© 2013 IBM Corporation

IBM Security Systems

1

Atelier 5

Security Intelligence

© 2013 IBM Corporation

IBM Security Systems

2

Mettez de l'intelligence dans la sécurité de vos infrastructures !

17 juin 2014

Catherine_chappot@fr.ibm.com

© 2013 IBM Corporation

IBM Security Systems

3

Agenda

�Principaux sujets de préoccupation en matière de sécuritéinformatique, évolution des menaces

�Une nouvelle approche s’impose pour protéger avec efficacité le SI

�Comment IBM peut aider : quelques exemples

�Focus sur IBM QRadar - par notre partenaire commercial Ocealis

© 2014 IBM Corporation

IBM Security Systems

4

Principaux sujets de préoccupation SSI de nos clients

Conformité Cloud Mobile Réseaux

Sociaux

Attaques furtives

Comment sécuriser les cloudsprivés et l’accès aux cloudspublics ?

Comment protéger mes services mobiles destinés aux clients et employés ?

Comment mettre en place le BYOD ?

Les marketeurs, RH, commerciaux sont demandeurs de réseautage.

Comment maitriser ces nouvelles formes d’échange et de collaboration externes au SI de l’entreprise ?

Comment savoir si je suis victime d’une attaque furtive ?

Comment se protéger contre les menaces connues et surtout inconnues ?

Politique

de

Sécurité

Innover et

se conformer aux

règlementations

© 2014 IBM Corporation

IBM Security Systems

5

Evolution des menaces et leurs impacts sur les organisationsIBM Cybersecurity IndexJuin 2013

1 attaque réussie tous les 3 jours !

416 jours est le délai moyen médian pour qu’une organisation se rende compte qu’elle est victime d’une attaque interne ou externe

94% sont révélées par une

source externe à l’organisationRapport Mandiant 2013

Constat

Pourquoi ?

MarketingServices

Online Gaming

Online Gaming

Online Gaming

Online Gaming

Central Government

Gaming

Gaming

InternetServices

Online Gaming

Online Gaming

OnlineServices

Online Gaming

IT Security

Banking

IT Security

GovernmentConsulting

IT Security

Tele-communications

Enter-tainment

Consumer

Electronics

AgricultureApparel

Insurance

Consulting

ConsumerElectronics

InternetServices

CentralGovt

CentralGovt

CentralGovt

Attack Type

SQL Injection

URL Tampering

Spear Phishing

3rd Party Software

DDoS

SecureID

Trojan Software

Unknown

Source: IBM X-Force® Research 2011 Trend and Risk Report

Size of circle estimates relative impact of

breach in terms of cost to business

Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec

Entertainment

Defense

Defense

Defense

ConsumerElectronics

CentralGovernment

CentralGovernment

CentralGovernment

CentralGovernment

CentralGovernment

CentralGovernment

CentralGovernment

ConsumerElectronics

National Police

National Police

StatePolice

StatePolice

Police

Gaming

FinancialMarket

OnlineServices

Consulting

Defense

HeavyIndustry

Entertainment

Banking

2011 Exemples d’incidents de sécurité par type d’attaque, dans le temps et impact

MarketingServices

Online Gaming

Online Gaming

Online Gaming

Online Gaming

Central Government

Gaming

Gaming

InternetServices

Online Gaming

Online Gaming

OnlineServices

Online Gaming

IT Security

Banking

IT Security

GovernmentConsulting

IT Security

Tele-communications

Enter-tainment

Consumer

Electronics

AgricultureApparel

Insurance

Consulting

ConsumerElectronics

InternetServices

CentralGovt

CentralGovt

CentralGovt

Attack Type

SQL Injection

URL Tampering

Spear Phishing

3rd Party Software

DDoS

SecureID

Trojan Software

Unknown

Source: IBM X-Force® Research 2011 Trend and Risk Report

Size of circle estimates relative impact of

breach in terms of cost to business

Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec

Entertainment

Defense

Defense

Defense

ConsumerElectronics

CentralGovernment

CentralGovernment

CentralGovernment

CentralGovernment

CentralGovernment

CentralGovernment

CentralGovernment

ConsumerElectronics

National Police

National Police

StatePolice

StatePolice

Police

Gaming

FinancialMarket

OnlineServices

Consulting

Defense

HeavyIndustry

Entertainment

Banking

2011 Exemples d’incidents de sécurité par type d’attaque, dans le temps et impact

2012 Exemples d’incidents de sécurité par type d’attaque, dans le temps et impactl’estimation de l’impact des attaques est fondé sur des données publiées sur le volume de données compromises et la valorisation des pertes

2011

2012

2013

Evolution des attaques

© 2014 IBM Corporation

IBM Security Systems

6

Les 5 étapes des attaques furtives

11

EntrerSpear phishing ou intrusion distante pour accéder au SI

Command & Control (CnC)

22Etablir laconnexion

Malware et backdoorsinstallés pour établir la liaison

33

Infiltrer le SIReconnaissance du SI et migration dans d’autres systèmes identifier les cibles au sein du SI

44Collecter

Acquisition, agrégation et chiffrement de données confidentielles

Command & Control (CnC)

55

ExfiltrerExfiltration des données àl’extérieur du réseau

© 2012 IBM Corporation© 2014 IBM Corporation7

Une nouvelle approche de la Sécuritéest nécessaire

© 2014 IBM Corporation

IBM Security Systems

8

Les défits sont complexes, une nouvelle approche est nécessaire pour protéger un “puzzle” à 4 dimensions

ApplicationsApplications

Web Systems

ApplicationsWeb 2.0 Mobile

Applications

Infrastructure

Datacenters PCs Laptops Mobile Cloud Non-traditionnel

Données stockées In motionUnstructuredStructured

IndividusHackers Fournisseurs

Consultants Terroristes

Employees Outsourcers

Customers

Employés

Non structurées

Web 2.0Applications Systems

Outsourcers

Structurées En transit

Clients

Applications Mobile

© 2014 IBM Corporation

IBM Security Systems

9

Il faut repenser la sécurité

Collecter et Tout Analyser

DonnéesContrôles Basiques

Applications Après coup

InfrastructureMursépais

Analysecible

Maintenant

Individus Administration

Avant

Défense optimisée

Intégrée dèsla conception

Contrôles ciblés et précis

© 2012 IBM Corporation© 2014 IBM Corporation10

Comment mettre de l’intelligence avec la famille IBM QRadar ?

© 2014 IBM Corporation

IBM Security Systems

11

RenforcerRenforcer

DDéétectertecter

AnalyserAnalyser

RemReméédierdier

Stratégie de défense

Une stratégie de défense proposée pour contrecarrer les attaquants

EntrerEntrer11

Etablir la Etablir la

connexionconnexion

22

SS’é’étendretendre33

CollecterCollecter44

ExfiltrerExfiltrer55

Séquence d’attaque IBM Security Framework

© 2014 IBM Corporation

IBM Security Systems

12

Exemples de « best practices » :

1 Configurer et patcher vos terminaux conformément à votre politique de sécurité

Surveiller et analyser vos configurations réseau

Sécuriser les développements de vos applications web et auditer celles qui sont en production

Contrôler les activités des utilisateurs privilégiés et des comptes partagés

Scanner et prioriser de manière efficace vos vulnérabilités

2

3

4

5

Renforcer

© 2014 IBM Corporation

IBM Security Systems

13

Renforcer Surveiller et analyser vos configurations réseau

� Génère automatiquement les vue topologiques, permettant de visualiser les patterns de trafic présents et alternatifs

� Collecte les paramètres de configuration des équipements réseau pour évaluer les vulnérabilités et faciliter l’analyse et le reporting

� Découvre les erreurs de configuration des firewall et améliorer la performance en éliminant les règles qui ne servent à rien

� Analyse la conformité du trafic réseaux, de sa topologie et des vulnérabilités

Comment Comment QRadarQRadar peut aiderpeut aider

© 2014 IBM Corporation

IBM Security Systems

14

� Exécute des scans de vulnérabilité en temps réel

� Fournit une vision complète des vulnérabilités en incluant des données en provenance d’autres scanners et de données sur les menaces

� Supporte les processus d’exception et de rémédiationavec une intégration continue dans les tableaux de bord

� Intègre les données de X-Force Threat Intelligence and tracksNational Vulnerability Database(CVE)

Comment Comment QRadarQRadar peut aiderpeut aider

Renforcer Scanner et prioriser vos vulnérabilités

Inactives: QFlowCollector data aide QRadar VulnerabilityManager à évaluer l’activité de application

Bloquées: QRadar RiskManager aide QVM àcomprendre quelles

vulnérabilitiés sont bloquées par les firewalls et IPSs

Patchées: IBM Endpoint Manager aide QVM àcomprendre quelles vulnérabilités on étépatchées

Critiques: les bases de connaissances sur les vulnérabilités, les flux de remédiation, et les politiques de QRM informe QVM au sujet des vulnérabilités impactant les métiers

Risquées: X-Force Threat et données incidents en provenance du SIEM couplées avec la visibilité de l’analyse des flux, aide QVM à voir les actifs avec

des menaces potentielles

Exploitées: la corrélation des données du SIEM et des IPS aident QVM à révéler quelles sont les vulnérabilités qui sont exploitées

© 2014 IBM Corporation

IBM Security Systems

15

Analyser Adopter une approche intégrée et holistique de la sécurité

� Déduit des patterns d’utilisation pour les utilisateurs, les applications connectées au réseau, l’accès au données

� Surveille et alerte en cas de comportement déviant, en fournissant la visibilité d’un comportement non autorisé

� S’ajuste en fonction des variations saisonnières et des tendances de croissance

� Corrélation avec la X-Force threatintelligence

Comment Comment QRadarQRadar peut aiderpeut aider

– Solution d’Intelligence Sécuritaire avancée qui analyse des masses de données de sécurité pour fournir l’information qui facilitera la rémédiation

– Corrélation de logs, d’événements, de flux réseaux, de vulnérabilités et d’information sur les menaces

– Corrélation avec l’identité et le contexte d’accès

– Plateforme intégrée pour faciliter les investigations

– Comprend des milliers de règles et formats de rapports, opérationnel quasi immédiatement

© 2014 IBM Corporation

IBM Security Systems

16

IBM Security Systems Portfolio

People Data Applications Network Infrastructure Endpoint

Identity

Management

Guardium Data Security and Compliance

AppScanSource

Network Intrusion Prevention

Trusteer Apex

Access

Management

Guardium DB Vulnerability Mgt

AppScanDynamic

Next Generation Network Protection

Mobile & Endpoint Management

Privileged Identity

Manager

Guardium / OptimData Masking

DataPower WebSecurity Gateway

SiteProtectorThreat Management

Virtualization and Server Security

Federated

Access and SSO

Key Lifecycle Manager

Security Policy Manager

NetworkAnomaly Detection

MainframeSecurity

IBM X-Force Research

Advanced Fraud Protection

TrusteerRapport

Trusteer PinpointMalware Detection

Trusteer PinpointATO Detection

Trusteer Mobile Risk Engine

Security Intelligence and Analytics

QRadarSIEM

QRadarLog Manager

QRadarRisk Manager

QRadarVulnerability Manager

Des solutions de premier plan orchestrées dans le IBM Security Framework