2010 – 2011 2012 – 2013 2014 Futur INTELLIGENT
© 2015 IBM Corporation IBM Security 26 Une architecture unifiée autour d’une console Web unique Log Management Security Intelligence Network Activity Monitoring Risk Management Vulnerability Management Network Forensics INTEGRATED
© 2015 IBM Corporation IBM Security 27 INTEGRATED Répondre aux questions pour prévenir et remédier aux attaques Combien d’actifs ciblés sont impactés ? Quelle a été l’attaque ? L’attaque est elle crédible? Les cibles ont elle s un impact ? Qui est responsable de l’attaque? Ou est que c’est localisé ? Qu’est qui a été volé et ou sont les évidences ? Y a t-il des actifs vulnérables ?
© 2015 IBM Corporation IBM Security 28 AUTOMATED Pilotage simplifié et prise en main rapide QRadar’s ease-of-use in set-up and maintenance resulted in reduced time to resolve network issues and freed-up IT staff for other projects. Private U.S. University with large online education community Découverte automatique des actifs du réseau Analyse proactive des vulnérabilités, contrôle des configurations et des politiques de sécurité Déploiement simplifié Configuration automatique des sources de données journaux et flux ainsi que des actifs réseau Mise à jour automatique Etre informé des dernières vulnérabilités et menaces Règles et rapports inclus Réduire les efforts d’investigation ainsi que de mise en conformité IBM QRadar is nearly three times faster to implement across the enterprise than other SIEM solutions. 2014 Ponemon Institute, LLC Independent Research Report
© 2015 IBM Corporation IBM Security 29 Offrir plusieurs fonctionnalités de sécurité sur une seule plateforme Southbound APIs Northbound APIs IBM QRadar Security Intelligence Platform Real Time Structured Security Data Unstructured Operational / Security Data LEEF AXIS Configuration NetFlow Offense Security Intelligence Operating System Reporting Engine Workflow Rules Engine Real-Time Viewer Analytics Engine Warehouse Archival Normalization Log Management Security Intelligence Network Activity Monitoring Risk Management Vulnerability Management Network Forensics Future AUTOMATED
© 2015 IBM Corporation IBM Security 30 L’architecture de la solution FlowCollector(s) FlowCollector(s) Event Processor(s) Console Services UI Magistrate Reporting Event Accumulations Assets and Identity Asset OffenseIdentity Events from Log and Flow Sources Packets Interface and SFLOW Flow FlowCollector(s) FlowCollector(s) Event and Flow Collector(s) La solution se compose de différents services : • Event Collector : pour collecter les journaux • Flow Processor : pour collecter plusieurs types de données sur les flux générés par le dispositif de réseau. • QFlow Collector : (facultatif) pour collecter des données des applications. • Event/Flow Processor : pour traiter et stocker journaux ainsi que plusieurs types de données sur les flux générés par le dispositif de réseau. • Console pour corréler les données des différents processeurs, pour générer des alertes / rapports, et pour fournir toutes les fonctions d'administration
© 2015 IBM Corporation IBM Security 31 Deux types de déploiement : Tout en un et Distribué All-in-One (2100/31XX) Event Processor (16XX) Console (31XX)Flow Processor (17XX) QFlow Collector (12XX/13XX) All-in-One est un appareil unique qui est utilisée pour recueillir les événements et les données de flux des différents dispositifs de sécurité et de réseau, pour effectuer la corrélation des données et la correspondance aux règles, pour gérer des rapports sur les alertes et les menaces, et pour fournir toutes les fonctions d'administration via un navigateur Web. Un déploiement distribué se compose de plusieurs appareils à des fins différentes: • Event Processor pour collecter, traiter et stocker journaux • Flow Processor pour collecter, traiter et stocker plusieurs types de données sur les flux générés par le dispositif de réseau. • QFlow Collector (facultatif) pour collecter des données d'application. • Console pour corréler les données des différents processeurs, pour générer des alertes / rapports, et pour fournir toutes les fonctions d'administration
© 2015 IBM Corporation IBM Security 32 Architecture matérielle et logicielle optimisée pour un haut niveau de performance et un déploiement rapide IBM QRadar Security Intelligence Platform • Facile à déployer, utilisant des briques empilables sur une architecture distribuée • Ne nécessite pas de base de données ou du stockage tiers Architecture Appliance évolutive • Service de Fail Over et de Disaster Recovery • Déploiement en mode virtuel adapté pour les environnements Cloud Infrastructure modulaire partagée
© 2015 IBM Corporation IBM Security 33 Quels sont les éléments de dimensionnement ? Evénements Par Seconde (EPS) Flux réseau (si nécessaire) Stockage en ligne (rétention) Nombre de sources qui génèrent des événements Mode appliances physiques, virtuelles ou mode serveur Facteurs géographiques Exigences de haute disponibilité Exigences de sauvegarde Nombre d’opérateurs “Profondeur” des recherches (nombre, longueur,…)
© 2015 IBM Corporation IBM Security 34 Modèle tarifaire  Appliance principale – Coût d’acquisition initiale (matériel + logiciel ou logiciel uniquement) – Maintenance annuelle  Appliance HA (High Availability) and DR (Disaster Recovery) – Coût d’acquisition initiale (matériel + logiciel ou logiciel uniquement) – Maintenance annuelle  Evolution License – EPS : Par palier (1K  2.5K  5K) ou incrémentale (2500 EPS) – Flow : Par palier (25K  50K  100K  200K)  Evolution Déploiement – Evolution de la “Base 31XX” Appliance vers le mode console pour un déploiement en mode distribué. – Evolution de Log Manager vers QRadar SIEM  Evolution Appliance (matériel + logiciel) – Remplacement par un modèle supérieur avec les dernières mises à jour des logiciels (transfert des licences)  Evolution matériel uniquement – Remplacement du matériel tout en gardant la même version de logiciel Appliance Evolution
© 2015 IBM Corporation IBM Security 35 IBM zSecure IBM Security AppScan IBM Security Network Protection XGS IBM Security Access Manager IBM Security Privileged Identity Manager IBM InfoSphere Guardium IBM Security Identity Manager IBM Security Directory Server and Integrator IBM Endpoint Manager IBM Trusteer Apex IBM QRadar est la pierre angulaire de l’intégration IBM Security IBM QRadar Security Intelligence Platform
© 2015 IBM Corporation IBM Security 36 IBM QRadar s’intègre avec une centaine de solutions tierces IBM QRadar Security Intelligence Platform
© 2015 IBM Corporation IBM Security 37 IBM QRadar Security Intelligence Platform Paquets Vulnérabilités Configurations Flux Evénements Logs Une architecture unifiée et intégrée au travers d’une console WEB unique SIEM Traditionnel 6 produits de 6 vendeurs sont nécessaires IBM Security Intelligence and Analytics Security Intelligence intégrée pour réduire les coûts et augmenter la visibilité
© 2015 IBM Corporation38 Cas d’utilisation – Démonstration
© 2015 IBM Corporation IBM Security 39 Intelligence, intégration, automatisation pour garder une longueur d’avance sur les menaces Identifier les attaques Déployer une approche Security Intelligence et une investigation du incident Consolider les données de sécurité Collecter, corréler et normaliser les données sur une solution unique Détecter les fraudes internes Approche Security Intelligence avec une corrélation sur les identités Gérer la conformité Automatiser la collecte des données et la configuration des audits Mieux appréhender les risques métiers Mise en place d’une gestion des risques sur les infrastructures réseau et de sécurité
© 2015 IBM Corporation IBM Security 40 Cas d’utilisation : détection des menaces Botnet ou IP frauduleuse détectée? Un SIEM traditionnel s’arrête ici IRC sur le port 80 ? Le Qflow QRadar a détecté un canal spécifique Communication botnet irréfutable La couche 7 contient les détails qui sont nécessaires à l’établissement du dossier d’incident L’analyse de la couche applicative du flux permet de détecter des menaces que d’autres solutions ne voient pas
© 2015 IBM Corporation IBM Security 41 Cas d’utilisation : Consolidation des données de différentes provenances Analyse simultanée des événements et des flux. QRadar permet cette finesse. Réduction du volume d’information d’un SI a un niveau acceptable Corrélation avancée entre les différentes provenances 1153571 : 1Data Reduction Ratio Sources de données hétérogènes Corrélation intelligente Précision inégalée : ratio de réduction moyen de 120000 alertes en 1 incident+ =
© 2015 IBM Corporation IBM Security 42 Cas d’utilisation : Gérer les besoins de régulation imposés (normes) Trafic non chiffré détecté par IBM Security Qradar Qflow Détection d’un texte en claire, ce qui est hors de la recommandation du chapitre 4 de la norme PCI Risque sur la conformité PCI ? Détection en temps réel d’une possible violation Conformité simplifiée Support natifs des principales normes, dans les tableaux de bords, dans les recherches ainsi que dans les rapports
© 2015 IBM Corporation IBM Security 43 Cas d’utilisation : Détection de fraude interne Qui? Utilisateur interne Perte de données potentielle Qui? Quoi? Ou? Quoi? Données Oracles Ou? Gmail Détection des menaces y compris dans un périmètre post-attaque Détection de l’anomalie utilisateur et du comportement applicatif
© 2015 IBM Corporation IBM Security 44 Cas d’utilisation : Prédiction des risques en adéquation avec le métier Qu’est ce qui est affecté? Comment les prioriser ? Quel détail? Détails des vulnérabilités classifiées par score Remédiation à appliquer -> OSVDB ou XFORCE Security Intelligence en pré-exploit Détection des risques potentiels ou des écarts de conformité Constitution d’une base d’actifs basée sur les vulnérabilités observées
© 2015 IBM Corporation45 Références Client
© 2015 IBM Corporation IBM Security 46 L’hébergeur IBO choisit IBM QRadar pour protéger les données individuelles sur la santé de nos concitoyens et obtenir l’agrément du Ministère de la Santé « La solution IBM est extrêmement efficace. Elle nous permet de gagner à la fois en coûts de développement, comparativement à des logiciels du monde libre ; et en temps homme, via une gestion centralisée de la sécurité.» Gilles Raturat, Directeur technique IBO Enjeux Métier Pour obtenir son agrément d'hébergeur de données de santé, IBO devait garantir la confidentialité et l'intégrité des informations à caractère personnel qui lui sont confiées par les professionnels de santé. Solutions (QRadar SIEM, Network IPS) Si un hacker peut effacer les traces de son passage, il ne peut pas effacer l’activité réseau. L'idée de corréler en temps réel les événements avec l'activité réseau est devenue une évidence. Protection des données médicales personnelles
© 2015 IBM Corporation IBM Security 47 La société CHEOPS Technology choisit IBM QRadar pour renforcer la sécurité de son infrastructure informatique d’hébergement « L’évolution des menaces, la complexité accrue des infrastructures et la difficulté des équipes sécurité à identifier les nouveaux risques, imposent de nouvelles stratégies. En consolidant et corrélant tous les événements en sortie et en entrée des Datacenters, IBM Security QRadar SIEM nous permet d’être proactifs et de gérer les menaces en temps réel mais également d’anticiper sur de futurs incidents.» Stéphane Jourdain, Responsable de la Sécurité des systèmes d’information CHEOPS Technology Enjeux Métier La solution représente un atout pour conserver l’agrément d’Hébergeur de Données de Santé obtenue par la société en 2012. Elle contribue également à l’obtention de la certification ISO 27001, en cours chez CHEOPS Technology. Solutions (QRadar SIEM) « En matière de sécurité, les facteurs clés pour une entreprises résident dans la rapidité et la pertinence avec laquelle la source d’un problème est identifiée, sa criticité est évaluée et sa résolution est effectuée. » Nicolas Meyerhoffer, Directeur des logiciels sécurité IBM France Protection des datacenters
© 2015 IBM Corporation IBM Security 48 Une solution leader sur son marché IBM Security Intelligence  Leader sur le Gartner Magic Quadrant depuis 2009 Security Information and Event Management (SIEM)  IBM QRadar noté à la première place par le Gartner dans les catégories suivantes : – Facilité de mise en place – Analyse et détection des comportements anormaux – Réponses aux besoins de conformité – Besoin en supervision d’événement et d’incident de sécurité
© 2015 IBM Corporation IBM Security 49 En savoir plus sur IBM Security Visitez notre site Web IBM Security Website Regardez nos vidéos IBM Security YouTube Channel Lire le contenu de nos blogs SecurityIntelligence.com Suivez nous sur Twitter @ibmsecurity IBM Security Intelligence. Integration. Expertise. 133 pays ou IBM délivre des Services Managés de Sécurité 20 analystes de l’industrie classent IBM Security en tant que LEADER TOP 3 éditeur de logiciel de sécurité en terme de revenu 10K clients protégés dont… 24 des principales banques au Japon, Amérique Nord et Australie
© 2015 IBM Corporation IBM Security 50 Disclaimer Please Note: IBM’s statements regarding its plans, directions, and intent are subject to change or withdrawal without notice at IBM’s sole discretion. Information regarding potential future products is intended to outline our general product direction and it should not be relied on in making a purchasing decision. The information mentioned regarding potential future products is not a commitment, promise, or legal obligation to deliver any material, code or functionality. Information about potential future products may not be incorporated into any contract. The development, release, and timing of any future features or functionality described for our products remains at our sole discretion.
© 2015 IBM Corporation IBM Security 51 www.ibm.com/security © Copyright IBM Corporation 2014. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. IBM shall not be responsible for any damages arising out of the use of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor shall have the effect of, creating any warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreement governing the use of IBM software. References in these materials to IBM products, programs, or services do not imply that they will be available in all countries in which IBM operates. Product release dates and/or capabilities referenced in these materials may change at any time at IBM’s sole discretion based on market opportunities or other factors, and are not intended to be a commitment to future product or feature availability in any way. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others. Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed or misappropriated or can result in damage to or misuse of your systems, including to attack others. No IT system or product should be considered completely secure and no single product or security measure can be completely effective in preventing improper access. IBM systems and products are designed to be part of a comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective. IBM DOES NOT WARRANT THAT SYSTEMS AND PRODUCTS ARE IMMUNE FROM THE MALICIOUS OR ILLEGAL CONDUCT OF ANY PARTY.

Contenu connexe

PDF
Présentation de la stratégie et de l'offre IBM Security
parSerge Richard
 
PPSX
IBM Security Intelligence Juin-2016
parSerge Richard
 
PDF
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
parThierry Matusiak
 
PDF
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
parTelecomValley
 
PDF
Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]
parIBM France PME-ETI
 
PDF
20120612 04 - Les différentes facettes de la securité. La vision IBM
parLeClubQualiteLogicielle
 
PDF
Atelier Technique MANAGE ENGINE ACSS 2018
parAfrican Cyber Security Summit
 
PPT
Analyse de risques en cybersécurité industrielle
parPatrice Bock
 
Présentation de la stratégie et de l'offre IBM Security
parSerge Richard
 
IBM Security Intelligence Juin-2016
parSerge Richard
 
Synthèse de l'offre logicielle IBM de Sécurité - Nov 2016
parThierry Matusiak
 
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
parTelecomValley
 
Security Intelligence [#CloudAccelerate 13/06/2014 @ IBM CC Paris]
parIBM France PME-ETI
 
20120612 04 - Les différentes facettes de la securité. La vision IBM
parLeClubQualiteLogicielle
 
Atelier Technique MANAGE ENGINE ACSS 2018
parAfrican Cyber Security Summit
 
Analyse de risques en cybersécurité industrielle
parPatrice Bock
 

Tendances

PPT
Cours CyberSécurité - Infrastructures Critiques
parFranck Franchin
 
PDF
Comment réussir un projet de supervision de sécurité #SIEM #Succès
parDavid Maillard
 
PDF
AMAN - CISSI SIEM 12 mars 2014
parAbdeljalil AGNAOU
 
PDF
Détecter et neutraliser efficacement les cybermenaces !
parKyos
 
PDF
IBM SW Les nouveaux enjeux de la sécurité
parPatrick Bouillaud
 
PDF
Meetup ibm abakus banque postale
parIBM France Lab
 
PDF
ITrust Cybersecurity Services - Datasheet FR
parITrust - Cybersecurity as a Service
 
PDF
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
parIBM France PME-ETI
 
PDF
ITrust Security Operating Center (SOC) - Datasheet FR
parITrust - Cybersecurity as a Service
 
PDF
Web Application Firewall : une nouvelle génération indispensable ?
parKyos
 
PPT
Cheops Technology sécurise ses datacenters avec IBM QRadar SIEM
parSolutions IT et Business
 
PDF
Informatique et sécurité du système d'information : guide de bonnes pratiques...
parpolenumerique33
 
PPTX
Principes de bon sens pour une gouvernance cyber sécurité efficiente
parELCA Informatique SA / ELCA Informatik AG
 
PDF
Sécurité et confidentialité des données sensibles dans le cloud computing une...
parBilal El Houdaigui
 
PDF
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
parEric DUPUIS
 
PDF
Investigation de cybersécurité avec Splunk
parIbrahimous
 
PPTX
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
parCyber Security Alliance
 
PPT
Cours CyberSécurité - Concepts Clés
parFranck Franchin
 
PDF
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
parpolenumerique33
 
PPTX
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
parOuest Online
 
Cours CyberSécurité - Infrastructures Critiques
parFranck Franchin
 
Comment réussir un projet de supervision de sécurité #SIEM #Succès
parDavid Maillard
 
AMAN - CISSI SIEM 12 mars 2014
parAbdeljalil AGNAOU
 
Détecter et neutraliser efficacement les cybermenaces !
parKyos
 
IBM SW Les nouveaux enjeux de la sécurité
parPatrick Bouillaud
 
Meetup ibm abakus banque postale
parIBM France Lab
 
ITrust Cybersecurity Services - Datasheet FR
parITrust - Cybersecurity as a Service
 
La sécurité au service de l’innovation [#CloudAccelerate 13/06/2014 @ IBM CC ...
parIBM France PME-ETI
 
ITrust Security Operating Center (SOC) - Datasheet FR
parITrust - Cybersecurity as a Service
 
Web Application Firewall : une nouvelle génération indispensable ?
parKyos
 
Cheops Technology sécurise ses datacenters avec IBM QRadar SIEM
parSolutions IT et Business
 
Informatique et sécurité du système d'information : guide de bonnes pratiques...
parpolenumerique33
 
Principes de bon sens pour une gouvernance cyber sécurité efficiente
parELCA Informatique SA / ELCA Informatik AG
 
Sécurité et confidentialité des données sensibles dans le cloud computing une...
parBilal El Houdaigui
 
Guide ANSSI : 40 règles d'hygiène informatique en 13 images de questions dig...
parEric DUPUIS
 
Investigation de cybersécurité avec Splunk
parIbrahimous
 
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
parCyber Security Alliance
 
Cours CyberSécurité - Concepts Clés
parFranck Franchin
 
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
parpolenumerique33
 
La cybersécurité au service de votre stratégie digtitale - Adopte Une Stratég...
parOuest Online
 

En vedette

PDF
SIEM Architecture
parNishanth Kumar Pathi
 
PDF
Leverage machine learning using splunk user behavioral analytics
parSplunk
 
PPTX
SIEM presentation final
parRizwan S
 
PDF
SplunkSummit 2015 - Splunk User Behavioral Analytics
parSplunk
 
PDF
Failed Ransom: How IBM XGS Defeated Ransomware
parIBM Security
 
PPTX
Detect and Respond to Threats Better with IBM Security App Exchange Partners
parIBM Security
 
PPTX
Gov Day Sacramento 2015 - User Behavior Analytics
parSplunk
 
PDF
Presentation data security solutions certified ibm business partner for ibm...
parxKinAnx
 
PDF
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
parAlaaeddine Tlich
 
PDF
Top 12 Cybersecurity Predictions for 2017
parIBM Security
 
PPTX
Nowhere to Hide: Expose Threats in Real-time with IBM QRadar Network Insights
parIBM Security
 
PPTX
Implementing and Running SIEM: Approaches and Lessons
parAnton Chuvakin
 
PPTX
Beginner's Guide to SIEM
parAlienVault
 
PPTX
Security Information and Event Management (SIEM)
park33a
 
PPT
SIEM: Is It What Is SIEMs? Security Information and Event Management Summit a...
parAnton Chuvakin
 
PDF
Mercredi 19 septembre 2012
parDjeffalDejours
 
PDF
Media kit bandm 2011
parDrecko Dark
 
PPTX
Pi viñafrancespara pdf
parrlaborda
 
DOCX
Lenguaje musical
parKatty Fuertes Cevallos
 
PPTX
Presentation galav3
parfeezbe
 
SIEM Architecture
parNishanth Kumar Pathi
 
Leverage machine learning using splunk user behavioral analytics
parSplunk
 
SIEM presentation final
parRizwan S
 
SplunkSummit 2015 - Splunk User Behavioral Analytics
parSplunk
 
Failed Ransom: How IBM XGS Defeated Ransomware
parIBM Security
 
Detect and Respond to Threats Better with IBM Security App Exchange Partners
parIBM Security
 
Gov Day Sacramento 2015 - User Behavior Analytics
parSplunk
 
Presentation data security solutions certified ibm business partner for ibm...
parxKinAnx
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
parAlaaeddine Tlich
 
Top 12 Cybersecurity Predictions for 2017
parIBM Security
 
Nowhere to Hide: Expose Threats in Real-time with IBM QRadar Network Insights
parIBM Security
 
Implementing and Running SIEM: Approaches and Lessons
parAnton Chuvakin
 
Beginner's Guide to SIEM
parAlienVault
 
Security Information and Event Management (SIEM)
park33a
 
SIEM: Is It What Is SIEMs? Security Information and Event Management Summit a...
parAnton Chuvakin
 
Mercredi 19 septembre 2012
parDjeffalDejours
 
Media kit bandm 2011
parDrecko Dark
 
Pi viñafrancespara pdf
parrlaborda
 
Lenguaje musical
parKatty Fuertes Cevallos
 
Presentation galav3
parfeezbe
 

Similaire à Security intelligence overview_may 2015 - fr

PDF
IBM Technology Day 2013 M. Bobillier Security Intelligence Salle Calgary
parIBM Switzerland
 
PPTX
Mise-en-place-dun-SIEM-pour-une-banque.pptx
parTataCamara
 
PDF
Ibm sécurité marcel labelle 16 9 pdf
parColloqueRISQ
 
PPTX
siem-180906233759.pptx
parStyvePola1
 
PDF
IBM Security - Réussir sa transformation digitale
parSebastien JARDIN
 
PDF
siem-180906233759_compress.pdf
parStyvePola1
 
PPTX
Siem OSSIM
parYaya N'Tyeni Sanogo
 
PPT
Business Resilience-Business Resilience PCA.ppt
parimed11
 
PPTX
IBM Security Day- 17 Février 2015- Dakar- SENEGAL- Session Gestion des Identi...
parMohamed Amar ATHIE
 
PPTX
IBM MobileFirst Protect - Maîtrisez les risques liées à la Mobilité (V2)
parAGILLY
 
PPTX
formation_sensibilisation_transcrit.pptx
parAmine Besrour
 
DOCX
Devons nous analyser les logs en continu pour minimiser les risques informati...
parITrust - Cybersecurity as a Service
 
PDF
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
parSymantec
 
PDF
Cp 2013 security_report_web_fr(1)
parniokho
 
PDF
Cyberattaques : prenez de l’avance sur les cybercriminels
parEY
 
PPT
Competitic sécurite informatique - numerique en entreprise
parCOMPETITIC
 
PDF
la sécurité de l'information (extrait de presentation)
parDiane de Haan
 
PPT
Introduction à La Sécurité Informatique 1/2
parSylvain Maret
 
PDF
Baromètre BlackNoise 2022.pdf
parssuser384b72
 
PPT
Formation et sensibilisation sur la mise en place du SMSI.ppt
parimed11
 
IBM Technology Day 2013 M. Bobillier Security Intelligence Salle Calgary
parIBM Switzerland
 
Mise-en-place-dun-SIEM-pour-une-banque.pptx
parTataCamara
 
Ibm sécurité marcel labelle 16 9 pdf
parColloqueRISQ
 
siem-180906233759.pptx
parStyvePola1
 
IBM Security - Réussir sa transformation digitale
parSebastien JARDIN
 
siem-180906233759_compress.pdf
parStyvePola1
 
Siem OSSIM
parYaya N'Tyeni Sanogo
 
Business Resilience-Business Resilience PCA.ppt
parimed11
 
IBM Security Day- 17 Février 2015- Dakar- SENEGAL- Session Gestion des Identi...
parMohamed Amar ATHIE
 
IBM MobileFirst Protect - Maîtrisez les risques liées à la Mobilité (V2)
parAGILLY
 
formation_sensibilisation_transcrit.pptx
parAmine Besrour
 
Devons nous analyser les logs en continu pour minimiser les risques informati...
parITrust - Cybersecurity as a Service
 
LIVRE BLANC : L’entreprise cyber-résiliente : exploitez l’intelligence créée ...
parSymantec
 
Cp 2013 security_report_web_fr(1)
parniokho
 
Cyberattaques : prenez de l’avance sur les cybercriminels
parEY
 
Competitic sécurite informatique - numerique en entreprise
parCOMPETITIC
 
la sécurité de l'information (extrait de presentation)
parDiane de Haan
 
Introduction à La Sécurité Informatique 1/2
parSylvain Maret
 
Baromètre BlackNoise 2022.pdf
parssuser384b72
 
Formation et sensibilisation sur la mise en place du SMSI.ppt
parimed11
 

Security intelligence overview_may 2015 - fr

  • 1.
    © 2015 IBMCorporation IBM Security 1© 2015 IBM Corporation IBM Security Intelligence Offre IBM QRadar Security Intelligence Serge RICHARD - CISSP® Security Channel Technical Advocate IBM Security Systems serge.richard@fr.ibm.com
  • 2.
    © 2015 IBMCorporation IBM Security 2 Bienvenue dans le monde de la Cyber Criminalité… http://www.mcafee.com/us/resources/reports/rp-economic-impact-cybercrime2.pdf
  • 3.
    © 2015 IBMCorporation IBM Security 3 Chaque jour, les attaques sophistiquées percent les défenses SQL injection Watering hole Physical access MalwareThird-party software DDoSSpear phishing XSS Undisclosed Types d’attaque Note: Size of circle estimates relative impact of incident in terms of cost to business Source: IBM X-Force Threat Intelligence Quarterly – 1Q 2014 2011 Année des failles 2012 Augmentation de 40% 2013 500,000,000+ record des failles 61% des entreprises indiquent que le vol des données et la cybercriminalité sont leurs principales préoccupations 2012 IBM Global Reputational Risk & IT Study $3.5M+ : coût moyen des vols de données 2014 Cost of Data Breach, Ponemon Institute
  • 4.
    © 2015 IBMCorporation IBM Security 4 L’écosystème change…Si ce n’est déjà fait !!! Les entreprises sont en perpétuelles mutations Les limites du périmètre “Cyber” deviennent floues…Comment appréhender cela ?
  • 5.
    © 2015 IBMCorporation IBM Security 5 L’approche de la sécurité doit changer
  • 6.
    © 2015 IBMCorporation IBM Security 6 Mais comment garder une longueur d’avance sur les attaquants ? Evolution des menaces Complexité importante Gestion des ressources • Méthodes d'attaque de plus en plus sophistiquées • Disparition des périmètres • Augmentation des failles de sécurité • Constante évolution des infrastructures • Trop de produits provenant de plusieurs fournisseurs, donc coûteux à configurer et à gérer • Des outils inadaptés et inefficaces • Des équipes sécurité à la peine • Trop de données à gérer avec peu de personnel et des connaissances limitées sur les nouvelles menaces Spear Phishing Persistence Backdoors Designer Malware
  • 7.
    © 2015 IBMCorporation IBM Security 7 L’augmentation et la diversité des attaques devient une problématique pour les RSSI Source: IBM X-Force® Research 2013 Trend and Risk Report Consolider les données de sécurité Identifier les attaques Mieux appréhender les risques métiers Gérer la conformité Détecter les fraudes internes
  • 8.
    © 2015 IBMCorporation IBM Security 8 Le paysage des menaces émergentes APTs MENACE INTERNE Cyber Attack activismE FraudE Ciblée, Persistante, Clandestine Situationnelle, Subversive, Non sanctionnée Centrée, Financée, EvolutivePerturbatrice, Publique Dissimulée, motivée, Opportuniste
  • 9.
    © 2015 IBMCorporation IBM Security 9 Gérer l’attaque au plus vite… http://www.verizonenterprise.com/resources/reports/rp_Rapport_d_enquete_2012_Sur_Les_Compromissions_De_Donnees_fr_xg.pdf La problématique n’est pas de savoir si nous allons être attaqués, mais quand nous allons être attaqués !!!
  • 10.
    © 2015 IBMCorporation IBM Security 10 http://www.verizonenterprise.com/resources/reports/rp_Rapport_d_enquete_2012_Sur_Les_Compromissions_De_Donnees_fr_xg.pdf La problématique n’est pas de savoir si nous allons être attaqués, mais quand nous allons être attaqués !!! Gérer l’attaque au plus vite…
  • 11.
    © 2015 IBMCorporation IBM Security 11 Des réponses aux besoins… Détection des menaces • Avoir des informations les plus complètes Consolider les silos de données • Collecter, mettre en corrélation créer des rapports sur ​​les données dans une solution intégrée Détection de fraude interne • Nouvelle génération de SIEM avec corrélation d’identité Mieux prédire les risques pour votre entreprise • Cycle de vie complet de la conformité et la gestion des risques pour les infrastructures de réseau et de sécurité Gérer les besoins de réglementation • Collecte automatique des données • Audits de configuration
  • 12.
    © 2015 IBMCorporation IBM Security 12 …et comprendre l’activité sur le système d’information Compréhension de ce qui se passe sur le réseau Détecter et gérer les vulnérabilités Détecter les anomalies Fournir de l’information de sécurité pour les applications critiques Superviser l’activité des utilisateurs
  • 13.
    © 2015 IBMCorporation13 Précisions sur le Log Management et le SIEM
  • 14.
    © 2015 IBMCorporation IBM Security 14 Comprendre le contenu des événements  Informations associées aux « services » de sécurité : – Antimalware Software – Intrusion Detection and Intrusion Prevention Systems – Remote Access Software – Web Proxies – Vulnerability Management Software – Authentication Servers – Routers – Firewalls – Network Quarantine Servers – …  Informations associées aux applications : – Client requests and server responses – Account information – Usage information – Significant operational actions  Informations associées aux systèmes d’exploitation : – System Events – Audit Records
  • 15.
    © 2015 IBMCorporation IBM Security 15 Une architecture fonctionnelle pour traiter l’information Collecte AgrégationNormalisation Régle / Corrélation Stockage Rejeu Analyse / Rapport Evénements collectés du SI Les traces brutes sont stockées sans modification pour garder leur valeur juridique. Elles sont normalisées sous un format plus lisible. Ce sont ces évènements qui seront enrichis avec d'autres données puis envoyés vers le moteur de corrélation. La corrélation permettent d'identifier un évènement qui a causé la génération de plusieurs autres. Elle permet la remontée d’une alerte Investigations post-incidentGestion des tableaux de bord et des rapports. Les différents acteurs du SI, RSSI, administrateurs, utilisateurs peuvent avoir une visibilité sur le SI (nombre d'attaques, nombre d'alertes par jour…). Un archivage à valeur probante permet de garantir l'intégrité des traces. Source Application de règles de filtrage puis agrégation Adapté de : Security Information and Event Management (SIEM) Implementation - David R.Miller, Shon Harris, Allen A. Harper, Stephen VanDyke, Chris Blask
  • 16.
    © 2015 IBMCorporation IBM Security 16 Approche architecture Log / SIEM La solution de Log en frontal de la solution de SIEM pour absorber le volume des données La solution de Log est déployée dans un premier temps et le besoin des fonctionnalités de SIEM dans un second temps (50% des approches) La solution de Log et la solution de SIEM sont déployées en même temps et la plupart du temps avec le même éditeur La solution de SIEM est déployée avec la solution de Log en tant qu’archive. C’est le cas dans l’acquisition en premier temps du SIEM et que le client s’aperçoit d’un manque de normalisation et d’agrégation des informations Adapté de : The Complete Guide to Log and Event Management - Dr. Anton Chuvakin
  • 17.
    © 2015 IBMCorporation IBM Security 17 Analyse de la maturité de l’entreprise sur la gestion des journaux Log Ignorance Pas de traitement Log Collection Collection et stockage uniquement Log Investigation Collection et traitement en cas d’incident Log Reporting Collection et analyse sur rapport mensuel Log Analyse Collection et analyse journaliére Log Surveillance Informations de sécurité surveillées en temps réelAdapté de : The Complete Guide to Log and Event Management - Dr. Anton Chuvakin
  • 18.
    © 2015 IBMCorporation IBM Security 18 Comparaison : SIEM vs. Log Management Fontionnalités SIEM Log Management Collection Collecte les informations de sécurité nécessaire Collecte l’ensemble des log (Opérationnel, Application Rétention Conservation à court terme des données normalisées et agrégées Conservations à long terme des données brutes Reporting Rapports spécifiques (conformité, menace,…) Rapport sur historique et utilisation Analyse Corrélation, priorité sur les menaces et les incidents Analyse contextuelle, tag du payload Alerte et notification Analyse et rapport avancés Simple alerte sur les logs Autres fonctionnalités Gestion des incidents, analyse des données des incidents Grande capacité de collection et d’analyse Adapté de : The Complete Guide to Log and Event Management - Dr. Anton Chuvakin
  • 19.
    © 2015 IBMCorporation IBM Security 19 Le SIEM (Security Information & Event Management) … au tableau blanc
  • 20.
    © 2015 IBMCorporation20 L’approche IBM QRadar Security Intelligence Platform
  • 21.
    © 2015 IBMCorporation IBM Security 21 Se poser les bonnes questions… Quel est l’impact sur l’entreprise? Quels sont les incidents de sécurité en ce moment ? Sommes nous configurés pour nous protéger contre les attaques avancées? Quels sont les risques majeurs et les vulnérabilités ? Security Intelligence Le bien-fondé d’un incident issu d’une analyse des données pertinentes de sécurité disponibles sur l’ensemble du système d’information de l’entreprise • Gain de visibilité sur les failles de sécurité du système d’information de l’entreprise • Détection des écarts, par rapport au standard, pouvant être utilisé pour une attaque • Priorisation des vulnérabilités pour optimiser le processus de correction et ainsi limiter l’exposition à une attaque • Détection automatique des menaces et analyse rapide de l’impact • Définition des contextes de risque par une analyse avancée des informations de sécurité • Investigation post-mortem automatique afin de trouver rapidement la cause de l’incident et de mettre en place la remédiation Exploit Remédiation REACTION / PHASE DE REMEDIATION Post-ExploitVulnérabilité Pré-Exploit PREDICTION / PHASE DE PREVENTION
  • 22.
    © 2015 IBMCorporation IBM Security 22 IBM QRadar Security Intelligence Platform Fournir une aide éclairée pour la prise de décision IBM QRadar Security Intelligence Platform AUTOMATED Pilotage simplifiée et prise en main rapide INTEGRATED Architecture unifiée au travers une console unique INTELLIGENT Corrélation, analyse et consolidation du volume des données
  • 23.
    © 2015 IBMCorporation IBM Security 23 Intelligence embarquée pour identification automatique des incidents INTELLIGENT Suspicions d’Incidents Serveurs & mainframes Activité données Réseau & environnement virtuel Activité Applications Information de configuration Actifs sécurité Utilisateurs & identités Vulnérabilités & menaces Gestion des menaces Identification Automatique des Incidents • Collecte, stockage et analyse illimités des données • Normalisation des données • Découverte automatique des actifs, des services et des utilisateurs et profilage • Corrélation en temps réel et gestion des menaces • Détection des comportements anormaux • Détections des incidents Intelligence Embarquée Incidents Prioritaires
  • 24.
    © 2015 IBMCorporation IBM Security 24 Investiguer les incidents en profondeur INTELLIGENT Suspicion d’incidents Enquêtes d’investigation • Réduction rapide du temps de résolution par une approche intuitive d’investigation • Utilisation de l’intuition plus que l’expertise technique • Déterminer la cause et empêcher de nouvelles occurrences Intelligence Embarquée Incidents Prioritaires
  • 25.
    © 2015 IBMCorporation IBM Security 25 Approche stratégique d’IBM Security Intelligence qui est basée sur les besoins de clients Security Intelligence .NEXTNetwork Forensics Investigation incidents et capture des paquets Vulnerability Management Scan temps réel vulnérabilités et priorisation vulnérabilités Risk Management Analyse des configurations gestion des politiques et évaluation des risques Log Management Gestion d’identité, gestion des logs, et besoin de conformité SIEM Intégration SIM et VA ClientNeeds Flow Visualization and NBAD Détection d’anomalies et traitement des menaces Evolutiondelaplateformeenfonctionbesoinsclient 2002 – 2005 2006 – 2007 2008 – 2009 2010 – 2011 2012 – 2013 2014 Futur INTELLIGENT
  • 26.
    © 2015 IBMCorporation IBM Security 26 Une architecture unifiée autour d’une console Web unique Log Management Security Intelligence Network Activity Monitoring Risk Management Vulnerability Management Network Forensics INTEGRATED
  • 27.
    © 2015 IBMCorporation IBM Security 27 INTEGRATED Répondre aux questions pour prévenir et remédier aux attaques Combien d’actifs ciblés sont impactés ? Quelle a été l’attaque ? L’attaque est elle crédible? Les cibles ont elle s un impact ? Qui est responsable de l’attaque? Ou est que c’est localisé ? Qu’est qui a été volé et ou sont les évidences ? Y a t-il des actifs vulnérables ?
  • 28.
    © 2015 IBMCorporation IBM Security 28 AUTOMATED Pilotage simplifié et prise en main rapide QRadar’s ease-of-use in set-up and maintenance resulted in reduced time to resolve network issues and freed-up IT staff for other projects. Private U.S. University with large online education community Découverte automatique des actifs du réseau Analyse proactive des vulnérabilités, contrôle des configurations et des politiques de sécurité Déploiement simplifié Configuration automatique des sources de données journaux et flux ainsi que des actifs réseau Mise à jour automatique Etre informé des dernières vulnérabilités et menaces Règles et rapports inclus Réduire les efforts d’investigation ainsi que de mise en conformité IBM QRadar is nearly three times faster to implement across the enterprise than other SIEM solutions. 2014 Ponemon Institute, LLC Independent Research Report
  • 29.
    © 2015 IBMCorporation IBM Security 29 Offrir plusieurs fonctionnalités de sécurité sur une seule plateforme Southbound APIs Northbound APIs IBM QRadar Security Intelligence Platform Real Time Structured Security Data Unstructured Operational / Security Data LEEF AXIS Configuration NetFlow Offense Security Intelligence Operating System Reporting Engine Workflow Rules Engine Real-Time Viewer Analytics Engine Warehouse Archival Normalization Log Management Security Intelligence Network Activity Monitoring Risk Management Vulnerability Management Network Forensics Future AUTOMATED
  • 30.
    © 2015 IBMCorporation IBM Security 30 L’architecture de la solution FlowCollector(s) FlowCollector(s) Event Processor(s) Console Services UI Magistrate Reporting Event Accumulations Assets and Identity Asset OffenseIdentity Events from Log and Flow Sources Packets Interface and SFLOW Flow FlowCollector(s) FlowCollector(s) Event and Flow Collector(s) La solution se compose de différents services : • Event Collector : pour collecter les journaux • Flow Processor : pour collecter plusieurs types de données sur les flux générés par le dispositif de réseau. • QFlow Collector : (facultatif) pour collecter des données des applications. • Event/Flow Processor : pour traiter et stocker journaux ainsi que plusieurs types de données sur les flux générés par le dispositif de réseau. • Console pour corréler les données des différents processeurs, pour générer des alertes / rapports, et pour fournir toutes les fonctions d'administration
  • 31.
    © 2015 IBMCorporation IBM Security 31 Deux types de déploiement : Tout en un et Distribué All-in-One (2100/31XX) Event Processor (16XX) Console (31XX)Flow Processor (17XX) QFlow Collector (12XX/13XX) All-in-One est un appareil unique qui est utilisée pour recueillir les événements et les données de flux des différents dispositifs de sécurité et de réseau, pour effectuer la corrélation des données et la correspondance aux règles, pour gérer des rapports sur les alertes et les menaces, et pour fournir toutes les fonctions d'administration via un navigateur Web. Un déploiement distribué se compose de plusieurs appareils à des fins différentes: • Event Processor pour collecter, traiter et stocker journaux • Flow Processor pour collecter, traiter et stocker plusieurs types de données sur les flux générés par le dispositif de réseau. • QFlow Collector (facultatif) pour collecter des données d'application. • Console pour corréler les données des différents processeurs, pour générer des alertes / rapports, et pour fournir toutes les fonctions d'administration
  • 32.
    © 2015 IBMCorporation IBM Security 32 Architecture matérielle et logicielle optimisée pour un haut niveau de performance et un déploiement rapide IBM QRadar Security Intelligence Platform • Facile à déployer, utilisant des briques empilables sur une architecture distribuée • Ne nécessite pas de base de données ou du stockage tiers Architecture Appliance évolutive • Service de Fail Over et de Disaster Recovery • Déploiement en mode virtuel adapté pour les environnements Cloud Infrastructure modulaire partagée
  • 33.
    © 2015 IBMCorporation IBM Security 33 Quels sont les éléments de dimensionnement ? Evénements Par Seconde (EPS) Flux réseau (si nécessaire) Stockage en ligne (rétention) Nombre de sources qui génèrent des événements Mode appliances physiques, virtuelles ou mode serveur Facteurs géographiques Exigences de haute disponibilité Exigences de sauvegarde Nombre d’opérateurs “Profondeur” des recherches (nombre, longueur,…)
  • 34.
    © 2015 IBMCorporation IBM Security 34 Modèle tarifaire  Appliance principale – Coût d’acquisition initiale (matériel + logiciel ou logiciel uniquement) – Maintenance annuelle  Appliance HA (High Availability) and DR (Disaster Recovery) – Coût d’acquisition initiale (matériel + logiciel ou logiciel uniquement) – Maintenance annuelle  Evolution License – EPS : Par palier (1K  2.5K  5K) ou incrémentale (2500 EPS) – Flow : Par palier (25K  50K  100K  200K)  Evolution Déploiement – Evolution de la “Base 31XX” Appliance vers le mode console pour un déploiement en mode distribué. – Evolution de Log Manager vers QRadar SIEM  Evolution Appliance (matériel + logiciel) – Remplacement par un modèle supérieur avec les dernières mises à jour des logiciels (transfert des licences)  Evolution matériel uniquement – Remplacement du matériel tout en gardant la même version de logiciel Appliance Evolution
  • 35.
    © 2015 IBMCorporation IBM Security 35 IBM zSecure IBM Security AppScan IBM Security Network Protection XGS IBM Security Access Manager IBM Security Privileged Identity Manager IBM InfoSphere Guardium IBM Security Identity Manager IBM Security Directory Server and Integrator IBM Endpoint Manager IBM Trusteer Apex IBM QRadar est la pierre angulaire de l’intégration IBM Security IBM QRadar Security Intelligence Platform
  • 36.
    © 2015 IBMCorporation IBM Security 36 IBM QRadar s’intègre avec une centaine de solutions tierces IBM QRadar Security Intelligence Platform
  • 37.
    © 2015 IBMCorporation IBM Security 37 IBM QRadar Security Intelligence Platform Paquets Vulnérabilités Configurations Flux Evénements Logs Une architecture unifiée et intégrée au travers d’une console WEB unique SIEM Traditionnel 6 produits de 6 vendeurs sont nécessaires IBM Security Intelligence and Analytics Security Intelligence intégrée pour réduire les coûts et augmenter la visibilité
  • 38.
    © 2015 IBMCorporation38 Cas d’utilisation – Démonstration
  • 39.
    © 2015 IBMCorporation IBM Security 39 Intelligence, intégration, automatisation pour garder une longueur d’avance sur les menaces Identifier les attaques Déployer une approche Security Intelligence et une investigation du incident Consolider les données de sécurité Collecter, corréler et normaliser les données sur une solution unique Détecter les fraudes internes Approche Security Intelligence avec une corrélation sur les identités Gérer la conformité Automatiser la collecte des données et la configuration des audits Mieux appréhender les risques métiers Mise en place d’une gestion des risques sur les infrastructures réseau et de sécurité
  • 40.
    © 2015 IBMCorporation IBM Security 40 Cas d’utilisation : détection des menaces Botnet ou IP frauduleuse détectée? Un SIEM traditionnel s’arrête ici IRC sur le port 80 ? Le Qflow QRadar a détecté un canal spécifique Communication botnet irréfutable La couche 7 contient les détails qui sont nécessaires à l’établissement du dossier d’incident L’analyse de la couche applicative du flux permet de détecter des menaces que d’autres solutions ne voient pas
  • 41.
    © 2015 IBMCorporation IBM Security 41 Cas d’utilisation : Consolidation des données de différentes provenances Analyse simultanée des événements et des flux. QRadar permet cette finesse. Réduction du volume d’information d’un SI a un niveau acceptable Corrélation avancée entre les différentes provenances 1153571 : 1Data Reduction Ratio Sources de données hétérogènes Corrélation intelligente Précision inégalée : ratio de réduction moyen de 120000 alertes en 1 incident+ =
  • 42.
    © 2015 IBMCorporation IBM Security 42 Cas d’utilisation : Gérer les besoins de régulation imposés (normes) Trafic non chiffré détecté par IBM Security Qradar Qflow Détection d’un texte en claire, ce qui est hors de la recommandation du chapitre 4 de la norme PCI Risque sur la conformité PCI ? Détection en temps réel d’une possible violation Conformité simplifiée Support natifs des principales normes, dans les tableaux de bords, dans les recherches ainsi que dans les rapports
  • 43.
    © 2015 IBMCorporation IBM Security 43 Cas d’utilisation : Détection de fraude interne Qui? Utilisateur interne Perte de données potentielle Qui? Quoi? Ou? Quoi? Données Oracles Ou? Gmail Détection des menaces y compris dans un périmètre post-attaque Détection de l’anomalie utilisateur et du comportement applicatif
  • 44.
    © 2015 IBMCorporation IBM Security 44 Cas d’utilisation : Prédiction des risques en adéquation avec le métier Qu’est ce qui est affecté? Comment les prioriser ? Quel détail? Détails des vulnérabilités classifiées par score Remédiation à appliquer -> OSVDB ou XFORCE Security Intelligence en pré-exploit Détection des risques potentiels ou des écarts de conformité Constitution d’une base d’actifs basée sur les vulnérabilités observées
  • 45.
    © 2015 IBMCorporation45 Références Client
  • 46.
    © 2015 IBMCorporation IBM Security 46 L’hébergeur IBO choisit IBM QRadar pour protéger les données individuelles sur la santé de nos concitoyens et obtenir l’agrément du Ministère de la Santé « La solution IBM est extrêmement efficace. Elle nous permet de gagner à la fois en coûts de développement, comparativement à des logiciels du monde libre ; et en temps homme, via une gestion centralisée de la sécurité.» Gilles Raturat, Directeur technique IBO Enjeux Métier Pour obtenir son agrément d'hébergeur de données de santé, IBO devait garantir la confidentialité et l'intégrité des informations à caractère personnel qui lui sont confiées par les professionnels de santé. Solutions (QRadar SIEM, Network IPS) Si un hacker peut effacer les traces de son passage, il ne peut pas effacer l’activité réseau. L'idée de corréler en temps réel les événements avec l'activité réseau est devenue une évidence. Protection des données médicales personnelles
  • 47.
    © 2015 IBMCorporation IBM Security 47 La société CHEOPS Technology choisit IBM QRadar pour renforcer la sécurité de son infrastructure informatique d’hébergement « L’évolution des menaces, la complexité accrue des infrastructures et la difficulté des équipes sécurité à identifier les nouveaux risques, imposent de nouvelles stratégies. En consolidant et corrélant tous les événements en sortie et en entrée des Datacenters, IBM Security QRadar SIEM nous permet d’être proactifs et de gérer les menaces en temps réel mais également d’anticiper sur de futurs incidents.» Stéphane Jourdain, Responsable de la Sécurité des systèmes d’information CHEOPS Technology Enjeux Métier La solution représente un atout pour conserver l’agrément d’Hébergeur de Données de Santé obtenue par la société en 2012. Elle contribue également à l’obtention de la certification ISO 27001, en cours chez CHEOPS Technology. Solutions (QRadar SIEM) « En matière de sécurité, les facteurs clés pour une entreprises résident dans la rapidité et la pertinence avec laquelle la source d’un problème est identifiée, sa criticité est évaluée et sa résolution est effectuée. » Nicolas Meyerhoffer, Directeur des logiciels sécurité IBM France Protection des datacenters
  • 48.
    © 2015 IBMCorporation IBM Security 48 Une solution leader sur son marché IBM Security Intelligence  Leader sur le Gartner Magic Quadrant depuis 2009 Security Information and Event Management (SIEM)  IBM QRadar noté à la première place par le Gartner dans les catégories suivantes : – Facilité de mise en place – Analyse et détection des comportements anormaux – Réponses aux besoins de conformité – Besoin en supervision d’événement et d’incident de sécurité
  • 49.
    © 2015 IBMCorporation IBM Security 49 En savoir plus sur IBM Security Visitez notre site Web IBM Security Website Regardez nos vidéos IBM Security YouTube Channel Lire le contenu de nos blogs SecurityIntelligence.com Suivez nous sur Twitter @ibmsecurity IBM Security Intelligence. Integration. Expertise. 133 pays ou IBM délivre des Services Managés de Sécurité 20 analystes de l’industrie classent IBM Security en tant que LEADER TOP 3 éditeur de logiciel de sécurité en terme de revenu 10K clients protégés dont… 24 des principales banques au Japon, Amérique Nord et Australie
  • 50.
    © 2015 IBMCorporation IBM Security 50 Disclaimer Please Note: IBM’s statements regarding its plans, directions, and intent are subject to change or withdrawal without notice at IBM’s sole discretion. Information regarding potential future products is intended to outline our general product direction and it should not be relied on in making a purchasing decision. The information mentioned regarding potential future products is not a commitment, promise, or legal obligation to deliver any material, code or functionality. Information about potential future products may not be incorporated into any contract. The development, release, and timing of any future features or functionality described for our products remains at our sole discretion.
  • 51.
    © 2015 IBMCorporation IBM Security 51 www.ibm.com/security © Copyright IBM Corporation 2014. All rights reserved. The information contained in these materials is provided for informational purposes only, and is provided AS IS without warranty of any kind, express or implied. IBM shall not be responsible for any damages arising out of the use of, or otherwise related to, these materials. Nothing contained in these materials is intended to, nor shall have the effect of, creating any warranties or representations from IBM or its suppliers or licensors, or altering the terms and conditions of the applicable license agreement governing the use of IBM software. References in these materials to IBM products, programs, or services do not imply that they will be available in all countries in which IBM operates. Product release dates and/or capabilities referenced in these materials may change at any time at IBM’s sole discretion based on market opportunities or other factors, and are not intended to be a commitment to future product or feature availability in any way. IBM, the IBM logo, and other IBM products and services are trademarks of the International Business Machines Corporation, in the United States, other countries or both. Other company, product, or service names may be trademarks or service marks of others. Statement of Good Security Practices: IT system security involves protecting systems and information through prevention, detection and response to improper access from within and outside your enterprise. Improper access can result in information being altered, destroyed or misappropriated or can result in damage to or misuse of your systems, including to attack others. No IT system or product should be considered completely secure and no single product or security measure can be completely effective in preventing improper access. IBM systems and products are designed to be part of a comprehensive security approach, which will necessarily involve additional operational procedures, and may require other systems, products or services to be most effective. IBM DOES NOT WARRANT THAT SYSTEMS AND PRODUCTS ARE IMMUNE FROM THE MALICIOUS OR ILLEGAL CONDUCT OF ANY PARTY.