livret sécurité opérationnelle
TRANSCRIPT
SOC
Livret Sécurité OpérationnellePour simplifier et accélérer la protection managée de vos infrastructures et usages métier
Livr
et
Sécu
rité
Op
éra
tio
nn
elle
#éd
itio
n 2
016
-20
17
SÉCURITÉDU DATACENTER
SUPERVISION DE L’INFRASTRUCTURE :
analyse et reporting
PROTECTION DEL’INFRASTRUCTURE :anti-DoS et DDoS
PRA / PCA :plan de reprise et
de continuité d’activité
RÉSEAU D’ENTREPRISESÉCURISÉ :MPLS VPN
SAUVEGARDE AUTOMATISÉE
avec réplication sur site distant
MOBILITÉ :VPN SSL
MISE À JOUR DESPATCHS DE SÉCURITÉ
SURF AUTHENTIFIÉ :traçabilité des accès anti-virus et contrôle des contenus
FIREWALL APPLICATIF
MAIL SÉCURISÉ :anti-spam / anti-virusContrôle du mail sortant
SYSTÉME DE DÉTECTIONDES INTRUSIONS :
Sonde IDS / IPS
SOC :Analyse – Dashboarding – Pilotage
2 JAGUAR NETWORK | LIVRET SÉCURITÉ OPÉRATIONNELLE 2016-2017
Intr
od
uct
ion
La période 2015-2016 a été marquée par la progression du « ransomware » et d’attaques complexes ciblant les infrastructures et l’utilisateur.
Une plateforme end-to-end pour les utilisateurs métiers
Pourquoi un livret sécurité ?
Aujourd’hui, l’industrialisation des menaces conduit les entreprises à établir un contexte de sécurité managée renforcé. L’exploitation professionnelle des mesures de sécurité s’impose à l’ensemble des acteurs exposés aux cyber risques.
Le vol de données rendu possible par des défaillances applicatives se conjugue à des attaques élaborées via l’utilisateur mettant à risque le patrimoine numérique de l’entreprise.
L’écosystème de sécurité ajoute aux mesures techniques de protection, un dispositif de supervision proactive des infrastructures et des services exposés.
Pour les décideurs et utilisateurs métiers, comprendre les menaces permet d’évaluer la pertinence des réponses. Ce livret vise à faciliter la compréhension des enjeux et l’importance d’un continuum de sécurité.
CONTEXTE MARCHÉ
Le marché de la sécurité évolue vers
• Des outils qui s’industrialisent : documentation et accessibilité accrue des exploits.
• Une diversification des sources de menace : hacktivism, scriptkiddies, cyberterrorism.
• Des risques accrus : vol ou rapt des données, violation d’intégrité, DDoS, atteinte à l’image.
VISION JAGUAR NETWORK
Une Plateforme de Sécurité
• Assure une continuité de la protection : de l’utilisateur aux infrastructures.
• Mutualise l’expertise de surveillance et protection, facilite l’accès à une solution Grands Comptes de sécurité managée.
• Garantit un niveau de disponibilité à la mesure de vos enjeux métiers grâce à la redondance massive des infrastructures.
3LIVRET SÉCURITÉ OPÉRATIONNELLE 2016-2017 | JAGUAR NETWORK
Évo
luti
on
de
s te
chn
iqu
es
Aujourd’hui,
ANATOMIED’UNE ATTAQUE
PROFIL DE L’ATTAQUANT
AMATEUR
AM
AT
EU
R M
OT
IVÉ
‹
VOL DE DONNÉESNETTOYAGE DES TRACES
COMPROMISSIONPORTE DÉROBÉE
EXTENSIONDE PRIVILÈGES
REPÉRAGE DE FAILLE
BALAYAGE
COLLECTED’INFORMATION
INTRUSION
‹ ‹
EX
PE
RT
ISO
LÉ ‹
EX
PE
RT
MA
ND
AT
É ‹
CY
BE
R-C
RIM
INE
L ‹
CY
BE
R S
OLD
AT
‹
HA
CK
TIV
IST
E ‹
› LENT› VISIBLE› OCCASIONNEL› LARGE
› RAPIDE› FURTIF› PERSISTANT› CIBLÉE
PROFESSIONNEL
65% des attaques ont pour vecteursle mail et le web en s’adressant maintenant aux humainsplutôt qu’aux machines.
Évolution des techniques et professionnalisation des menaces
DÉ
CO
UV
ER
TE
PR
ÉP
AR
AT
ION
AC
TIO
N
COMPLEXITÉDE DÉTECTION
TECHNIQUE
BUSINESS
CYBERINTELLIGENCE
4 JAGUAR NETWORK | LIVRET SÉCURITÉ OPÉRATIONNELLE 2016-2017
Les risques et menaces, de plusieurs natures, adressent l’ensemble de la stack technologique.
Bien qu’en constante évolution, nous proposons d’en présenter un regroupement par grandes familles en y associant les principales solutions techniques connues pour être des contre-mesures éprouvées.
Panorama des menaceset solutions
COUCHES OSIDES SOLUTIONS
FACILEMENT ACTIONNABLESLES MENACES DE SÉCURITÉ
› Menaces Web : XSS, CSRF, SQLI, Session HiJacking…
› Rootkit
› Malware
› APT
› IP Spoofing
› Brute Force
› DDoS
› Usurpation d’identité
› Social engineering
› Spear phishing
› Divulgation d’information
› ARP Poisoning
› Fiber Cut
• Web application Firewall
• Cyber Security Operations
Center (CSOC)
• Anti-Virus & Anti-Virus
• IDS / IPS / Firewalling
• SSL VPN
• Fail to ban
• Traffic Mitigation
• Sensibilisation
• Gouvernance/Process
• Détection Phishing
• Data Loss Prevention (DLP)
• URPF
• Redondance MPSL VPN
ApplicationPrésentation
& Session
Transport& Réseau
Utilisateurfinal
Liaison de Données& Physique
7
8
5
4
3
2
1
Pan
ora
ma
de
s m
en
ace
s e
t so
luti
on
s
5LIVRET SÉCURITÉ OPÉRATIONNELLE 2016-2017 | JAGUAR NETWORK
Lexique des principales menaces
Lexi
qu
e d
es
pri
nci
pal
es
me
nac
es
Risqueshumains
Manipulation psychologique d’individus en vue de réaliser des actions
sensibles ou de divulguer des informations confidentielles
SOCIAL ENGINEERING
Attaque par hameçonnage ciblé : repose généralement sur une
usurpation de l’identité de l’expéditeur, et procèdant par ingénierie
sociale forte afin de lier l’objet du courriel et le corps du message à
l’activité de la personne ou de l’organisation ciblée.
Le but étant d’inciter le destinataire à ouvrir une pièce jointe malveillante
ou à suivre un lien vers un site Web malveillant pour compromettre
l’ordinateur.
SPEAR PHISHING
Peut être spontanée, involontaire ou provoquée et consiste à diffuser des
informations pouvant être réutilisées, recoupées afin de cartographier
une personne, une entreprise ou une institution (nom, résidence,
géolocalisation, réseau, information sensible voire protégée, …).
DIVULGATION D’INFORMATION
6 JAGUAR NETWORK | LIVRET SÉCURITÉ OPÉRATIONNELLE 2016-2017
Lexi
qu
e d
es
pri
nci
pal
es
me
nac
es
Lexique des principales menaces
Risques Applicatifs,Présentation et Session
Cross-Site Scripting permet d’insérer du contenu dans une page web
pour provoquer des actions sur les navigateurs web visitant la page.
Il est possible de rediriger la navigation vers un autre site pour du
hameçonnage ou de voler la session en récupérant les identifiants
techniques (cookies).
XSS
Cross-Site Request Forgery exploite une vulnérabilité des services
d’authentification web. L’objet est de transmettre à un utilisateur
authentifié une requête HTTP falsifiée, afin qu’il l’exécute sans en avoir
conscience et en utilisant ses propres droits.
CSRF
Une injection SQL exploite une faille de sécurité d’une application
interagissant avec une base de données, en insérant une requête SQL
non prévue par le système. L’attaquant peut dérober des données, voire
nuire à l’intégrité du système attaqué.
SQLI
Ensemble de techniques mises en œuvre par un ou plusieurs logiciels,
dont le but est d’obtenir et de pérenniser un accès frauduleux à un
ordinateur.
ROOTKIT
Un malware est un programme développé dans le but de nuire à un
système informatique, sans le consentement de l’utilisateur dont
l’ordinateur est infecté. Le terme malware englobe les virus, les vers, les
chevaux de Troie et d’autres menaces.
MALWARE
Session Hijacking ou Man In The Middle attack (MITM) a pour but
d’intercepter les communications entre deux parties, sans que ni l’une
ni l’autre ne puisse se douter que le canal de communication entre elles
a été compromis.
SESSION HIJACKING
Logiciel malveillant qui prend en otage des données en les chiffrant puis
en demandant à leur propriétaire de l’argent en échange de la clé qui
permettra de les déchiffrer.
RANSOMWARE
7LIVRET SÉCURITÉ OPÉRATIONNELLE 2016-2017 | JAGUAR NETWORK
Lexi
qu
e d
es
pri
nci
pal
es
me
nac
es
Advanced Persistent Threat sont des techniques sophistiquées utilisant
des logiciels malveillants pour exploiter des vulnérabilités.
Le mot « persistent » implique un système de commandement et de
contrôle qui suit et coordonne l’attaque.
L’usurpation d’adresse IP est une technique de Hacking utilisée en
informatique qui consiste à envoyer des paquets IP en utilisant une
adresse IP source qui n’a pas été attribuée à l’ordinateur qui les émet.
L’attaque par force brute est une méthode utilisée en cryptanalyse pour
trouver un mot de passe ou une clé.
Il s’agit de tester, une à une, toutes les combinaisons possibles.
Une attaque par déni de service est une attaque informatique ayant pour
but de rendre indisponible un service, d’empêcher les utilisateurs d’un
service de l’utiliser.
ARP Poisoning vise tout réseau local utilisant le protocole ARP pour
détourner des flux de communications transitant entre une machine
cible et une passerelle (routeur, box). L’attaquant peut ensuite écouter,
modifier ou bloquer les paquets réseaux.
Il s’agit d’une rupture de fibre accidentelle ou volontaire, résultant d’une
coupure de service pouvant dégrader voire interrompre un service de
télécommunication.
Risques Transport, Réseau,Liaison et Physique
APT
IP SPOOFING
BRUTE FORCE
DDOS
ARP POISONING
FIBER CUT
8 JAGUAR NETWORK | LIVRET SÉCURITÉ OPÉRATIONNELLE 2016-2017
Ré
fére
nti
el d
e s
olu
tio
ns
Référentiel de solutionsfacilement actionnables
› L’IDS (Intrusion Detection System) est un mécanisme destiné à repérer
les actions anormales ou suspectes sur le trafic IP.
› L’IDS alerte face aux comportements suspects et l’IPS protège
automatiquement.
› L’IPS (Intrusion Prevention System) est un IDS actif et permet de
prendre des mesures afin de diminuer les impacts d’une attaque.
› L’IDS/IPS premet de se prémunir contre les attaques de type APT.
IDS / IPSFIREWALLING
› Principe qui permet de se prémunir contre des attaques par force brute
(Brute Force).
› Le fail to ban scanne les logs d’accès pour ensuite bloquer le trafic
d’un attaquant à partir d’un seuil de sollicitations (Rate Limit).
FAIL TO BAN
› La mitigation consiste à filtrer le trafic non légitime pour se prémunir
contre les attaques de type DDoS.
› Blocage des hôtes malveillants sur liste noire et des failles de la couche
applicative.
› Défense contre les menaces ou anomalies Web.
› Blindage des services DNS contre les botnets.
› Protection des services critiques dont VoIP.
TRAFFIC MITIGATION
› SSL VPN (Secure Sockets Layer Virtual Private Network) est un type de
VPN authentifié et sécurisé.
› Le SSL VPN fonctionne au-dessus de Transport Layer Security (TLS) et
permet aux utilisateurs d’établir une connexion sécurisée au réseau
intranet.
› Un SSL VPN permet de se prémunir contre un vol de session (hijacking)
en cas d’accès à une ressource d’entreprise.
SSL VPN
9LIVRET SÉCURITÉ OPÉRATIONNELLE 2016-2017 | JAGUAR NETWORK
Ré
fére
nti
el d
e s
olu
tio
ns
› Le Web Application Firewall est un système de filtrage adapté au
protocole HTTP.
› Il permet de se prémunir contre des attaques de haut niveau telles que :
XSS,SQLi, CSRF.
› Il agit comme mandataire (proxy) entre Internet et le site web. En
analysant les requêtes à la volée, sur la base d’attaques connues ou
de comportements jugés anormaux, il bloque le trafic suspect pour
l’application.
› Standard pour la protection des sites web. L’emploi d’un WAF est une
recommandation par l’OWASP.
WEB APPLICATION
FIREWALL(WAF)
› Les fonctionnalités d’antispam / antivirus permettent l’identification et
la neutralisation de menaces évoluées (type phishing).
› Le chiffrement des emails assure confidentialité et intégrité du contenu
des messages, ainsi que l’identification des émetteurs et destinataires.
Conformité réglementaire : PCI DSS ou Sarbanes Oxley imposent le
chiffrement des messages.
› Protection contre l’envoi de courriers indésirables réalisé à partir
de votre entreprise. Prévention des fuites/pertes de données par
détection de mots clés.
PROTECTION MAIL
INTELLIGENTE(ANTI-VIRUS ANTI-SPAM)
› MPLS (Multi-Protocol Label Switching) est un protocole de VPN
permettant de raccorder des sites distants au sein d’un même réseau
d’entreprise protégé.
› La redondance du réseau entre le cœur de l’infrastructure et les
routeurs d’accès assure une très haute disponibilité et permettent de
se prémunir contre un fiber cut.
› La sécurité des informations transportées est assurée grâce à une
architecture privée, redondée, contrôlée et inaccessible depuis
l’Internet.
REDONDANCEMPLS VPN
10 JAGUAR NETWORK | LIVRET SÉCURITÉ OPÉRATIONNELLE 2016-2017
Security Information Event Management
Technologie de supervision proactive de la sécurité par collecte,
agrégation, normalisation, corrélation et reporting de l’ensemble des
configurations et évènements de sécurité.
SIEM
Cyber Security Operations Center
Organisation de surveillance basée sur un SIEM et qui :
› assure une veille sécurité
(menaces, vulnérabilités, vecteur d’attaques, …),
› fournit des moyens de détection d’attaque,
› collecte et qualifie des événements de sécurité,
› analyse les alertes et escalade les incidents qualifiés,
› aide à la décision et délivre des plans de réaction,
› améliore de façon permanente la couverture des risques IT.
CYBER SOC
Ré
fére
nti
el d
e s
olu
tio
ns
Unicast Reverse Path Forwarding
› URPF est un protocole pour limiter l’émission de paquets dans le
réseau. Il permet d’ignorer un paquet s’il ne provient pas du lien utilisé
par le routeur pour acheminer la source du paquet.
› Ce mécanisme permet d’assurer qu’un émetteur de trafic réseau
est légitime ; il protège l’ensemble des membres du réseau des
usurpations de spoofing IP.
URPF
11LIVRET SÉCURITÉ OPÉRATIONNELLE 2016-2017 | JAGUAR NETWORK
Les
serv
ice
s fo
urn
is p
ar u
n C
ybe
r D
efe
nse
SO
C
Les services fournispar un Cyber Defense SOC
› Evaluation de l’exposition à la menace sur le périmètre externe (services critiques, mail, web, certificats SSL, …)
› Monitoring et management des évènements de sécurité et des alertes issues de l’environnement du client sur une base 24/7.
› Analyse des menaces sur la base des logs de sécurité et des évènements classifiés.
› Mesure de la disponibilité des systèmes et équipements client.
› Gestion des incidents, classification et escalade vers le client.
› Veille sécurité et service proactif de notification.
› Déploiement d’une force d’action rapide sur site
› Reporting régulier incluant les incidents, la gestion des capacités, le suivi du risque et des SLA.
(1) Cyber Security Incidence Response Team : Dispositif d’intervention rapide en cas d’incident de cybersécurité
Le bastion de sécurité renforcée
VEILL
E DES & DÉVELO
PPEMEN
T
RECHERCHE
INT
ÉGR
ATIO
N RÉSULTATS
DE R
&D
ET DES ÉQUIPES
D’IN
TERVEN
TION RAPIDE
AU QUO
TIDIE
N
PRO-ACTIVITÉ & RETO
UR D
’EX
PÉ
RIE
NC
E
MEN
ACES G
LOBALES
INFOGÉRANT
INFOGÉRANT
INGÉNIEURSYSTÈME
ANALYSTEEXPERT
GESTIONNAIRE DE CONTRATSDE SERVICE
DÉTECTEURD’INCIDENTS
CSIRT(1)
ww
w.ja
gu
ar-n
etw
ork
.co
m
Nos équipes sont à votre disposition au : 04 88 00 65 10
Double compétence Opérateur & Hébergeur
› Sécurisation de votre plateforme de bout en bout via la maîtrise du réseau et des infrastructures.
› Assurance d’une protection en continu de l’utilisateur jusqu’à la plateforme.
Une équipe d’experts pour garantir votre sérénité
› Avant-vente et chef de projet dédiés pour calibrer les règles de sécurité de votre plateforme.
› Réactivité et proximité pour maintenir vos applicatifs critiques en conditions opérationnelles.
Infrastructures sécurisées pour une très haute disponibilité et résilience
› Supervision proactive 24/7 pour détecter et bloquer les attaques.
› Equipements éprouvés, mise à jour des patchs de sécurité et mesures correctives.
À propos de Jaguar NetworkDonnées clésSociété créée en 2001 : hébergeur d’infrastructure ITDéveloppement expertise télécom en 2006 : Licence Opérateur L 33-1Opérateur alternatif d’infrastructures IT et télécom
Expertise en hébergement des données :• Sécurisation accès aux serveurs par biométrie, vidéo-surveillance, badges et codes• Agrément PCI DSS depuis 2014• Conformité aux recommandations ANSSI de localisation et sécurité des données
Capillarité et densité du réseau THD (Très Haute Disponibilité) :• Suites et cages privées dans 30 Datacenters interconnectés entre eux• Hotline et Support technique en France 24h/24 365j/an • Propriétaire du 2nd Hôtel des Télécoms de l’Europe du Sud (8 000 m² design Tiers IV)
Les engagements Jaguar Network
2012
2011
2013
2010
2014
7 000 KM DE RÉSEAU FIBRÉ
99.995% DISPONIBILITÉ RÉSEAU
10 000 SERVEURS CLOUD
900 CLIENTS
200 GBPS DE CAPACITÉ INTERNET
30 DATA CENTERS
Stay connected ›