Premier pas des PME vers la scurit - PowerPoint PPT Presentation

1 / 19
About This Presentation
Title:

Premier pas des PME vers la scurit

Description:

Augmente la pertinence des alertes. Enrichit la description de ... Routage des alertes au ' profile ' concern . La focalisation de l'effort est fonction des ... – PowerPoint PPT presentation

Number of Views:42
Avg rating:3.0/5.0
Slides: 20
Provided by: groupedetr
Category:
Tags: pme | alertes | ambigu | des | pas | premier | scurit | vers

less

Transcript and Presenter's Notes

Title: Premier pas des PME vers la scurit


1
Supervision de la sécurité et gestion du risque
Christophe Briguet ltcbriguet_at_exaprotect.comgt
2
Plan de la présentation
  • Problématique et enjeux
  • Analyse des informations
  • Tableaux de bord

3
Menace croissante
  • LInternet est de moins en moins sûr !
  • Nombre dincident x7 en4 ans
  • 70 des attaques en provenance de
    lintérieurdes entreprises
  • Lintelligence économique est omniprésentehttp//
    www.bcarayon-ie.com/html/main_v2.html

4
Des budgets croissants pour les entreprises et
administrations
  • Des M dépensés en moyenne par an
  • 90 utilisent des pare-feux ou des anti-virus
  • 40 utilisent des systèmes de détection
    dintrusions (IDS)
  • Nombre croissant de dispositifs à protéger

5
Constats
  • Équipe sous staffée et sous équipée
  • Incapacité à gérer la quantité dinformation
    générée par le SI
  • Le RSSI est très souvent aveugle pour contrôler
    les effets de la politique de sécurité mise en
    uvre
  • Le DG/DSI l'est tout autant lorsqu'il souhaite
    estimer un ROI sur ses investissements en sécurité

6
Beaucoup trop dinformations !
  • Sources hétérogènes (filtrage, détection
    d'intrusion, détection de vulnérabilité,
    authentification ...)
  • Format  aléatoires  (dépend de l'éditeur, varie
    d'une version à l'autre ...)
  • Visibilité parcellaire (données distribuées sur
    les systèmes et multiplicité des consoles)

 Comment retirer la substantifique
mlle ?  Comment prioriser mon effort ? 
7
Exemple Activité résiduelle de lInternet
TOP 10 des événements collectés
Nombre dévénements /jour
Période du 23 août au 21 septembre 2004.
8
Passer de  lanalyse de log  à une véritable
 gestion du risque métier
9
Définition des indicateurs
Approche  top  -  down 
  • En savoir plus http//www.vulnerabilite.com/doss
    ier/index.php?page_num3id9

10
Exploiter le maximum dinformations
  • Événements de sécurité (réseaux, système)
  • Service (mail, Web)
  • Application métier (CRM, comptabilité)
  • Inventaire du SI (outil de gestion de parc/patch)
  • Niveau de service (SLA)
  • Information publique (ex base de vulnérabilité
    OSVDB)
  • Etc

11
Analyse
Événements
Normalisation
Million
Agrégation
Base de connaissances Critères métiers Niveau de
service
Enrichissement
Centaine
Priorisation
Corrélation
Dizaine
Alertes
12
La normalisation des messages
  • Analyse sémantique (lexicale)
  • Uniformisation du contenu
  • Un même événement, différents messages !
  • Analyse syntaxique
  • Uniformisation de la forme
  • Conversion en IDMEF de chaque message

Checkpoint  Port Scanning  NetASQ
 Possible port scan Snort  Portscan
detected 
Permet un traitement optimisé des messages
Intrusion Detection Message Exchange Format
13
LIDWG pousse le future standard IDMEF
  • Consensus sur la nécessité dun format unique et
    non ambigu des messages de sécurité besoins
    dexploitabilité et de cohérence
  • Modèle de données orienté objet classes et
    attributs
  • Échange de messages IDMEF via XML sur TCP ou
    IDXP/BEEP
  • Richesse du format
  • IDXP-BEEP, RFC 3080 et 3195 transport TCP et
    profils (gestion des canaux, sécurité du
    transport par TLS, authentification par SASL)
  • IDMEF supporté par les acteurs du marché

14
Agrégation dévénements
  • Regroupement des alertes entre elles
  • Même source (IP, utilisateur )
  • Même destination
  • Même signature dévénements
  • Sélection des critères suivant le type de message
  • Ex
  • Exploit (IP source, IP destination, port
    destination)
  • Attack response (IP source, port source)

Réduit le nombre dalertes à expertiser
15
Évaluation du risque
  • Chaque alerte est évaluée suivant la valeur et le
    niveau de vulnérabilité de la cible
  • Prise en compte des critères business (SLA,
    info corporate )
  • Augmente la pertinence des alertes
  • Enrichit la description de lévénement

16
Corrélation avec une base de règles
  • Basée sur des règles utilisant des scénarii
    prédéfinis (si alors sinon)
  • Détection dincident potentiel
  • Réduction du nombre dalertes en les regroupant
    en fonction de scénarii prédéfinis

17
Les tableaux de bord sécurité
  •  Technique  (activité sécurité )

18
Gestion du risque  Métier 
  • Prendre en compte la valeur  business  de la
    ressource
  • Vue  continuité métier  (disponibilité,
    intégrité, risque, etc.)
  • Vue risque  métier  (finance, RH, production,
    etc.)
  • Routage des alertes au  profile  concerné

La focalisation de leffort est fonction des
priorités  business 
19
Cette approche est celle des applications SIM
  • Valoriser les investissements déjà réalisés
  • Augmenter la productivité des équipes techniques
    et accroître lintérêt des missions
  • Prendre en compte le risque métier
  • Formaliser le management de la SI (tuning,
    procédures)
  • Répondre aux obligations réglementaires (LEN,
    BS7799-2 )

Security Information Management
Write a Comment
User Comments (0)
About PowerShow.com
Home About Us Terms and Conditions Privacy Policy Presentation Removal Request Contact Us
Copyright 2024 CrystalGraphics, Inc. — All rights Reserved. PowerShow.com is a trademark of CrystalGraphics, Inc.
The PowerPoint PPT presentation: "Premier pas des PME vers la scurit" is the property of its rightful owner.
Do you have PowerPoint slides to share? If so, share your PPT presentation slides online with PowerShow.com. It's FREE!