Lutte contre la fraude, détection des menaces : le Big Data au

Transcription

Lutte contre la fraude, détection
des menaces : le Big Data au
service de la sécurité
Mardi 5 Novembre 2013
Bernard Montel
Directeur Technique RSA France & EMED
EMC CONFIDENTIAL—INTERNAL USE ONLY
1
Agenda
•  Un peu de vocabulaire
•  Le paysage des nouvelles menaces
•  Une approche analytique (et Big Data) pour :
–  Le contrôle d’accès
–  Le SOC (CIRC) 2ème génération
–  Gouvernance / Conformité du Cloud
•  Q&R
2
Les thèmes
CyberSécurité
http://www.itu.int/en/ITU-T/studygroups/com17/Pages/cybersecurity.aspx
SOC vs CIRC
Risque
Critical Incident Respons Center
Gestion & Temps Réel
Analytique
Big Data
3
How have these evolved
Source: Greg Hogland, HBGary
4
5
6
La Sécurité Contextuelle et Dynamique
Gérée par les risques - capacités d’investigation temps réel
Risques & Contexte
compréhension fine des
risques pour gérer les priorités
Analytique avancée
contexte et visiblité pour
détecter les menaces
Contrôles adaptatifs
dynamiques en fonction du
contexte et du risque
Partage d’information
Sources Internes et Externes d’Information Directement Exploitable
7
Planifiez la Transformation
Contrôle de l’information
- Cartographie et protection des
actifs sensibles
Amélioration de la Gouvernance
- Visibilité des risques IT
- Gestion du changement
- Business continuity
CONTROLE
CONFORMITE
NIVEAU DE MATURITE
Réduire
Identifier
l’exposition au
risque
les attaques
avancées
Etablissement d’une norme
- Logs/Paquets/Comportements
RISQUE IT
Assurer la
résilience
RISQUE METIER
Aligner
les investissements et
les risques
8
Planifiez la Transformation
Implémenter des fonctions de SOC
Alignement avec les risques métier
Avancé
•  Gérer les priorités par Assets/
•  Détection / Réponse sur Incident
Process/ Identités
Atteindre une visibilité totale
•  Information temps réel Interne/Externe
sur les menaces et les risques
CONTROL
COMPLIANCE
IT RISK
BUSINESS RISK
NIVEAU DE MATURITE
Défense
Pro-active
Assurer la
Conformité
Profiter
des nouvelles technologies/
opportunités
9
Les menaces avancées sont différentes
1
Intrusion
2 FURTIVES 3 INTERACTIVES
CIBLEES
Signaux faibles
OBJECTIF
SPECIFIQUE
Début
Attaque
TEMPS
Déplacement latéral
Avance masquée
Fin
Délai de réponse
Fenêtre
d’Attaque
Attaque identifiée
1
Réduire
La Fenêtre
CONTRÖLEES PAR LES
ATTAQUANTS
2
Réponse
Accélérer le Délai de
Réponse
10
Les Solutions RSA
Advanced
Security
SOC
de deuxième
Operations
génération
Identity & Data
Gestion
Protection
d’identités
de Confiance
Détecter et arrêter
les nouvelles
menaces
Sécuriser l’interaction
entre les individus et
l’information
Comprendre et gérer
le risque de
l’entreprise
Lutter contre la fraude
en ligne et la
cybercriminalité
Governance, Risk,
Gouvernance,
& Compliance
RISQUE
et Conformité
FraudFraude
& Risk et
Surveillance
Intelligence
11
Integration et Evolution
Expanded Capabilities
Advanced
Security
SOC
de deuxième
Operations
génération
Connaissance
des Identités
(Context)
Identity
& Data
Gestion
Protection
d’identités de
Confiance
ID
(Gov)
Criticité
des
Assets
(Contexte)
Incident
Workflow &
Reporting
Governance, Risk,
Gouvernance,
& Compliance
Risque
et Conformité
Menaces
Menaces
&
Analytique
FraudFraude
& Risket
Intelligence
Surveillance
12
Les nouveaux enjeux de la
gestion d’identités de
confiance
L’évolution de l’authentification
13
L’authentification de nouvelle génération
Approche binaire
Intermitant
1 à 3 Facteurs
Règles statiques
Interne
Isolé
Architecture
traditionnelle
Confiance continue
Poly-facteurs
Contextuel
Intelligent
Service Fédéré
14
Le Contrôle d’accès par analyse de risque
Identity
Access Control
Risk
Evaluation
15
L’identité de confiance nécessite un profile riche :
Authentification par Analyse de Contexte : Auth Manager v8
User name
Password
LOG IN
Active Input from user ,
username, password,
security questions, token,
out of band phone/email/SMS
Internal threats ,
log data,
organizational roles and
privileges, etc
IP information ,
geo IP location, etc
Behavior Profile
transaction information,
number of days after last
login or password change
click stream patterns, etc
Channel Information ,
wireless access points,
GPS location, etc
Device profile
History, Browser
and machine information,
digital certificate, etc
Fraud Intelligence ,
IP Blacklists, etc
16
Authentification évolutive et basée
sur le risque
Risk
Engine
Cloud privé
Action
utilisateur
À deux
AUTHENTICATION
facteurs
MANAGER ET SECURID
Téléch. données
Lecture des
du
pipeline de ventes
e-mails
Nom d’utilisateur Authentification
et mot de passe supplémentaire
Profil des
périphériques
ADAPTIVE
AUTHENTICATION
Réseau
antifraude
Profil
comportemental
des utilisateurs
Référentiel sur les
risques orienté Big Data
Hors
bande
Cloud public
Accès à un
compte bancaire
Transfert
de fonds
Questions
d’identification
Nom d’utilisateur et Authentification
supplémentaire
mot de passe
17
Les SOC de nouvelle
génération
L’analytique (et le BigData) au service
de l’investigation
18
RSA Advanced Security Operations
RSA Security Analytics, RSA Advanced Cyber Defense
Services
•  Découverte, investigation, et
réponse aux menaces et
attaques avancées
•  Création d’un WareHouse de
la sécurté pour l’analyse , le
reporting et l’investigation
long-terme.
•  Construction et gestion d’un
SOC avancé
19
Security Analytics
COLLECTE DISTRIBUÉE
Données
d’enrichissement
EUROPE
Logs
Paquets
ANALYSE
PRÉDICTIVE
AMÉRIQUE DU NORD
RÉEL
SECURITY TEMPS
ANALYTICS
ENTREPÔT
DÉCISIONNEL
ASIE
Reporting et
alertes
Traitement
d’événements
complexes
Investigation
Recherche
textuelle
Analyse
prédictive
des malwares
Administration
Corrélation
Balisage des
métadonnées
Gestion des
incidents
Criticité
des
ressources
Conformité
ARCHER
eGRC SUITE
LONG TERME
INFORMATIONS EN TEMPS RÉEL
Informations sur les menaces – Règles – Analyseurs – Alertes – Flux – Appl. – Services d’annuaire – Rapports et
actions personnalisées
20
RSA Archer Asset Criticality Intelligence
Gestion des Assets critiques
Asset Intelligence
RSA ACI
Info IT
Contexte Biz
ü  Adresse IP
ü  Niveau de Criticité
ü  Département
ü  Sité
List des Assets
Resp. Equipement
Type d’équipement
Resp Biz
Device IDs
Département
Contenu (DLP)
Processus
Categorie
RPO / RTO
IP/MAC Add
Niveau
Criticité
RSA Security
Analytics
Security Analytics
contient ainsi le détail
des assets et le
contexte Business pour
une meilleure analyse et
priorité des alertes
CMDBs, DLP scans, etc.
21
RSA Archer AIMS
Gestion des incidents de sécurité
Business &
Security Users
RSA AIMS
RSA Security Analytics
Capture & Analyze – NW Packets, Logs & Threat
Feeds
Alerts Based on
Rules
Group Alerts
Manage
Workflows
Provide
Visibility
22
RSA ECAT
Détection et vérification de malware sur poste
RSA ECAT
•  ECAT= Enterprise Compromise Assessment Tool
•  Détection, Analyse & Rémetion de logiciels malveillants sur
postes de travail
•  Détection sans signature de malware
•  Visibilité avancée de l’état de compromission d’un poste
•  Base de connaissance enrichie pour une détection rapide
•  Augmentation de l’éfficacité d’un SOC/CIRC
23
Adding Identity Context to the Investigation
Asset
Context
Incident
Management
Security
Vulnerability Risk Operations
Management
Management
Identity Context
Job title App Entitlements Roles
Manager Employee Type
Windows Clients/
Servers
RSA Archer for
Security
Operations
SharePoint
File Servers
Databases
RSA Aveksa
RSA Data
Discovery
Enabled by
RSA DLP
ANALYTICS
RSA
ECAT
NAS/SAN
Endpoints
RSA Live Intelligence
Threat Intelligence – Rules – Parsers – Alerts – Feeds – Apps – Directory Services – Reports and Custom Actions
24
Conformité et sécurité du Cloud
Gouvernance et gestion des contrôles
25
L’application aux plate-forme de Cloud
Les Questions de nos Clients
•  Comment prouver que la plate-forme de Cloud est
conforme aux standards de la sécurité
•  Quels contrôles sont opérés, pouvez-vous fournir des
tableaux de bords ?
•  Comment sécuriser les accédant au Cloud
–  Administrateurs
–  Clients
–  Utilisateurs
•  Comment gérer les identités des utilisateurs du Cloud
(public ou Privé)
26
26
RSA Security Solution for the Cloud
Log Collection
And Incident Alerting
•  VMware vCenter & ESX(i)
•  VMware View
•  RSA SecurID
•  Active Directory
and All Vblock components
Sécurisation de
la plate-forme
VMware
Infrastructure
Active
Directory
VMware
View Manager
Clients
RSA Archer eGRC
Main Dashboard
Incident Mgt, Compliance
Incident Mgt
Cloud Security
& Compliance
Traceability
Alerting
VMware
vCenter
RSA SecurID
for remote
authentication and
ESX Service
Console and vMA
Strong
Authentication
27
RSA Security Solution for the Cloud
Sécurisation
des identités
RSA Aveksa
Identity Governance & Provisionning
User repository
VMware
Infrastructure
Multiple Auth Hub
RSA Access Manager
Access Control Hub
RSA Adaptive Authentication
Silent User authentication using
Risk/Device/Location engine
Risk calculation
VMware
View Manager
Clients
Active
RSA
FIM
Directory
User Federation
User Federation
VMware
vCenter
RSA SecurID
To enforce Customer
Cloud Service
Subscription
Strong
Authentication
28
Tableaux de bords de sécurité du Cloud
29
Une approche Analytique
Analytic Overview
30

Lutte contre la fraude, détection des menaces : le Big Data au

Transcription

Documents pareils

Evaluation d`EMC 4ème, collège Le Cèdre, Le Vésinet. Trois

PHILIPS AFFINITI

Flash EMC - Les bourses sur des niveaux records

Cliquez-ICI - PneuBoat.com

• GRETA Pyrénées Orientales (PMSP)

Les rendez-vous des droits à la Caf du Loiret

Bac Pro EDPI

Association Intercommunale Pour l`Insertion Rue Verte 59470

CLUSES TIP TOP EMPLOI Atelier d`apprentissage autour