concepteur, opÉrateur & intÉgrateur de .présentation du référentiel général d ... iso 27003

Download CONCEPTEUR, OPÉRATEUR & INTÉGRATEUR DE .Présentation du Référentiel Général d ... ISO 27003

Post on 12-Sep-2018

218 views

Category:

Documents

0 download

Embed Size (px)

TRANSCRIPT

  • SECEF DAY 21/09/16 / 1 CONCEPTEUR, OPRATEUR & INTGRATEUR DE SYSTMES CRITIQUES

  • SECEF DAY 21/09/16 / 2 / 2

    INTERVENANTS P1

    Gilles Lehmann - CS

    Responsable SECEF Architecte Scurit Responsable produit : Prelude, Vigilo

    Herv Debar Telecom Sud Paris

    Enseignant-Chercheur Expert en dtection dintrusion et en contre-mesures Co-rdacteur de la RFC 4765 IDMEF Vice Chairman ETSI ISG ISI

    Guillaume Hiet Centrale Suplec

    Enseignant-Chercheur Expert en dtection dintrusion

    Thomas Andrejak - CS

    Responsable Technique : Prelude

  • SECEF DAY 21/09/16 / 3 / 3

    INTERVENANTS P2

    Antoine Cao

    Expert technique SIC au SGMAP/DISIC des Services du Premier ministre

    Laurent Villemin Ministre de la Dfense

    Responsable du Laboratoire Cyber Dtection Systme de DGA MI Responsable MOA projet SECEF

    Partenaires IDMEF :

    Eric Leblond Stamus Network Jouni Viinikka 6Cure Thierry Bettini, Guillaume Guerrin ILEX International Franois Dchelle : Teclib'

  • SECEF DAY 21/09/16 / 4 / 4

    AGENDA

    1. INTRODUCTION

    2. ISI (ETSI) - IDMEF/IODEF (IETF)

    3. Incidents / Threat Intelligence : IODEF(IETF) / STIX (OASIS)

    4. Prsentation du Rfrentiel Gnral dInteroprabilit v2

    5. LIB IDMEF, LIB IODEF, LIBPRELUDE

    P1

  • SECEF DAY 21/09/16 / 5 / 5

    1

    / 5

    INTRODUCTION GILLES LEHMANN - CS

    Dans lpisode prcdent

  • SECEF DAY 21/09/16 / 6 / 6

    LA CYBERCRIMINALIT

    Ct Attaquants

    La cybercriminalit est devenu un march lucratif Il y a beaucoup dargent gagner (avec peu dinvestissement !) Les cybercriminels sorganisent et se coordonnent Les attaques hier unitaires deviennent massives, nationales et internationales

    Ct Cibles

    La surface dattaque et les risques augmentent Il y a beaucoup dargent perdre (mais aussi investir !) On peine sorganiser et se coordonner

    La coordination des forces de cyberdfense est un facteur potentiel

    defficacit (donc de rduction de cot)

    La dtection dintrusion en est un des piliers

  • SECEF DAY 21/09/16 / 7 / 7

    LA RGLEMENTATION

    LPM 2014-2019 - Premiers arrts (2016)

    Oprateurs dImportance Vitale

    Secteurs : alimentation, sant, eau, nergie lectrique, gaz naturel, hydrocarbures ptroliers, transports terrestre | maritime et fluvial | arien

    Directive europenne NIS (Network and Information Security) 06/07/16

    Renforcement des capacits Cyber nationales Cadre de coopration entre tats membres

    Rseau de CIRST , partage dinformation sur risques et vulnrabilits

    Renforcement scurit des oprateurs de services essentiels

    Obligations

    Dtection et gestion des risques Notification des incidents Mesure de scurit et audit Coopration, partage dinformations

  • SECEF DAY 21/09/16 / 8 / 8

    POURQUOI DES STANDARDS ?

    Qualit

    Un standard fait toujours lobjet dun travail ouvert et dun consensus

    Interoprabilit

    Coopration nationale et internationale

    Meilleure ractivit / efficacit

    Partager la connaissance des risques Automatiser les actions Corrler les informations

    Mesurer / connatre / comprendre

    Statistiques / Comparaison / Evolution Apprendre / Analyser

    Optimiser les cots !

  • SECEF DAY 21/09/16 / 9 / 9

    DTECTION DFINITIONS

    Journal / Evnement / Message

    Une trace brute , un log, etc.

    Alerte

    Un vnement/trace considr comme notable ou suspicieux Exemple :

    tentative dauthentification choue sur un serveur

    trame rseau suspecte identifie par une sonde

    virus dans un courriel interne

    attaque DOS sur le relais de messagerie

    Incident / INCIDENT

    Une alerte ou un ensemble dalertes peuvent caractriser une attaque Exemple :

    Depuis une semaine nous avons subi des tentatives dintrusion multiples en provenance de tel pays. La principale technique utilise repose sur une pice jointe malveillante envoye lensemble des collaborateurs. Etc.

  • SECEF DAY 21/09/16 / 10 / 10

    IDMEF : RFC 4765

    Intrusion Detection Message Exchange Format The purpose of the Intrusion Detection Message

    Exchange Format (IDMEF) is to define data formats and exchange procedures for sharing information of interest to intrusion detection and response systems and to the management systems that may need to interact with them.

    IODEF : RFC 5070

    Incident Object Definition Exchange Format The Incident Object Description Exchange Format

    (IODEF) is a format for representing computer security information commonly exchanged between Computer Security Incident Response Teams (CSIRTs)

    LES FORMATS IDMEF ET IODEF

  • SECEF DAY 21/09/16 / 11 / 11

    TRACES, ALERTES, INCIDENTS

    A

    Alertes

    Incidents

    Alertes

    Traces

    Journaux

    Sondes

    SIEM

    Parseur L

    A

    I

    I I

    A

    Corrlation Corrlation

    Corrlations

    SOC, CERT, SIEM de SIEM

  • SECEF DAY 21/09/16 / 12 / 12

    Le format IDMEF

    Format de description dune alerte

    RFC = 130 pages

    Dfinitions :

    33 classes, 108 attributs 260 possibilits

    Exemple :

    implmentation XML et sa DTD

    Plusieurs exemples dalertes.

  • SECEF DAY 21/09/16 / 13 / 13

    SCHMA DE CLASSES IDMEF

    Navigateur RFC disponible sur www.secef.net

  • SECEF DAY 21/09/16 / 14 / 14

    Le format IODEF

    Format de description dun incident

    RFC = 168 pages (v2)

    Dfinitions :

    66 classes, 135 attributs > 300 possibilits

    Exemple :

    implmentation XML et sa DTD

    Plusieurs exemples dincidents.

  • SECEF DAY 21/09/16 / 15 / 15

    SCHMA DE CLASSES IODEF

    Navigateur RFC disponible sur www.secef.net

  • SECEF DAY 21/09/16 / 16 / 16

    LES OBJECTIFS DU PROJET SECEF

    Promotion des standards de cyberscurit IETF

    IDMEF : Intrusion Detection Message Exchange Format IODDEF : Incident Object Definition Exchange Format

    Par extension, tude des formats tierces

    Indicateurs scurit : ISI/ETSI Alertes : CEF, LEEF, CEE, etc. Threat intelligence : CTI (STIX, TAXII, CyBoX), OpenIOC, etc.

    Rflexion sur les volutions de ces formats

  • SECEF DAY 21/09/16 / 17 / 17

    LE PROJET SECEF

    CONSORTIUM

    Pilotage

    Collaboration

    Financement

    Dure

  • SECEF DAY 21/09/16 / 18 / 18

    LE PROJET SECEF : LES AVANCES

    Etude des principaux formats dalertes du march

    Mise en vidence de la richesse du format IDMEF Spcification des passerelles inter-formats

    Rflexion sur les volutions du format IDMEF v2

    Groupe de travail avec DGA-MI et COSSI Rdaction dune premire spcification v2 en cours de relecture

    Promotion des formats

    Mise en place du site SECEF (www.secef.net) Publication de tutoriaux Publication des bibliothques IDMEF et IODEF ainsi que le navigateur RFC (GitHub) Sminaires, confrences, SECEF DAY 2015/2016, etc.

    Adoption des formats

    Inclusion au sein du Rfrentiel Gnral dInteroprabilit v2 Sondes Open-Source Premiers partenaires IDMEF

  • SECEF DAY 21/09/16 / 19 / 19

    IDMEF VS CONCURRENTS ALERTES (RAPPEL)

    Source : https://www.researchgate.net/publication/305620102_Etude_comparative_des_formats_d%27alertes

  • SECEF DAY 21/09/16 / 20 / 20

    2

    / 20

    ISI (ETSI) / IDMEFIODEF (IETF) HERV DEBAR TELECOM SUD PARIS THOMAS ANDREJAK - CS

  • SECEF DAY 21/09/16 / 21 / 21

    QUEST CE QUE ISI (INFORMATION SECURITY INDICATORS)

    Un groupe de travail (ISG Industry Specification Group) de lETSI

    Participation europenne

    Franaise: G2C, IMT, Thals, BNP, Allemande: Fraunhofer Fokus Italienne: Tlcom Italia

    Avec le support des diffrents clubs R2GS

  • SECEF DAY 21/09/16 / 22 / 22

    MOTIVATIONS

    Mesurer ltat de scurit oprationnelle dun environnement

    Obtenir des informations globales sur ltat de scurit oprationnelle

    dun secteur industriel

    Comparer son niveau de scurit avec la rfrence du secteur.

  • SECEF DAY 21/09/16 / 23 / 23

    PAYSAGE NORMATIF

    Security policy

    ISO 27002 or NIST 800-53

    Act Action Plans

    Event Model

    Indicators

    Reaction Plans

    Forensics Contracts Projects Phys. Sec.

    BCP Risk Analysis Protect. Prof.

    2

    ISO 27004 or NIST 800-55

    ISO 27035 or NIST 800-61

    Spcifications compltes

    3

    Security Table

    4

    1

    Implementation frameworks

    Global frameworks

    Base (or technical) frameworks

    Spe

    cifi

    c re

    fere

    nce

    fr

    amew

    ork

    s

    MITRE CAPEC

    MITRE CEE (CLS/CLR)

    NIST 800-126 (SCAP)

    Glossary

    MITRE CEE

    US CAG

    IETF RFC 4765/ 5070/6045/5424

    Spcifications partielles - MCS

    ISO 27003 or NIST 800-37

    NIST 800-92 NIST 800-137

    IETF RFC 3227 IETF RFC 2350

    ISO 20000

    ISO 15408

    NIST 800-86

    Cobit V4.1

  • SECEF DAY 21/09/16 / 24 / 24

    VUE GLOBALE

    Real

    events

    Security prevention measures

    Event detection measures

    Fake events

    (Simulation)

    Event reaction measures

    Detected

    events

    Residual risk (event model-centric vision)

  • SECEF DAY 21/09/16 / 25 / 25

    LES DOCUMENTS

    IS

Recommended

View more >