Transcription
OSSIMOpen Source SecurityInformation ManagementMichaël BLANCEFREI – M2 - SI 11
Enjeux : ExemplesOSSIMLe 6 Décembre 2007 :Les systèmes informatiques de laboratoiresscientifiques américains ont été les cibles d'attaquessophistiquées ayant permis une intrusion. (Oak RidgeNational Laboratory et Los Alamos National Laboratory)Après avoir a priori pénétré une base de donnéescontenant des informations personnelles sur leschercheurs, les pirates ont pu concevoir des emails dephishing accompagnés de programmes malveillants,vraisemblablement des chevaux de Troie.Source : crn.com2
Présentation de la solution OSSIM : Gestion des incidents opérationnels de sécuritéCollection d'outils visant à aider les administrateursréseau à la sécurité informatique, la détectiond'intrusion et de prévention.Identifier la nature des risques et limiter leursfréquences et leurs conséquencesAvantage : OSSIMPrix (Open source - Licence BSD)Non-intrusifInformation organisationnellesConcurrents : Micromuse, NetForensics, Self-Defending Network3
Composants OSSIMComposants d'OSSIM : P0f, détection et l'analyse des changement des OSArpwatch, détection des anomalies (adresse MAC)Ntop, base de données de comportementPads, détection des anomalies de serviceNessus, évaluation de la vulnérabilitéSnort, détection d'intrusion (IDS)Osiris, détection d'intrusion (HIDS)Tcptrack, corrélation des données de sessionSpade, statistiques de détection des anomaliesNagios, surveillance de la disponibilité des servicesMoteur de corrélation et règles séquentielles4
Les alertesOSSIM5
Reporting OSSIMExemple de reporting6
Reporting OSSIMExemple de reporting7
Exemple : SFR Problèmatique : Cartographie de la malveillanceQualification des impacts potentiels ou avérésInfrastructure complexe (20 000 équipements)Taille des fichiers de journalisationRésultats : OSSIM10 000 000 d'évenement - 10 alertes à traiterCorrélations multiples avec des règles séquentiellesRepporting et amélioration du tableau de bordEvolutions : Logs d'antivirusLogs de logiciels de filtrageAutre moteur de correlation (Data mining)Source : 01 Réseaux8
OSSIMMerci de votre attention9
Présentation de la solution OSSIM OSSIM : Gestion des incidents opérationnels de sécurité Collection d'outils visant à aider les administrateurs réseau à la sécurité informatique, la détection d'intrusion et de prévention. Identifier la nature des risques et limiter leurs fréquences et leurs conséquences Avantage :
