Réflexion sur la mise en oeuvre d’un projet de corrélation

e-Xpert Solutions SA | 3, Chemin du Creux | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50

info@e-xpertsolutions.com | www.e-xpertsolutions.com

Réflexion sur la mise en oeuvre d’un projet de corrélation

Séminaire du 9 mai 2006

Sylvain Maret

Solutions à la clef

Réflexion sur la mise en oeuvre d’un projet de corrélation

Comment aborder un projet de corrélation?

Quelles sont les sources à collecter?

Faut il donner des priorités aux informations?

Que faire des informations du périmètre de sécurité?

Solutions à la clef

Fonctions principales d’une solution de corrélation

Collecter les informations Collecter les informations là ou elles sont (A)là ou elles sont (A)

Corréler ces informations hétérogènesCorréler ces informations hétérogènes

Présenter en temps réel les Présenter en temps réel les alertes fiabilisées (B)alertes fiabilisées (B)

Donne les moyens de Donne les moyens de réagir aux alertes (C)réagir aux alertes (C)

Générer des tableaux de bordGénérer des tableaux de bord

Archiver les logsArchiver les logs

Solutions à la clef

L’approche d’un projet SIM

là ou elles sontlà ou elles sont

alertes fiabiliséesalertes fiabilisées

réagir aux alertesréagir aux alertes

solution de corrélation

(A)

(B)

(C)

Solutions à la clef

Inventaire du système d’information (SI)

Classification des biens du SI

Confidentialité (C) Intégrité (I) Disponibilité (D)

Niveau A (Elevé) Niveau B (Moyen) Niveau C (Bas)

Exemple

C I D

A

B

C

Solutions à la clef

Exemple avec la société « Acme.com »

C I D

GESTIA (Application GED)

COCKPIT (ERP)

E-Connect (Extranet Web)

Prod4 (App. de production robotisé)

Messagerie (App. Lotus Notes)

Connectra (Système pour la vente)

Etc.

Solutions à la clef

Une approche pragmatique

Voir le projet SIM comme un processus à long terme.

Définition des priorités Surveillance des points

chauds Biens niveau A

Solutions à la clef

L’approche d’un projet SIM

la ou elles sontla ou elles sont

(A)

Solutions à la clef

Décomposition d’un bien informatique

End Point Network System Application

InternalSecurity

ExternalSecurity

Evénements avoisinants Evénements éloignés

Evénements directs

ERP « COCKPIT »

Solutions à la clef

Collecte d’événements pour « Cockpit »

Zone Description

APP Tomcat, Apache 2.x, Oracle

System Linux Red Hat, SSH, PAM

System Solaris 2.8, SSH, PAM, Tripwire (FIA)

Internal Security

Nagios, Sonde IDS, firewall, Ace Server

External Security

Firewall, IDS

Collecte

Poids

10

8

8

5

2

Solutions à la clef

L’approche d’un projet SIM

alertes fiabiliséesalertes fiabilisées

solution de corrélation

(B)

Solutions à la clef

Réflexion sur les alertes ?

Pour les biens que l’on désire surveiller!

Définir les événements à « Remonter » Utilisateurs inexistants Brute force attaque Brusque changement de trafique Changement d’intégrité (FIA) Nouvelle MAC adresse sur le réseau Attaque sur une zone interne Etc.

Solutions à la clef

L’approche d’un projet SIM

réagir aux alertesréagir aux alertes(C)

Solutions à la clef

Des informations par rôle

Opérationnel

Management

SecuritéResponsable sécurité

Gestion global de la sécurité (gestion des risques)

Intégration et exploitationGestion des systèmes et infrastructure

Responsable de l’entrepriseGestion des risques

Solutions à la clef

Conclusion

Un projet SIM est un processus à long terme

L’analyse des biens est très importante Que surveiller?

Donner la priorité aux événements proches des biens (Cœur du métier)

Ne pas négliger la partie organisationnelle