Maîtriser les risques opérationnelsde ses applicationsQuels standards sont faits pour vous ? Joël Winteregg CEO-CTO, CISSP...
Mais c’est qui lui ? Chercheur dans le domaine de la sécurité (IDS)  et de l’analyse des logs (HEIG-VD) Co-Fondateur de ...
Agenda    Risques opérationnels    Besoin de traces ?    Le problème    Initiative XDAS (Open Group)    Initiative CE...
Risques Opérationnels Risques liés à une inadéquation ou à une défaillance  – Des procédures métier  – Du personnel de l’...
Besoins de traces ?                                   Compliance       Troubleshooting                                    ...
Où sont ces traces ?                                                                  Software              Logger Standar...
Le Problème Il y a autant de types de traces que de  développeurs...   – Cisco WLC   Cold Start-sysUpTimeInstance = 14:1:...
Le Problème Les traces daudit sont noyées dans les traces de  debug (pas de canal séparé) Les activités critiques ne son...
Les solutions              Aujourdhui                                                   Demain                            ...
Initiative XDAS Initiée et gérée par Statut: définition / draft Objectifs :   – Modèle de données: champs à disposition...
Modèle de données                                                       Source: XDAS, D. Corlette - Novell 27.10.2011   Ap...
Exemple:                   ADDHCP 02/07/09,15:57:04,Assign,10.192.68.96,                            HOSTX.mydomain.com,00:...
XDAS : Aperçu    Orienté objet    Simple (peu de champs)    Extensible (possibilité dajouter des champs)    Taxonomie ...
Initiative CEE Initiée et gérée par le Statut : définition / draft Objectifs :   – Modèle de données : champs à disposi...
CEE: Aperçu Modèle de données: time, id, p_sys_id,  p_prod_id, action, status, rec_id, crit, end_time,  dur, tags Pas de...
Synergies ou concurrence ? XDAS: Vision réduite au minimum nécessaire CEE: Vision large et complète                    X...
Synergies ou concurrence ? Beaucoup de membres font parties des deux  organisations Objectif initial   – Reprendre XDAS ...
Avis Personnel Approche complémentaire sur certains points Modèle de données et taxonomie   – CEE : Nécessite une connai...
Standards utilisables aujourdhui?  XDAS4J – prototypage du standard XDAS              http://xdas4j.codehaus.org/demo/ 27....
Participez !! Aidez nous à unifier ces initiatives :   – CEE: Donnez votre avis, commentez        http://cee.mitre.org/di...
Conclusion Les logs existent depuis le début de  linformatique Toujours pas de solution efficace afin de générer  des tr...
Vos questions ?27.10.2011   Application Security Forum - Western Switzerland - 2011   22
Merci!             Joël Winteregg             winteregg@netguardians.ch             twitter.com/j_winteregg             tw...
Prochain SlideShare
Chargement dans…5
×

ASFWS 2011 : Maîtriser les risques opérationnels de ses applications. Quels standards sont faits pour vous?

1 087 vues

Publié le

Introduction des risques opérationnels au niveau applicatifs (quels sont-ils, d’où proviennent-ils), comment les traces d’audit permettent de mieux contrôler ces risques, quels sont les initiatives dans le domaine, présentation des initiatives de l’Open Group (XDAS,cf.http://xdas4j.codehaus.org/slides/XDAS_toronto.pdf) et du MITRE (CEE), comment utiliser ces standards aujourd’hui.

Application Security Forum 2011
27.10.2011 - Yverdon-les-Bains (Suisse)
Conférencier: Joël Winteregg

Publié dans : Technologie
1 commentaire
1 j’aime
Statistiques
Remarques
Aucun téléchargement
Vues
Nombre de vues
1 087
Sur SlideShare
0
Issues des intégrations
0
Intégrations
2
Actions
Partages
0
Téléchargements
51
Commentaires
1
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

ASFWS 2011 : Maîtriser les risques opérationnels de ses applications. Quels standards sont faits pour vous?

  1. 1. Maîtriser les risques opérationnelsde ses applicationsQuels standards sont faits pour vous ? Joël Winteregg CEO-CTO, CISSP NetGuardians SA Application Security Forum Western Switzerland 27 octobre 2011 - HEIGVD Yverdon-les-Bains http://appsec-forum.ch
  2. 2. Mais c’est qui lui ? Chercheur dans le domaine de la sécurité (IDS) et de l’analyse des logs (HEIG-VD) Co-Fondateur de NetGuardians SA Customers Partners Actif dans différents efforts de standardisation des traces d’activités (XDAS, CEE) 27.10.2011 Application Security Forum - Western Switzerland - 2011 2
  3. 3. Agenda Risques opérationnels Besoin de traces ? Le problème Initiative XDAS (Open Group) Initiative CEE (MITRE) Synergies ? Conclusion 27.10.2011 Application Security Forum - Western Switzerland - 2011 3
  4. 4. Risques Opérationnels Risques liés à une inadéquation ou à une défaillance – Des procédures métier – Du personnel de l’entreprise – Des systèmes internes Mesures de réduction des risques 1ère ligne de défense: Sécurité Opérationnelle 2ème ligne de défense: Contrôle Interne 3ème ligne de défense: Audit 27.10.2011 Application Security Forum - Western Switzerland - 2011 4
  5. 5. Besoins de traces ? Compliance Troubleshooting Forensics DebuggingSecurity Internal Control Audit 1ère 2ème 3ème Ligne Ligne Ligne 27.10.2011 Application Security Forum - Western Switzerland - 2011 5
  6. 6. Où sont ces traces ? Software Logger Standard Logger daudit (log4j, etc.) (xdas4j, etc.) Traces de debug Traces d’audit 27.10.2011 Application Security Forum - Western Switzerland - 2011 6
  7. 7. Le Problème Il y a autant de types de traces que de développeurs... – Cisco WLC Cold Start-sysUpTimeInstance = 14:1:34:46.00 snmpTrapOID.0 = bsnDot11StationAssociate bsnStationAPMacAddr.0 = 0:b:85:8f:5c:e0 bsnStationAPIfSlotId.0 = 0 bsnStationMacAddress.0 = 0:19:e3:6:ae:e9 bsnStationUserName.0 = user_x@netguardians.ch – Switch Nortel CPU5 [10/06/08 08:41:36] SSH INFO SSH: User Manager login /pty/sshd1. from 10.192.49.110 – Application Bancaire 201107220000959634.02;20080109;16:33:54:628;9;GB0010001;INPUTTER;FUNDS.TRANSF ER;1 I;FT08009000LO;;169.254.127.177 27.10.2011 Application Security Forum - Western Switzerland - 2011 7
  8. 8. Le Problème Les traces daudit sont noyées dans les traces de debug (pas de canal séparé) Les activités critiques ne sont pas tracées Les traces sont régulièrement effacées Le langage utilisé nest pas uniforme Admin login User Manager login Root logon successfully Root logon attempt successful 27.10.2011 Application Security Forum - Western Switzerland - 2011 8
  9. 9. Les solutions Aujourdhui Demain XDAS, CEE, etc. 27.10.2011 Application Security Forum - Western Switzerland - 2011 9
  10. 10. Initiative XDAS Initiée et gérée par Statut: définition / draft Objectifs : – Modèle de données: champs à disposition – Taxonomie: mots à disposition – Format: structure des messages (JSON, XML, etc.) https://www.opengroup.org/projects/security/xdas/ 27.10.2011 Application Security Forum - Western Switzerland - 2011 10
  11. 11. Modèle de données Source: XDAS, D. Corlette - Novell 27.10.2011 Application Security Forum - Western Switzerland - 2011 11
  12. 12. Exemple: ADDHCP 02/07/09,15:57:04,Assign,10.192.68.96, HOSTX.mydomain.com,00:40:96:A9:50:38 Action: { Time: "02/07/09 15:57:04", Name: "Assigned IP Address", actionTax: "Address Assigned", outcomeTax: "Successful" }Initiator: { Target: { Host: { Host: { Name: "HostX.mydomain.com" Name: "ADDHCP" Address: { } Mac: "00:40:96:A9:50:38" Service: { } Name: "DHCP", Address: { Component : "Microsoft ipv4: "10.192.68.96" Windows DHCP server" } } } Observer: { } } Host: { Name: "ADDHCP" } Service: { Name: "DHCP", Component : "Microsoft Windows DHCP server" } } 27.10.2011 Application Security Forum - Western Switzerland - 2011 12
  13. 13. XDAS : Aperçu Orienté objet Simple (peu de champs) Extensible (possibilité dajouter des champs) Taxonomie inspirée du vocabulaire: une source effectue une action (ayant un statut) sur une cible user authenticate attempt on server source action statut cible 27.10.2011 Application Security Forum - Western Switzerland - 2011 13
  14. 14. Initiative CEE Initiée et gérée par le Statut : définition / draft Objectifs : – Modèle de données : champs à disposition et profiles en fonction des applications – Taxonomie : mots à disposition – Format : structure des messages (JSON, XML, etc.) – Transport : protocole de transfert des messages – Recommandations : best practice des actions à tracer http://cee.mitre.org/ 27.10.2011 Application Security Forum - Western Switzerland - 2011 14
  15. 15. CEE: Aperçu Modèle de données: time, id, p_sys_id, p_prod_id, action, status, rec_id, crit, end_time, dur, tags Pas de modèle conceptuel dun événement Modèle adaptable en fonction de domaines ou fonctions (notion de profiles) Extensible (gestion des extensions via les profiles) Taxonomie par Tags 27.10.2011 Application Security Forum - Western Switzerland - 2011 15
  16. 16. Synergies ou concurrence ? XDAS: Vision réduite au minimum nécessaire CEE: Vision large et complète XDAS Scope Source: CEE, http://cee.mitre.org 27.10.2011 Application Security Forum - Western Switzerland - 2011 16
  17. 17. Synergies ou concurrence ? Beaucoup de membres font parties des deux organisations Objectif initial – Reprendre XDAS pour le modèle de données du CEE Résultat: Actuellement un échec – Le CEE propose un concept de modèle de données complètement différent de XDAS 27.10.2011 Application Security Forum - Western Switzerland - 2011 17
  18. 18. Avis Personnel Approche complémentaire sur certains points Modèle de données et taxonomie – CEE : Nécessite une connaissance des attributs (pas de modèle conceptuel simple à retenir) – CEE : Lourde gestion de profiles (catégorie de messages) – CEE : Taxonomie difficile à gérer (tags) – XDAS : Approche plus légère et plus intuitive 27.10.2011 Application Security Forum - Western Switzerland - 2011 18
  19. 19. Standards utilisables aujourdhui? XDAS4J – prototypage du standard XDAS http://xdas4j.codehaus.org/demo/ 27.10.2011 Application Security Forum - Western Switzerland - 2011 19
  20. 20. Participez !! Aidez nous à unifier ces initiatives : – CEE: Donnez votre avis, commentez http://cee.mitre.org/discussiongroup.html – XDAS: Testez, donnez votre avis, participez http://xdas4j.codehaus.org/ j.winteregg@opengroup.org 27.10.2011 Application Security Forum - Western Switzerland - 2011 20
  21. 21. Conclusion Les logs existent depuis le début de linformatique Toujours pas de solution efficace afin de générer des traces daudit propres Des initiatives sont en cours Testez xdas4j (prototypage) et participez 27.10.2011 Application Security Forum - Western Switzerland - 2011 21
  22. 22. Vos questions ?27.10.2011 Application Security Forum - Western Switzerland - 2011 22
  23. 23. Merci! Joël Winteregg winteregg@netguardians.ch twitter.com/j_winteregg twitter.com/netguardians facebook.com/NetGuardians SLIDES A TELECHARGER PROCHAINEMENT: http://slideshare.net/ASF-WS27.10.2011 Application Security Forum - Western Switzerland - 2011 23

×