security intelligence [#cloudaccelerate 13/06/2014 @ ibm cc paris]
DESCRIPTION
Mettez de l'intelligence dans la sécurité de vos infrastructures !TRANSCRIPT
© 2013 IBM Corporation
IBM Security Systems
1
Atelier 5
Security Intelligence
© 2013 IBM Corporation
IBM Security Systems
2
Mettez de l'intelligence dans la sécurité de vos infrastructures !
17 juin 2014
© 2013 IBM Corporation
IBM Security Systems
3
Agenda
�Principaux sujets de préoccupation en matière de sécuritéinformatique, évolution des menaces
�Une nouvelle approche s’impose pour protéger avec efficacité le SI
�Comment IBM peut aider : quelques exemples
�Focus sur IBM QRadar - par notre partenaire commercial Ocealis
© 2014 IBM Corporation
IBM Security Systems
4
Principaux sujets de préoccupation SSI de nos clients
Conformité Cloud Mobile Réseaux
Sociaux
Attaques furtives
Comment sécuriser les cloudsprivés et l’accès aux cloudspublics ?
Comment protéger mes services mobiles destinés aux clients et employés ?
Comment mettre en place le BYOD ?
Les marketeurs, RH, commerciaux sont demandeurs de réseautage.
Comment maitriser ces nouvelles formes d’échange et de collaboration externes au SI de l’entreprise ?
Comment savoir si je suis victime d’une attaque furtive ?
Comment se protéger contre les menaces connues et surtout inconnues ?
Politique
de
Sécurité
Innover et
se conformer aux
règlementations
© 2014 IBM Corporation
IBM Security Systems
5
Evolution des menaces et leurs impacts sur les organisationsIBM Cybersecurity IndexJuin 2013
1 attaque réussie tous les 3 jours !
416 jours est le délai moyen médian pour qu’une organisation se rende compte qu’elle est victime d’une attaque interne ou externe
94% sont révélées par une
source externe à l’organisationRapport Mandiant 2013
Constat
Pourquoi ?
MarketingServices
Online Gaming
Online Gaming
Online Gaming
Online Gaming
Central Government
Gaming
Gaming
InternetServices
Online Gaming
Online Gaming
OnlineServices
Online Gaming
IT Security
Banking
IT Security
GovernmentConsulting
IT Security
Tele-communications
Enter-tainment
Consumer
Electronics
AgricultureApparel
Insurance
Consulting
ConsumerElectronics
InternetServices
CentralGovt
CentralGovt
CentralGovt
Attack Type
SQL Injection
URL Tampering
Spear Phishing
3rd Party Software
DDoS
SecureID
Trojan Software
Unknown
Source: IBM X-Force® Research 2011 Trend and Risk Report
Size of circle estimates relative impact of
breach in terms of cost to business
Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec
Entertainment
Defense
Defense
Defense
ConsumerElectronics
CentralGovernment
CentralGovernment
CentralGovernment
CentralGovernment
CentralGovernment
CentralGovernment
CentralGovernment
ConsumerElectronics
National Police
National Police
StatePolice
StatePolice
Police
Gaming
FinancialMarket
OnlineServices
Consulting
Defense
HeavyIndustry
Entertainment
Banking
2011 Exemples d’incidents de sécurité par type d’attaque, dans le temps et impact
MarketingServices
Online Gaming
Online Gaming
Online Gaming
Online Gaming
Central Government
Gaming
Gaming
InternetServices
Online Gaming
Online Gaming
OnlineServices
Online Gaming
IT Security
Banking
IT Security
GovernmentConsulting
IT Security
Tele-communications
Enter-tainment
Consumer
Electronics
AgricultureApparel
Insurance
Consulting
ConsumerElectronics
InternetServices
CentralGovt
CentralGovt
CentralGovt
Attack Type
SQL Injection
URL Tampering
Spear Phishing
3rd Party Software
DDoS
SecureID
Trojan Software
Unknown
Source: IBM X-Force® Research 2011 Trend and Risk Report
Size of circle estimates relative impact of
breach in terms of cost to business
Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec
Entertainment
Defense
Defense
Defense
ConsumerElectronics
CentralGovernment
CentralGovernment
CentralGovernment
CentralGovernment
CentralGovernment
CentralGovernment
CentralGovernment
ConsumerElectronics
National Police
National Police
StatePolice
StatePolice
Police
Gaming
FinancialMarket
OnlineServices
Consulting
Defense
HeavyIndustry
Entertainment
Banking
2011 Exemples d’incidents de sécurité par type d’attaque, dans le temps et impact
2012 Exemples d’incidents de sécurité par type d’attaque, dans le temps et impactl’estimation de l’impact des attaques est fondé sur des données publiées sur le volume de données compromises et la valorisation des pertes
2011
2012
2013
Evolution des attaques
© 2014 IBM Corporation
IBM Security Systems
6
Les 5 étapes des attaques furtives
11
EntrerSpear phishing ou intrusion distante pour accéder au SI
Command & Control (CnC)
22Etablir laconnexion
Malware et backdoorsinstallés pour établir la liaison
33
Infiltrer le SIReconnaissance du SI et migration dans d’autres systèmes identifier les cibles au sein du SI
44Collecter
Acquisition, agrégation et chiffrement de données confidentielles
Command & Control (CnC)
55
ExfiltrerExfiltration des données àl’extérieur du réseau
© 2012 IBM Corporation© 2014 IBM Corporation7
Une nouvelle approche de la Sécuritéest nécessaire
© 2014 IBM Corporation
IBM Security Systems
8
Les défits sont complexes, une nouvelle approche est nécessaire pour protéger un “puzzle” à 4 dimensions
ApplicationsApplications
Web Systems
ApplicationsWeb 2.0 Mobile
Applications
Infrastructure
Datacenters PCs Laptops Mobile Cloud Non-traditionnel
Données stockées In motionUnstructuredStructured
IndividusHackers Fournisseurs
Consultants Terroristes
Employees Outsourcers
Customers
Employés
Non structurées
Web 2.0Applications Systems
Outsourcers
Structurées En transit
Clients
Applications Mobile
© 2014 IBM Corporation
IBM Security Systems
9
Il faut repenser la sécurité
Collecter et Tout Analyser
DonnéesContrôles Basiques
Applications Après coup
InfrastructureMursépais
Analysecible
Maintenant
Individus Administration
Avant
Défense optimisée
Intégrée dèsla conception
Contrôles ciblés et précis
© 2012 IBM Corporation© 2014 IBM Corporation10
Comment mettre de l’intelligence avec la famille IBM QRadar ?
© 2014 IBM Corporation
IBM Security Systems
11
RenforcerRenforcer
DDéétectertecter
AnalyserAnalyser
RemReméédierdier
Stratégie de défense
Une stratégie de défense proposée pour contrecarrer les attaquants
EntrerEntrer11
Etablir la Etablir la
connexionconnexion
22
SS’é’étendretendre33
CollecterCollecter44
ExfiltrerExfiltrer55
Séquence d’attaque IBM Security Framework
© 2014 IBM Corporation
IBM Security Systems
12
Exemples de « best practices » :
1 Configurer et patcher vos terminaux conformément à votre politique de sécurité
Surveiller et analyser vos configurations réseau
Sécuriser les développements de vos applications web et auditer celles qui sont en production
Contrôler les activités des utilisateurs privilégiés et des comptes partagés
Scanner et prioriser de manière efficace vos vulnérabilités
2
3
4
5
Renforcer
© 2014 IBM Corporation
IBM Security Systems
13
Renforcer Surveiller et analyser vos configurations réseau
� Génère automatiquement les vue topologiques, permettant de visualiser les patterns de trafic présents et alternatifs
� Collecte les paramètres de configuration des équipements réseau pour évaluer les vulnérabilités et faciliter l’analyse et le reporting
� Découvre les erreurs de configuration des firewall et améliorer la performance en éliminant les règles qui ne servent à rien
� Analyse la conformité du trafic réseaux, de sa topologie et des vulnérabilités
Comment Comment QRadarQRadar peut aiderpeut aider
© 2014 IBM Corporation
IBM Security Systems
14
� Exécute des scans de vulnérabilité en temps réel
� Fournit une vision complète des vulnérabilités en incluant des données en provenance d’autres scanners et de données sur les menaces
� Supporte les processus d’exception et de rémédiationavec une intégration continue dans les tableaux de bord
� Intègre les données de X-Force Threat Intelligence and tracksNational Vulnerability Database(CVE)
Comment Comment QRadarQRadar peut aiderpeut aider
Renforcer Scanner et prioriser vos vulnérabilités
Inactives: QFlowCollector data aide QRadar VulnerabilityManager à évaluer l’activité de application
Bloquées: QRadar RiskManager aide QVM àcomprendre quelles
vulnérabilitiés sont bloquées par les firewalls et IPSs
Patchées: IBM Endpoint Manager aide QVM àcomprendre quelles vulnérabilités on étépatchées
Critiques: les bases de connaissances sur les vulnérabilités, les flux de remédiation, et les politiques de QRM informe QVM au sujet des vulnérabilités impactant les métiers
Risquées: X-Force Threat et données incidents en provenance du SIEM couplées avec la visibilité de l’analyse des flux, aide QVM à voir les actifs avec
des menaces potentielles
Exploitées: la corrélation des données du SIEM et des IPS aident QVM à révéler quelles sont les vulnérabilités qui sont exploitées
© 2014 IBM Corporation
IBM Security Systems
15
Analyser Adopter une approche intégrée et holistique de la sécurité
� Déduit des patterns d’utilisation pour les utilisateurs, les applications connectées au réseau, l’accès au données
� Surveille et alerte en cas de comportement déviant, en fournissant la visibilité d’un comportement non autorisé
� S’ajuste en fonction des variations saisonnières et des tendances de croissance
� Corrélation avec la X-Force threatintelligence
Comment Comment QRadarQRadar peut aiderpeut aider
– Solution d’Intelligence Sécuritaire avancée qui analyse des masses de données de sécurité pour fournir l’information qui facilitera la rémédiation
– Corrélation de logs, d’événements, de flux réseaux, de vulnérabilités et d’information sur les menaces
– Corrélation avec l’identité et le contexte d’accès
– Plateforme intégrée pour faciliter les investigations
– Comprend des milliers de règles et formats de rapports, opérationnel quasi immédiatement
© 2014 IBM Corporation
IBM Security Systems
16
IBM Security Systems Portfolio
People Data Applications Network Infrastructure Endpoint
Identity
Management
Guardium Data Security and Compliance
AppScanSource
Network Intrusion Prevention
Trusteer Apex
Access
Management
Guardium DB Vulnerability Mgt
AppScanDynamic
Next Generation Network Protection
Mobile & Endpoint Management
Privileged Identity
Manager
Guardium / OptimData Masking
DataPower WebSecurity Gateway
SiteProtectorThreat Management
Virtualization and Server Security
Federated
Access and SSO
Key Lifecycle Manager
Security Policy Manager
NetworkAnomaly Detection
MainframeSecurity
IBM X-Force Research
Advanced Fraud Protection
TrusteerRapport
Trusteer PinpointMalware Detection
Trusteer PinpointATO Detection
Trusteer Mobile Risk Engine
Security Intelligence and Analytics
QRadarSIEM
QRadarLog Manager
QRadarRisk Manager
QRadarVulnerability Manager
Des solutions de premier plan orchestrées dans le IBM Security Framework