Conception D'un Projet SIEM. La Sécurité Des Systèmes D Information [PDF]

Zitiervorschau

Conception d'un projet SIEM La sécurité des systèmes d’information

1

Sommaire 1 – Le contexte 2 – Les logs 3 – L’approche fonctionnelle 4 – La conception d’un projet 5 – Les risques d’échec d’un projet SIEM

La sécurité des systèmes d’information

2

1- Le contexte

La sécurité des systèmes d’information

3

La complexité des SI Les Systèmes Informatiques sont de plus en plus vastes et hétérogènes : – – – – –

Applications (Exchange, Lotus Notes, …) Échanges Transactions Utilisateur BYOD

Il est devenu pratiquement impossible d’analyser les journaux de toutes ces « sources » sans outils adaptés

La sécurité des systèmes d’information

4

Analyse de Logs – le suivi des traces Les raisons : L’analyse de Logs est une technique cherchant à donner un sens à des enregistrements générés par un ordinateur (aussi appelés logs, audit trails record ou encore journaux d’évènements en français).

Le processus de création de ces enregistrements s’appelle le data logging (ou enregistrement de données).

La sécurité des systèmes d’information

– Conformité avec les politiques de sécurité – Conformité à des audits ou une réglementation – Troubleshooting – Forensics (enquêtes ou réponse à une assignation) – Réponse aux incidents de sécurité – Centralisation

5

Objectifs de l’analyse de logs • Réagir rapidement mais aussi plus efficacement • Réduire les vulnérabilités du S.I et protéger la continuité de service • Réduire la baisse de la bande passante • Contrôler la productivité • Eviter la divulgation d’information (Propriété Intellectuelle)

Quelques chiffres 70% du trafic pornographique sur Internet a lieu entre 9/17h. 74% du trafic radio par Internet a lieu aux heures de bureau 77% de l’utilisation d’Internet au bureau est consacrée à un usage non professionnel

• Se protéger contre le risque d’engagement de la Pour un salaire cadre moyen de responsabilité civile 4850 € brut mensuel, la perte annuelle par collaborateur due à • Se protéger contre le risque pénal l’utilisation non professionnelle s’élève à 8730 € • Eviter la mise en cause de l’image de l’entreprise d’Internet (INSEE 2005) • Collecter des preuves en cas de litige • Etre en conformité avec les obligations juridiques • Suivi de l’activité des composants du SI et aide aux décisions d’évolutions • Suivi de visites de sites marchands • Suivi de production La sécurité des systèmes d’information

6

2 – Les logs

La sécurité des systèmes d’information

7

Les Logs • Les Logs sont émis par des périphériques réseau, des systèmes d'exploitation, des applications et plus généralement par toutes sortes de dispositifs intelligents programmables. • La syntaxe et la sémantique des données dans les messages du journal sont généralement spécifiques au fournisseur. • La terminologie peut également varier, par exemple, l'authentification d'un utilisateur à une application peut être décrite comme un login, logon, une connexion utilisateur ou comme un événement d'authentification. • Par conséquent, l'analyse de Logs doit interpréter les messages dans le même contexte afin de faire des comparaisons utiles aux messages provenant de sources différentes. La sécurité des systèmes d’information

8

Des logs différents

La sécurité des systèmes d’information

9

La limite des Logs • Les Logs permettent de voir beaucoup de choses, des connexions à Internet, jusqu'au contrôle des lecteurs de pointage ou d'accès de l'entreprise, mais peuvent représenter des volumétries très importantes (plusieurs giga voir dizaine de giga octets par jour). • La DSI, en accord avec la Direction Générale, devra définir avec précision les informations recherchées et ce dans quel but, sous peine de se trouver noyée sous un flux qu'elle ne pourrait traiter et qui s'avèrerait donc inutile. ATTENTION : Pour que l’information puisse être enregistrée et traitée : Il FAUT qu’elle soit contenue dans le Log !

La sécurité des systèmes d’information

10

1 1

3 – L’approche fonctionnelle

La sécurité des systèmes d’information

11

Les outils d’analyse de Logs 3 types de solutions : Le SIM : Security Information Management, qui gère les informations de sécurité du système d’information de l’entreprise. Il vise à faciliter les contrôles de conformité aux réglementations et politiques de sécurité, la gestion des menaces internes. Il permet de mieux présenter les activités de sécurité aux auditeurs internes et organismes de certification. Le SEM, Security Event Management, qui gère les évènements de sécurité pour améliorer les capacités de réaction aux incidents de sécurité et faciliter leur traitement en temps réel.

Le SIEM, Security Information and Event Management, qui regroupe les deux notions précédentes pour offrir une seule et même interface.

La sécurité des systèmes d’information

12

1 3

Objectifs d’un SIEM • Objectifs : – – – – –

Vérifier le niveau de protection du SI Fournir des éléments graphiques d’analyse pertinents Améliorer la gestion des risques Contrôler la vulnérabilité Protéger (pare-feu, IDS, anti-virus)

• Principe de fonctionnement – – – – – – –

Collecte des logs sécurité/réseau en environnement hétérogène Centralisation, normalisation et consolidation de l’information Analyse à partir de requêtes paramétrables Corrélation d’événements Génération et diffusion automatique de rapports Déclenchement d’alarmes et de scripts Activité restituée sous forme de graphique

La sécurité des systèmes d’information

13

Fonctionnement Le SIEM est le point central pour analyser les journaux et autres données de sécurité des équipements, des applications, des systèmes d'exploitation, etc.

La sécurité des systèmes d’information

14

Fonctionnement Le SIEM est un ensemble de composants, indépendants les uns des autres (chacun effectue une tâche spécifique) mais si un seul de ces composants ne fonctionne pas, c’est l’ensemble du système qui est bloqué. Source

Collecte des logs

Découpage / Normalisation

Règles Alertes et alarmes Corrélation

Monitoring Reporting

Archivage

Sources : Equipements générant des journaux d’évènements

La sécurité des systèmes d’information

15

Sources Il est difficile d’évaluer la quantité de logs générés chaque jour par les équipements en fonction du nombre d’utilisateurs (différence entre les jours et les périodes). Par exemple, le fait d’ouvrir un explorateur internet et de regarder ses mails génère des journaux d’évènements sur une multitude d’équipements : la machine de l’utilisateur, les routeurs, les switch, le pare-feu que l’utilisateur va traverser pour joindre le site web, puis le site web qui contient le mail luimême. Tous ces équipements vont générer des journaux d’évènements permettant de savoir par où l’utilisateur est passé, ce qu’il a fait, et à quelle heure. Les équipements sources* vont enrichir le SIEM avec des informations. *Un équipement source peut être un équipement (PC, Routeur, Switch, Firewall), une application, ou tout autre type de données qui peuvent être surveillées. Bien que n’étant pas un composant en soi du SIEM, celui-ci ne pourrait fonctionner sans ces sources de logs.

La sécurité des systèmes d’information

16

La collecte 1/3 La première étape du processus d’exploitation des logs est la collecte. Les mécanismes de récupération diffèrent suivant les SIEM utilisés, mais les procédés de collecte de logs peuvent se séparer en deux méthodes : active et passive. L’objectif est de s’adapter aux modes de générations et donc de collectes offerts par la source.

La sécurité des systèmes d’information

17

La collecte 2/3 La méthode active (pull method) La méthode active implique que le SIEM doit aller chercher l’information. Un exemple de ce type de collecte est le stockage des logs sur un partage réseau (serveur de logs). Le SIEM doit établir une connexion au partage réseau en utilisant un identifiant auprès du partage, puis copier les logs. Inconvénient : avec certaines de ces méthodes (en particulier la collecte de fichiers), les logs n’arriveront pas en temps réel. Exemple de protocole « actif » : WMI

FTP, SFTP, SCP SQL, JDBC OPSEC LEA

La sécurité des systèmes d’information

18

La collecte 3/3 La méthode passive (push method) La méthode passive a l’avantage de faciliter la mise en place et la configuration du SIEM. Il suffit d’un récepteur (le SIEM) et de pointer l’envoi des logs vers ce récepteur. Inconvénient : à prendre en compte avec l’utilisation de UDP (Protocol non-orienté connexion) : un paquet perdu est perdu ! De plus, un utilisateur malveillant pourrait dans ce cas envoyer de faux journaux d’évènements dans le SIEM. C’est pourquoi il est impératif de bien délimiter le périmètre de l’application et de mettre en place des contrôle d’accès. Exemple de Protocol « passif » : Syslog  TCP/UDP 514 SNMP  UDP 161/162 La sécurité des systèmes d’information

19

2 0

Le découpage Découpage : les journaux d’évènements natifs (propres à chaque constructeur) sont découpés pour faire apparaître les éléments unitaires d'information (exemple : l'adresse IP source, l'IP destination, le port source, le port destinataire) Ceci se fait : – Par des parseurs natifs – Par des expressions régulières – Par des parseurs adaptables – Par des parseurs développables

La sécurité des systèmes d’information

20

2 1

La normalisation Normalisation : journaux d’évènements natifs (propres à chaque constructeur) reformatés en un format unique Time

Date

Source Device IP Address

Event Message

Event ID

22:54:53 CST

17-Jan-10

192.168.1.1

User login

ASA-sys-6-605005

22:54:53 CST

17-Jan-10

192.168.1.18

User login

Security : 680

Exemple :

La sécurité des systèmes d’information

21

2 2

La corrélation 1/2 Corrélation / règle : Le moteur de règle permet de créer des règles dont le but est d’avertir l’administrateur d’une attaque sur le réseau. Exemple : règle qui déclenche une alarme quand un utilisateur se connecte à distance sur un serveur avec des droits administrateur Alerte : « Connexion Administrateur à distance »

oui

oui

User Login UserId :root

Est-ce une connexion à distance

oui

L’utilisateur est-il administrateur ?

non

L’utilisateur est-il root ?

non

Terminer le processus

La sécurité des systèmes d’information

non

22

2 3

La corrélation 2/2 Corrélation / Règle : Le but du moteur de corrélation est de faire correspondre plusieurs événements standards à partir de sources différentes dans un unique événement corrélé. La corrélation permet de simplifier les procédures de réponse aux incidents, en montrant un seul événement qui a déclenché de multiples événements à venir, à partir d'appareils provenant de diverses sources.

La sécurité des systèmes d’information

Time

Event Number

Source

Destination

Event

10:20:01 CST

1700

192.168.1.1

192.168.1.20 0

Failed login

10:20:02 CST

1701

192.168.1.18

10.10.5.24

Successful login

10:20:03 CST

1702

192.168.1.1

192.168.1.20 0

Failed login

10:20:04 CST

1703

192.168.1.98

10.10.10.2

Successful login

10:20:05 CST

1704

172.16.100.3

172.16.100.1

Successful login

10:20:06 CST

1705

192.168.1.34

10.10.10.2

Failed login

10:20:07 CST

1706

192.168.1.34

10.10.10.3

Successful login

10:20:08 CST

1707

172.16.1.27

10.10.5.24

Successful login

10:20:09 CST

1708

192.168.1.1

192.168.1.20 0

Failed login

10:20:01 CST

1709

192.168.1.1

192.168.1.20 0

Successful login

23

Corrélation pragmatique • Un utilisateur se connecte pendant 10 secondes toutes les 30 minutes (à peu près) • Une session HTTPS sortante est établie à partir d’un serveur Web

• Un utilisateur s’est connecté au niveau système d’exploitation sur un Proxy • Le nombre de destinataires mail a augmenté de 30% en 24 heures • Le nombre d’envois de mails par un utilisateur augmente très significativement en une heure • Un utilisateur se connecte sur le VPN SSL alors qu’il a badgé dans l’immeuble • Un utilisateur (parmi 50 000) consomme 1% de la bande passante Internet • Login privilégié (Administrator, root…) sur nouveau poste, à des heures étonnantes 24 La sécurité des systèmes d’information

L’archivage 1/3 Archivage : Pour utiliser les logs récoltés, Le SIEM a besoin de les stocker pour des raisons de rétention afin d’avoir un historique, si l’administrateur a besoin de regarder ce qui s’est passé quelques heures ou jours avant une attaque. – – – – –

Temps de rétention par équipement ou par type d’équipement Gestion de millions d’événements par seconde Garantie l’intégrité et la disponibilité des logs Preuves recevables par un juge Architectures distribuées

La sécurité des systèmes d’information

25

L’archivage 2/3 Durée de rétention

La sécurité des systèmes d’information

26

L’archivage 3/3 Hash et signature

Les solutions SIEM sont utilisées également pour des raisons juridiques et réglementaires. Un archivage à valeur probante permet de garantir l'intégrité des traces. Les solutions peuvent utiliser des disques en RAID, calculer l'empreinte, utiliser du chiffrement ou autre pour garantir l'intégrité des traces. La sécurité des systèmes d’information

27

L’exploitation des données 1/2 Monitoring : Le dernier composant d’un SIEM est la façon d’interagir avec les logs après qu’ils ont été collectés, normalisés, corrélés, et stockés. •Une interface console (web ou applicative) permet aux personnes s’occupant de la gestion des incidents d’avoir une unique vue de tout l’environnement. •Elle permet de voir les logs, de créer des règles, d’afficher des rapports, de personnaliser le SIEM, etc. Elle peut être définie comme une interface d’une base de données où l’utilisateur peut utiliser le langage interne du SIEM pour créer des requêtes permettant d’accéder aux informations.

La sécurité des systèmes d’information

28

L’exploitation des données 2/2 • Tableau de Bord : - Vision temps réel de l’activité du SI • Rapport : - Vision à posteriori de l’activité (en général à j+1)

La sécurité des systèmes d’information

29

Rapports prédéfinis

La plupart des solutions proposent des rapports prédéfinis, mais aussi de pouvoir créer ses propres indicateurs, tableaux de bord et rapports.

La sécurité des systèmes d’information

30

Des rapports opérationnels • Identification des PCs effectivement infectés après décontamination – Les Anti-virus enlèvent uniquement les vecteurs: si un virus a été activé, l’agent contaminant n’est pas enlevé, seul le vecteur est supprimé • Corrélation entre décontamination et activité précédente sur les proxy sortants et FW • Liste des pages web cibles d’attaques – La mise au point de scripts de type « cross site-scripting » génère un trafic typique identifiable par les logs sur une période de temps d’environ deux jours • Corrélation dans le temps sur pages web demandées répétitivement par une même adresse IP avec une fréquence rapide • Rapport d’activité d’utilisation Internet – Suivi de productivité, protection propriété intellectuelle, identification de postes contaminés par un ver, tentative de backdoor • (le less 5 est souvent plus intéressant que le top 5) 31 La sécurité des systèmes d’information

4 - L’organisation d’un projet

La sécurité des systèmes d’information

32

Les étapes du processus Phase 1

Phase 2

La définition du besoin

L’installation

Phase 3

Phase 4

La création des indicateurs

La sécurité des systèmes d’information

Automatisation de la détection

33

Phase 5

La mise en production

33

La mise en œuvre d’un projet La définition des besoins

La mise en production

Automatisation de la détection

La sécurité des systèmes d’information

L’installation

La création des indicateurs

34

34

La définition du besoin Phase 1

Phase 2

La définition du besoin L’installation

L’installation

Phase 3

Phase 4

Automatisation de la détection

La création des indicateurs

La sécurité des systèmes d’information

35

Phase 5

La mise en production

35

Les raisons d’un projet SIEM • Conformité (PCI, ISO, politique de sécurité, etc.) • Mesure de l’efficacité des référentiels de sécurité • Identification des incidents de sécurité • Centralisation et archivage légal • Solution « maison » difficile à maintenir • Enquête et recherche de disfonctionnement

La sécurité des systèmes d’information

36

3 7

Phase 1 : Bilan de l’existant, synthèse des besoins Cisco IronPort

Nombre de Spam

Websense Nombre de page web bloqué

INTERNET Surveillance code malveillant, pattern virus, SPAM, tunneling

Monitoring du Flux Internet Surveillance code malveillant, pattern virus, SPAM, tunneling

Mirroring du port Internet

Identification du trafic non autorisé

Collecte des logs et des flux Vers le SIEM

Check Point WAN

Contrôle d’accès AS 400

Check Point LAN

Tra

td fer ns

d es

n on

sS ée

IEM

T le rs ve

IBM AiX

Collecte des logs Vers le SIEM

Collecte des logs et des flux 2U Vers le SIEM

Contrôle d’accès Bases de données

SIEM

S DB

Bases de données Oracle, MSQL, DB2 Contrôle d’accès compte AD

WAN

Tableau de Bord Sécurité

Console d’administration SIEM

Windows Server 2003/2008

Contrôle d’accès

Serveur IIS

LAN La sécurité des systèmes d’information

37

Description des étapes : Phase 1 La volumétrie engendrée Le niveau de criticité de ces logs • Niveau juridique (archivage légal, non altération, non répudiation, …) • Niveau SI métiers ou d’infrastructure (confidentialité, intégrité, disponibilité, …) •…

Les traitements actuels réalisés sur ces logs et leurs fréquences : • Centralisation ou non • Archivage brut / légal • Traitement par une solution d’analyse de logs du marché (à préciser) • Traitement par un mécanisme développé en interne • Altération ou non des logs bruts (filtrage, agrégation, normalisation, enrichissement, corrélation, …)

L’exploitation faîte actuellement sur ces logs : • Emission d’alerte (en temps réel ou différé), sur critères, … • Rapports de pilotage journaliers, hebdomadaires, mensuels, … • Indicateurs / rapports destinés à la DSI, au RSSI, aux ingénieurs sécurité, aux ingénieurs systèmes et réseaux, aux exploitants, …

La sécurité des systèmes d’information

38

Description des étapes : Phase 1 • Méthodologie : – Exploiter les documents internes existants – Recouper, modifier ou compléter ces informations lors des séances de travail avec les personnes du SSI – Obtention de renseignements par inspections directes des équipements sources ou échantillons de logs (si possible) • Une fois ce travail effectué de nouveaux besoins doivent/peuvent se faire ressentir

La sécurité des systèmes d’information

39

L’installation Phase 1

La définition du besoin L’installation

Phase 2

L’installation

Phase 3

Phase 4

Automatisation de la détection

La création des indicateurs

La sécurité des systèmes d’information

40

Phase 5

La mise en production

40

Phase 2 : l’installation

La configuration des périphériques : (niveau de Logs, verbosité…) Le paramétrage de la collecte (entre les périphériques et l’analyseur de logs) Le paramétrage de l’exploitation (conservation des logs, rapports basiques)

La sécurité des systèmes d’information

41

Phase 3 : la création des indicateurs Phase 1

La définition du besoin L’installation

Phase 2

L’installation

Phase 3

Phase 4

Automatisation de la détection

La création des indicateurs

La sécurité des systèmes d’information

42

Phase 5

La mise en production

42

Phase 3 : la création des indicateurs (1/4) •Etude, définition et création des indicateurs : Quotidien (étude et création de procédures) Hebdomadaire (définition de tendances) Mensuel (suivi macroscopique de l’activité)

La sécurité des systèmes d’information

43

Phase 3 : la création des indicateurs (2/4) L’activité à mesurer (quantification de l’activité normale / anormale) Sur l’activité entrante Sur l’activité sortante À l’intérieur de la ou des zones démilitarisées Les domaines à étudier et à mesurer Les refus de connexion (firewall, OS, HTTP, …) Les suivis d’authentification (firewall, VPN, OS, …) Les erreurs de fonctionnement (HTTP…) Les alertes (antivirus, sonde, …) La métrologie sur les services, les serveurs, les utilisateurs Les rapports d’analyse détaillés

Les alertes intéressantes à étudier dans le cas présent Catégories d’alertes (déni de service, prise de contrôle, privilèges, …) Cibles des attaques (serveur, réseau, application, …) Niveau de gravité (catégorie/cible)

La sécurité des systèmes d’information

44

Phase 3 : la création des indicateurs (3/4)

•

Quel type d’activité des serveurs doit être étudié ?

•

Quels services ?

•

Que doit-on étudier sur les utilisateurs ?

La sécurité des systèmes d’information

45

Phase 3 : la création des indicateurs (4/4) •Les enseignements • Vérification de la politique de sécurité

•

Détection d’erreurs de paramétrage

•

Correction des anomalies détectées

Identification des indicateurs semblant les mieux adaptés à la surveillance de la sécurité du Système d’Information

La sécurité des systèmes d’information

46

Phase 4 : Automatisation de la détection Phase 1

La définition du besoin L’installation

Phase 2

L’installation

Phase 3

Phase 4

Automatisation de la détection

La création des indicateurs

La sécurité des systèmes d’information

47

Phase 5

La mise en production

47

Phase 4 : Automatisation de la détection

Après une étude précise des indicateurs, l’automatisation de l‘obtention des indicateurs devient possible : • • • •

Rapports pré programmés Alarmes Tableaux de bords Scénario de corrélation

La sécurité des systèmes d’information

48

Phase 5 : la mise en production Phase 1

La définition du besoin L’installation

Phase 2

L’installation

Phase 3

Phase 4

Automatisation de la détection

La création des indicateurs

La sécurité des systèmes d’information

49

Phase 5

La mise en production

49

Phase 5 : la mise en production •Après optimisation en phase 4 de la détection (suppression des faux positifs, réduction des alertes, …), l’ensemble peut être mis en production.

La sécurité des systèmes d’information

50

5 – Les risques d’échec d’un projet SIEM

La sécurité des systèmes d’information

51

Avantages / Inconvénients Avantages liés au SIEM

Difficultés liées au SIEM

•

Contrôle en temps réel de l’activité

•

Projets SIEM non prioritaires

•

Analyse périodique

•

Dimensionnement imprécis

•

Permet de détecter des attaques avancées

•

Sans configuration et sans optimisation, le SIEM ne sert à rien

•

Permet de faire des analyses forensics et de collecter des preuves

•

En cas "d’inondation" d’alertes, cela génère de la frustration

•

Le SIEM est un système « intelligent »

•

Possibilité d’avoir des faux positifs

La sécurité des systèmes d’information

52

Les facteurs de réussite / Les risques • Facteurs de réussite : - Engagement des équipes et de la direction - Architecture adaptée aux capacités techniques des outils - Approche fonctionnelle adaptée

La sécurité des systèmes d’information

• Facteurs de risques : – Manque d’implication des instances dirigeantes (criticité du projet) – Manque d’engagement des équipes – Choix technique impossible – Choix fonctionnels inadaptés

53

Contacts Laurent NOE

[email protected] 06-61-16-83-97

Paris 54, rue de Bitche 92400, Courbevoie Tél. : +33(0)1 43 34 09 04

Lyon 23, rue Renan 69007, Lyon Tél. : +33(0)4 78 95 23 87

PACA 3, rue du marché 06140, VENCE Tél. : +33(0)9 52 16 62 41 [email protected] La sécurité des systèmes d’information