concepteur, opÉrateur & intÉgrateur de .présentation du référentiel général d ... iso 27003
Post on 12-Sep-2018
218 views
Embed Size (px)
TRANSCRIPT
SECEF DAY 21/09/16 / 1 CONCEPTEUR, OPRATEUR & INTGRATEUR DE SYSTMES CRITIQUES
SECEF DAY 21/09/16 / 2 / 2
INTERVENANTS P1
Gilles Lehmann - CS
Responsable SECEF Architecte Scurit Responsable produit : Prelude, Vigilo
Herv Debar Telecom Sud Paris
Enseignant-Chercheur Expert en dtection dintrusion et en contre-mesures Co-rdacteur de la RFC 4765 IDMEF Vice Chairman ETSI ISG ISI
Guillaume Hiet Centrale Suplec
Enseignant-Chercheur Expert en dtection dintrusion
Thomas Andrejak - CS
Responsable Technique : Prelude
SECEF DAY 21/09/16 / 3 / 3
INTERVENANTS P2
Antoine Cao
Expert technique SIC au SGMAP/DISIC des Services du Premier ministre
Laurent Villemin Ministre de la Dfense
Responsable du Laboratoire Cyber Dtection Systme de DGA MI Responsable MOA projet SECEF
Partenaires IDMEF :
Eric Leblond Stamus Network Jouni Viinikka 6Cure Thierry Bettini, Guillaume Guerrin ILEX International Franois Dchelle : Teclib'
SECEF DAY 21/09/16 / 4 / 4
AGENDA
1. INTRODUCTION
2. ISI (ETSI) - IDMEF/IODEF (IETF)
3. Incidents / Threat Intelligence : IODEF(IETF) / STIX (OASIS)
4. Prsentation du Rfrentiel Gnral dInteroprabilit v2
5. LIB IDMEF, LIB IODEF, LIBPRELUDE
P1
SECEF DAY 21/09/16 / 5 / 5
1
/ 5
INTRODUCTION GILLES LEHMANN - CS
Dans lpisode prcdent
SECEF DAY 21/09/16 / 6 / 6
LA CYBERCRIMINALIT
Ct Attaquants
La cybercriminalit est devenu un march lucratif Il y a beaucoup dargent gagner (avec peu dinvestissement !) Les cybercriminels sorganisent et se coordonnent Les attaques hier unitaires deviennent massives, nationales et internationales
Ct Cibles
La surface dattaque et les risques augmentent Il y a beaucoup dargent perdre (mais aussi investir !) On peine sorganiser et se coordonner
La coordination des forces de cyberdfense est un facteur potentiel
defficacit (donc de rduction de cot)
La dtection dintrusion en est un des piliers
SECEF DAY 21/09/16 / 7 / 7
LA RGLEMENTATION
LPM 2014-2019 - Premiers arrts (2016)
Oprateurs dImportance Vitale
Secteurs : alimentation, sant, eau, nergie lectrique, gaz naturel, hydrocarbures ptroliers, transports terrestre | maritime et fluvial | arien
Directive europenne NIS (Network and Information Security) 06/07/16
Renforcement des capacits Cyber nationales Cadre de coopration entre tats membres
Rseau de CIRST , partage dinformation sur risques et vulnrabilits
Renforcement scurit des oprateurs de services essentiels
Obligations
Dtection et gestion des risques Notification des incidents Mesure de scurit et audit Coopration, partage dinformations
SECEF DAY 21/09/16 / 8 / 8
POURQUOI DES STANDARDS ?
Qualit
Un standard fait toujours lobjet dun travail ouvert et dun consensus
Interoprabilit
Coopration nationale et internationale
Meilleure ractivit / efficacit
Partager la connaissance des risques Automatiser les actions Corrler les informations
Mesurer / connatre / comprendre
Statistiques / Comparaison / Evolution Apprendre / Analyser
Optimiser les cots !
SECEF DAY 21/09/16 / 9 / 9
DTECTION DFINITIONS
Journal / Evnement / Message
Une trace brute , un log, etc.
Alerte
Un vnement/trace considr comme notable ou suspicieux Exemple :
tentative dauthentification choue sur un serveur
trame rseau suspecte identifie par une sonde
virus dans un courriel interne
attaque DOS sur le relais de messagerie
Incident / INCIDENT
Une alerte ou un ensemble dalertes peuvent caractriser une attaque Exemple :
Depuis une semaine nous avons subi des tentatives dintrusion multiples en provenance de tel pays. La principale technique utilise repose sur une pice jointe malveillante envoye lensemble des collaborateurs. Etc.
SECEF DAY 21/09/16 / 10 / 10
IDMEF : RFC 4765
Intrusion Detection Message Exchange Format The purpose of the Intrusion Detection Message
Exchange Format (IDMEF) is to define data formats and exchange procedures for sharing information of interest to intrusion detection and response systems and to the management systems that may need to interact with them.
IODEF : RFC 5070
Incident Object Definition Exchange Format The Incident Object Description Exchange Format
(IODEF) is a format for representing computer security information commonly exchanged between Computer Security Incident Response Teams (CSIRTs)
LES FORMATS IDMEF ET IODEF
SECEF DAY 21/09/16 / 11 / 11
TRACES, ALERTES, INCIDENTS
A
Alertes
Incidents
Alertes
Traces
Journaux
Sondes
SIEM
Parseur L
A
I
I I
A
Corrlation Corrlation
Corrlations
SOC, CERT, SIEM de SIEM
SECEF DAY 21/09/16 / 12 / 12
Le format IDMEF
Format de description dune alerte
RFC = 130 pages
Dfinitions :
33 classes, 108 attributs 260 possibilits
Exemple :
implmentation XML et sa DTD
Plusieurs exemples dalertes.
SECEF DAY 21/09/16 / 13 / 13
SCHMA DE CLASSES IDMEF
Navigateur RFC disponible sur www.secef.net
SECEF DAY 21/09/16 / 14 / 14
Le format IODEF
Format de description dun incident
RFC = 168 pages (v2)
Dfinitions :
66 classes, 135 attributs > 300 possibilits
Exemple :
implmentation XML et sa DTD
Plusieurs exemples dincidents.
SECEF DAY 21/09/16 / 15 / 15
SCHMA DE CLASSES IODEF
Navigateur RFC disponible sur www.secef.net
SECEF DAY 21/09/16 / 16 / 16
LES OBJECTIFS DU PROJET SECEF
Promotion des standards de cyberscurit IETF
IDMEF : Intrusion Detection Message Exchange Format IODDEF : Incident Object Definition Exchange Format
Par extension, tude des formats tierces
Indicateurs scurit : ISI/ETSI Alertes : CEF, LEEF, CEE, etc. Threat intelligence : CTI (STIX, TAXII, CyBoX), OpenIOC, etc.
Rflexion sur les volutions de ces formats
SECEF DAY 21/09/16 / 17 / 17
LE PROJET SECEF
CONSORTIUM
Pilotage
Collaboration
Financement
Dure
SECEF DAY 21/09/16 / 18 / 18
LE PROJET SECEF : LES AVANCES
Etude des principaux formats dalertes du march
Mise en vidence de la richesse du format IDMEF Spcification des passerelles inter-formats
Rflexion sur les volutions du format IDMEF v2
Groupe de travail avec DGA-MI et COSSI Rdaction dune premire spcification v2 en cours de relecture
Promotion des formats
Mise en place du site SECEF (www.secef.net) Publication de tutoriaux Publication des bibliothques IDMEF et IODEF ainsi que le navigateur RFC (GitHub) Sminaires, confrences, SECEF DAY 2015/2016, etc.
Adoption des formats
Inclusion au sein du Rfrentiel Gnral dInteroprabilit v2 Sondes Open-Source Premiers partenaires IDMEF
SECEF DAY 21/09/16 / 19 / 19
IDMEF VS CONCURRENTS ALERTES (RAPPEL)
Source : https://www.researchgate.net/publication/305620102_Etude_comparative_des_formats_d%27alertes
SECEF DAY 21/09/16 / 20 / 20
2
/ 20
ISI (ETSI) / IDMEFIODEF (IETF) HERV DEBAR TELECOM SUD PARIS THOMAS ANDREJAK - CS
SECEF DAY 21/09/16 / 21 / 21
QUEST CE QUE ISI (INFORMATION SECURITY INDICATORS)
Un groupe de travail (ISG Industry Specification Group) de lETSI
Participation europenne
Franaise: G2C, IMT, Thals, BNP, Allemande: Fraunhofer Fokus Italienne: Tlcom Italia
Avec le support des diffrents clubs R2GS
SECEF DAY 21/09/16 / 22 / 22
MOTIVATIONS
Mesurer ltat de scurit oprationnelle dun environnement
Obtenir des informations globales sur ltat de scurit oprationnelle
dun secteur industriel
Comparer son niveau de scurit avec la rfrence du secteur.
SECEF DAY 21/09/16 / 23 / 23
PAYSAGE NORMATIF
Security policy
ISO 27002 or NIST 800-53
Act Action Plans
Event Model
Indicators
Reaction Plans
Forensics Contracts Projects Phys. Sec.
BCP Risk Analysis Protect. Prof.
2
ISO 27004 or NIST 800-55
ISO 27035 or NIST 800-61
Spcifications compltes
3
Security Table
4
1
Implementation frameworks
Global frameworks
Base (or technical) frameworks
Spe
cifi
c re
fere
nce
fr
amew
ork
s
MITRE CAPEC
MITRE CEE (CLS/CLR)
NIST 800-126 (SCAP)
Glossary
MITRE CEE
US CAG
IETF RFC 4765/ 5070/6045/5424
Spcifications partielles - MCS
ISO 27003 or NIST 800-37
NIST 800-92 NIST 800-137
IETF RFC 3227 IETF RFC 2350
ISO 20000
ISO 15408
NIST 800-86
Cobit V4.1
SECEF DAY 21/09/16 / 24 / 24
VUE GLOBALE
Real
events
Security prevention measures
Event detection measures
Fake events
(Simulation)
Event reaction measures
Detected
events
Residual risk (event model-centric vision)
SECEF DAY 21/09/16 / 25 / 25
LES DOCUMENTS
IS