Lutte contre la fraude, détection des menaces : le Big Data au
Transcription
Lutte contre la fraude, détection des menaces : le Big Data au
Lutte contre la fraude, détection des menaces : le Big Data au service de la sécurité Mardi 5 Novembre 2013 Bernard Montel Directeur Technique RSA France & EMED EMC CONFIDENTIAL—INTERNAL USE ONLY 1 Agenda • Un peu de vocabulaire • Le paysage des nouvelles menaces • Une approche analytique (et Big Data) pour : – Le contrôle d’accès – Le SOC (CIRC) 2ème génération – Gouvernance / Conformité du Cloud • Q&R EMC CONFIDENTIAL—INTERNAL USE ONLY 2 Les thèmes CyberSécurité http://www.itu.int/en/ITU-T/studygroups/com17/Pages/cybersecurity.aspx SOC vs CIRC Risque Critical Incident Respons Center Gestion & Temps Réel Analytique Big Data EMC CONFIDENTIAL—INTERNAL USE ONLY 3 How have these evolved Source: Greg Hogland, HBGary EMC CONFIDENTIAL—INTERNAL USE ONLY 4 EMC CONFIDENTIAL—INTERNAL USE ONLY 5 EMC CONFIDENTIAL—INTERNAL USE ONLY 6 La Sécurité Contextuelle et Dynamique Gérée par les risques - capacités d’investigation temps réel Risques & Contexte compréhension fine des risques pour gérer les priorités Analytique avancée contexte et visiblité pour détecter les menaces Contrôles adaptatifs dynamiques en fonction du contexte et du risque Partage d’information Sources Internes et Externes d’Information Directement Exploitable EMC CONFIDENTIAL—INTERNAL USE ONLY 7 Planifiez la Transformation Contrôle de l’information - Cartographie et protection des actifs sensibles Amélioration de la Gouvernance - Visibilité des risques IT - Gestion du changement - Business continuity CONTROLE CONFORMITE NIVEAU DE MATURITE Réduire Identifier l’exposition au risque les attaques avancées EMC CONFIDENTIAL—INTERNAL USE ONLY Etablissement d’une norme - Logs/Paquets/Comportements RISQUE IT Assurer la résilience RISQUE METIER Aligner les investissements et les risques 8 Planifiez la Transformation Implémenter des fonctions de SOC Alignement avec les risques métier Avancé • Gérer les priorités par Assets/ • Détection / Réponse sur Incident Process/ Identités Atteindre une visibilité totale • Information temps réel Interne/Externe sur les menaces et les risques CONTROL COMPLIANCE IT RISK BUSINESS RISK NIVEAU DE MATURITE Défense Pro-active Assurer la Conformité EMC CONFIDENTIAL—INTERNAL USE ONLY Profiter des nouvelles technologies/ opportunités 9 Les menaces avancées sont différentes 1 Intrusion 2 FURTIVES 3 INTERACTIVES CIBLEES Signaux faibles OBJECTIF SPECIFIQUE Début Attaque TEMPS Déplacement latéral Avance masquée Fin Délai de réponse Fenêtre d’Attaque Attaque identifiée 1 EMC CONFIDENTIAL—INTERNAL USE ONLY Réduire La Fenêtre CONTRÖLEES PAR LES ATTAQUANTS 2 Réponse Accélérer le Délai de Réponse 10 Les Solutions RSA Advanced Security SOC de deuxième Operations génération Identity & Data Gestion Protection d’identités de Confiance Détecter et arrêter les nouvelles menaces Sécuriser l’interaction entre les individus et l’information Comprendre et gérer le risque de l’entreprise Lutter contre la fraude en ligne et la cybercriminalité Governance, Risk, Gouvernance, & Compliance RISQUE et Conformité EMC CONFIDENTIAL—INTERNAL USE ONLY FraudFraude & Risk et Surveillance Intelligence 11 Integration et Evolution Expanded Capabilities Advanced Security SOC de deuxième Operations génération Connaissance des Identités (Context) Identity & Data Gestion Protection d’identités de Confiance ID (Gov) Criticité des Assets (Contexte) Incident Workflow & Reporting Governance, Risk, Gouvernance, & Compliance Risque et Conformité EMC CONFIDENTIAL—INTERNAL USE ONLY Menaces Menaces & Analytique FraudFraude & Risket Intelligence Surveillance 12 Les nouveaux enjeux de la gestion d’identités de confiance L’évolution de l’authentification EMC CONFIDENTIAL—INTERNAL USE ONLY 13 L’authentification de nouvelle génération Approche binaire Intermitant 1 à 3 Facteurs Règles statiques Interne Isolé Architecture traditionnelle EMC CONFIDENTIAL—INTERNAL USE ONLY Confiance continue Poly-facteurs Contextuel Intelligent Service Fédéré 14 Le Contrôle d’accès par analyse de risque Identity Access Control Risk Evaluation EMC CONFIDENTIAL—INTERNAL USE ONLY 15 L’identité de confiance nécessite un profile riche : Authentification par Analyse de Contexte : Auth Manager v8 User name Password LOG IN Active Input from user , username, password, security questions, token, out of band phone/email/SMS Internal threats , log data, organizational roles and privileges, etc IP information , geo IP location, etc Behavior Profile transaction information, number of days after last login or password change click stream patterns, etc EMC CONFIDENTIAL—INTERNAL USE ONLY Channel Information , wireless access points, GPS location, etc Device profile History, Browser and machine information, digital certificate, etc Fraud Intelligence , IP Blacklists, etc 16 Authentification évolutive et basée sur le risque Risk Engine Cloud privé Action utilisateur À deux AUTHENTICATION facteurs MANAGER ET SECURID Téléch. données Lecture des du pipeline de ventes e-mails Nom d’utilisateur Authentification et mot de passe supplémentaire Profil des périphériques ADAPTIVE AUTHENTICATION Réseau antifraude Profil comportemental des utilisateurs Référentiel sur les risques orienté Big Data EMC CONFIDENTIAL—INTERNAL USE ONLY Hors bande Cloud public Accès à un compte bancaire Transfert de fonds Questions d’identification Nom d’utilisateur et Authentification supplémentaire mot de passe 17 Les SOC de nouvelle génération L’analytique (et le BigData) au service de l’investigation EMC CONFIDENTIAL—INTERNAL USE ONLY 18 RSA Advanced Security Operations RSA Security Analytics, RSA Advanced Cyber Defense Services • Découverte, investigation, et réponse aux menaces et attaques avancées • Création d’un WareHouse de la sécurté pour l’analyse , le reporting et l’investigation long-terme. • Construction et gestion d’un SOC avancé EMC CONFIDENTIAL—INTERNAL USE ONLY 19 Security Analytics COLLECTE DISTRIBUÉE Données d’enrichissement EUROPE Logs Paquets ANALYSE PRÉDICTIVE AMÉRIQUE DU NORD RÉEL SECURITY TEMPS ANALYTICS ENTREPÔT DÉCISIONNEL ASIE Reporting et alertes Traitement d’événements complexes Investigation Recherche textuelle Analyse prédictive des malwares Administration Corrélation Balisage des métadonnées Gestion des incidents Criticité des ressources Conformité ARCHER eGRC SUITE LONG TERME INFORMATIONS EN TEMPS RÉEL Informations sur les menaces – Règles – Analyseurs – Alertes – Flux – Appl. – Services d’annuaire – Rapports et actions personnalisées EMC CONFIDENTIAL—INTERNAL USE ONLY 20 RSA Archer Asset Criticality Intelligence Gestion des Assets critiques Asset Intelligence RSA ACI Info IT Contexte Biz ü Adresse IP ü Niveau de Criticité ü Département ü Sité List des Assets Resp. Equipement Type d’équipement Resp Biz Device IDs Département Contenu (DLP) Processus Categorie RPO / RTO IP/MAC Add Niveau Criticité RSA Security Analytics Security Analytics contient ainsi le détail des assets et le contexte Business pour une meilleure analyse et priorité des alertes CMDBs, DLP scans, etc. EMC CONFIDENTIAL—INTERNAL USE ONLY 21 RSA Archer AIMS Gestion des incidents de sécurité Business & Security Users RSA AIMS RSA Security Analytics Capture & Analyze – NW Packets, Logs & Threat Feeds EMC CONFIDENTIAL—INTERNAL USE ONLY Alerts Based on Rules Group Alerts Manage Workflows Provide Visibility 22 RSA ECAT Détection et vérification de malware sur poste RSA ECAT • ECAT= Enterprise Compromise Assessment Tool • Détection, Analyse & Rémetion de logiciels malveillants sur postes de travail • Détection sans signature de malware • Visibilité avancée de l’état de compromission d’un poste • Base de connaissance enrichie pour une détection rapide • Augmentation de l’éfficacité d’un SOC/CIRC EMC CONFIDENTIAL—INTERNAL USE ONLY 23 Adding Identity Context to the Investigation Asset Context Incident Management Security Vulnerability Risk Operations Management Management Identity Context Job title App Entitlements Roles Manager Employee Type Windows Clients/ Servers RSA Archer for Security Operations SharePoint File Servers Databases RSA Aveksa RSA Security Analytics RSA Data Discovery Enabled by RSA DLP ANALYTICS RSA ECAT NAS/SAN Endpoints RSA Live Intelligence Threat Intelligence – Rules – Parsers – Alerts – Feeds – Apps – Directory Services – Reports and Custom Actions EMC CONFIDENTIAL—INTERNAL USE ONLY 24 Conformité et sécurité du Cloud Gouvernance et gestion des contrôles EMC CONFIDENTIAL—INTERNAL USE ONLY 25 L’application aux plate-forme de Cloud Les Questions de nos Clients • Comment prouver que la plate-forme de Cloud est conforme aux standards de la sécurité • Quels contrôles sont opérés, pouvez-vous fournir des tableaux de bords ? • Comment sécuriser les accédant au Cloud – Administrateurs – Clients – Utilisateurs • Comment gérer les identités des utilisateurs du Cloud (public ou Privé) 26 EMC CONFIDENTIAL—INTERNAL USE ONLY 26 RSA Security Solution for the Cloud RSA Security Analytics Log Collection And Incident Alerting • VMware vCenter & ESX(i) • VMware View • RSA SecurID • Active Directory and All Vblock components Sécurisation de la plate-forme VMware Infrastructure Active Directory VMware View Manager Clients RSA Archer eGRC Main Dashboard Incident Mgt, Compliance EMC CONFIDENTIAL—INTERNAL USE ONLY Incident Mgt Cloud Security & Compliance Traceability Alerting VMware vCenter RSA SecurID for remote authentication and ESX Service Console and vMA Strong Authentication 27 RSA Security Solution for the Cloud Sécurisation des identités RSA Aveksa Identity Governance & Provisionning User repository VMware Infrastructure Multiple Auth Hub RSA Access Manager Access Control Hub RSA Adaptive Authentication Silent User authentication using Risk/Device/Location engine Risk calculation VMware View Manager Clients Active RSA FIM Directory User Federation User Federation VMware vCenter RSA SecurID To enforce Customer Cloud Service Subscription Strong Authentication EMC CONFIDENTIAL—INTERNAL USE ONLY 28 Tableaux de bords de sécurité du Cloud EMC CONFIDENTIAL—INTERNAL USE ONLY 29 Une approche Analytique Analytic Overview EMC CONFIDENTIAL—INTERNAL USE ONLY 30