OSSIR Bretagne - Décembre 2013

Tufin Security Orchestration – Optimisation de règles de FireWalls

La société commercialise 3 produits qui viennent collecter les logs et les configurations des firewalls. L’un s’occupe de la visualisation des règles des firewalls, et l’implémentation des politiques de sécurité dans l’outil pour contrôler sa bonne application dans les configurations des pare-feux en mode réactif.

Par l’analyse des usages sur les pare-feux, l’outil propose des règles plus restreintes que celle en vigeur par rapport aux paquets qui passent par le pare-feux.

Afin d’accompagner les évolutions des politiques, un second outil d’accompagnement du workflow permet d’indiquer les modifications à effectuer dans les règles des pare-feux, et de contrôler la bonne application du changement. Si les admins des pare-feux effectuent des modifications non-conformes à la politique de sécurité, le RSSI reçoit un mail avec l’action à effectuer (autoriser ou non la règle).

Vu que le gros des changements de règles dans les pare-feux sont lié aux applications, la communication est difficile entre developpeurs et sysadmins, l’un parlant utilisateur, l’autre IP et Ports. Une 3ème application « secureapp » fait le lien entre les politiques de sécurité applicatives, et les politiques des pare-feux avec un ensemble de règles pré-renseignés. Ce qui permet de simplifier et de réduire drastiquement le temps d’application des changements dans les politiques.

Nicolas Prigent – Supelec – Visualisation d’événements de Sécurité

La sécurité préventive se base sur le triptyque classique – confidentialité, intégrité, disponibilité. Tout ceci est assez statique, il y a donc un besoin réel d’une sécurité réactive. On veut donc pouvoir détecter la compromission, la 0-day, le comportement anormal. 
Ce type d’analyses se base sur des logs, des tas de logs, en très grand volume, volume qu’il faut protéger et conserver pour d’éventuelles analyses post-mortem.  L’analyse manuelle se heurte vite à la volumétrie des informations traitée, et c’est assez lent et souvent pifométrique. L’analyse automatique à base d’agrégation/correllation est assez rapide et autonome, mais elle est statique, partielle et parfois inefficace.
Il faut donc que le système informatique présente ses événements de sécurité pour faciliter le traitement. La représentation doit forcément s’adapter aux données traités et au profil des utilisateurs.

Et l’aspect cognitif humain est parfois très mal pris en compte. Il faut que ça « saute aux yeux », il est donc possible de se rapprocher d’éléments connus (formes, icônes, etc…), d’une façon particulière d’interagir avec la visualisation (zoom, surbrillance…), et ces éléments sont classifiés dans des « dimensions cognitives » qui sont à prendre en compte dans la visualisation.