Technologie Sim

e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

Réflexion sur la mise en oeuvre d’un projet de corrélation Séminaire du 9 mai 2006

Sylvain Maret

4 [email protected] | www.e-xpertsolutions.com

4

f

f

f

f

4

Réflexion sur la mise en oeuvre d’un projet de corrélation

Comment aborder un projet de corrélation? Quelles sont les sources à collecter? Faut il donner des priorités aux informations? Que faire des informations du périmètre de sécurité? Solutions à la clef

4

f

Fonctions principales d’une solution de corrélation

Collecter les informations là ou elles sont (A)

f

Corréler ces informations hétérogènes

f

Présenter en temps réel les alertes fiabilisées (B)

f

Donne les moyens de réagir aux alertes (C)

f

Générer des tableaux de bord

f

Archiver les logs

4

Solutions à la clef

4

L’approche d’un projet SIM

(B) (A)

alertes fiabilisées (C) réagir aux alertes

là ou elles sont

solution de corrélation

4

Solutions à la clef

4

f

Inventaire du système d’information (SI)

Classification des biens du SI f f f

f f f

4

Confidentialité (C) Intégrité (I) Disponibilité (D) Niveau A (Elevé) Niveau B (Moyen) Niveau C (Bas)

Exemple C

I

D

A B C

Solutions à la clef

4

Exemple avec la société « Acme.com »

C

I

D

GESTIA (Application GED) COCKPIT (ERP) E-Connect (Extranet Web) Prod4 (App. de production robotisé) Messagerie (App. Lotus Notes) Connectra (Système pour la vente) Etc.

4

Solutions à la clef

4

f

f

Une approche pragmatique

Voir le projet SIM comme un processus à long terme. Définition des priorités f f

4

Surveillance des points chauds Biens niveau A

Solutions à la clef

4

L’approche d’un projet SIM

(A) la ou elles sont

4

Solutions à la clef

4

Décomposition d’un bien informatique ERP « COCKPIT »

Evénements directs

End Point

4

Network

System

Application

Internal Security

External Security

Evénements avoisinants

Evénements éloignés Solutions à la clef

4

Collecte d’événements pour « Cockpit »

Poids

Zone

Description

APP

Tomcat, Apache 2.x, Oracle

System

Linux Red Hat, SSH, PAM

8

System

Solaris 2.8, SSH, PAM, Tripwire (FIA)

8

10

Internal Security

Nagios, Sonde IDS, firewall, Ace Server

5

External Security

Firewall, IDS

2

4

Collecte

Solutions à la clef

4

L’approche d’un projet SIM

(B) alertes fiabilisées

solution de corrélation

4

Solutions à la clef

4

Réflexion sur les alertes ?

f

Pour les biens que l’on désire surveiller!

f

Définir les événements à « Remonter » f f f f f f f

4

Utilisateurs inexistants Brute force attaque Brusque changement de trafique Changement d’intégrité (FIA) Nouvelle MAC adresse sur le réseau Attaque sur une zone interne Etc. Solutions à la clef

4

L’approche d’un projet SIM

(C) réagir aux alertes

4

Solutions à la clef

4

Des informations par rôle

Management

Responsable de l’entreprise Gestion des risques

Securité Responsable sécurité Gestion global de la sécurité (gestion des risques)

Opérationnel Intégration et exploitation Gestion des systèmes et infrastructure

4

Solutions à la clef

4

Conclusion

f

Un projet SIM est un processus à long terme

f

L’analyse des biens est très importante f

f

f

4

Que surveiller?

Donner la priorité aux événements proches des biens (Cœur du métier) Ne pas négliger la partie organisationnelle Solutions à la clef