23
Application Security Forum Western Switzerland 27 octobre 2011 - HEIGVD Yverdon-les-Bains http://appsec-forum.ch Maîtriser les risques opérationnels de ses applications Quels standards sont faits pour vous ? Joël Winteregg CEO-CTO, CISSP NetGuardians SA

ASFWS 2011 : Maîtriser les risques opérationnels de ses applications. Quels standards sont faits pour vous?

Embed Size (px)

DESCRIPTION

Introduction des risques opérationnels au niveau applicatifs (quels sont-ils, d’où proviennent-ils), comment les traces d’audit permettent de mieux contrôler ces risques, quels sont les initiatives dans le domaine, présentation des initiatives de l’Open Group (XDAS,cf.http://xdas4j.codehaus.org/slides/XDAS_toronto.pdf) et du MITRE (CEE), comment utiliser ces standards aujourd’hui. Application Security Forum 2011 27.10.2011 - Yverdon-les-Bains (Suisse) Conférencier: Joël Winteregg

Citation preview

Page 1: ASFWS 2011 : Maîtriser les risques opérationnels de ses applications. Quels standards sont faits pour vous?

Application Security ForumWestern Switzerland

27 octobre 2011 - HEIGVD Yverdon-les-Bainshttp://appsec-forum.ch

Maîtriser les risques opérationnels de ses applicationsQuels standards sont faits pour vous ?

Joël WintereggCEO-CTO, CISSPNetGuardians SA

Page 2: ASFWS 2011 : Maîtriser les risques opérationnels de ses applications. Quels standards sont faits pour vous?

Chercheur dans le domaine de la sécurité (IDS)et de l’analyse des logs (HEIG-VD)

Co-Fondateur de NetGuardians SA

Actif dans différents efforts de standardisation des traces d’activités (XDAS, CEE)

Mais c’est qui lui ?

27.10.2011 2Application Security Forum - Western Switzerland - 2011

Cu

stom

ers

Partners

Page 3: ASFWS 2011 : Maîtriser les risques opérationnels de ses applications. Quels standards sont faits pour vous?

Agenda

Risques opérationnels Besoin de traces ? Le problème Initiative XDAS (Open Group) Initiative CEE (MITRE) Synergies ? Conclusion

27.10.2011 Application Security Forum - Western Switzerland - 2011 3

Page 4: ASFWS 2011 : Maîtriser les risques opérationnels de ses applications. Quels standards sont faits pour vous?

Risques Opérationnels

Risques liés à une inadéquation ou à une défaillance– Des procédures métier– Du personnel de l’entreprise– Des systèmes internes

Mesures de réduction des risques1ère ligne de défense: Sécurité Opérationnelle2ème ligne de défense: Contrôle Interne3ème ligne de défense: Audit

27.10.2011 Application Security Forum - Western Switzerland - 2011 4

Page 5: ASFWS 2011 : Maîtriser les risques opérationnels de ses applications. Quels standards sont faits pour vous?

Besoins de traces ?

27.10.2011 Application Security Forum - Western Switzerland - 2011 5

TroubleshootingDebugging

AuditSecurity

Compliance

Internal Control

Forensics

1ère Ligne

2ème Ligne

3ème Ligne

Page 6: ASFWS 2011 : Maîtriser les risques opérationnels de ses applications. Quels standards sont faits pour vous?

Où sont ces traces ?

27.10.2011 Application Security Forum - Western Switzerland - 2011 6

Traces de debug Traces d’audit

Software

Logger Standard(log4j, etc.)

Logger d'audit (xdas4j, etc.)

Page 7: ASFWS 2011 : Maîtriser les risques opérationnels de ses applications. Quels standards sont faits pour vous?

Le Problème

Il y a autant de types de traces que de développeurs...– Cisco WLC

– Switch Nortel

– Application Bancaire

27.10.2011 Application Security Forum - Western Switzerland - 2011 7

Cold Start-sysUpTimeInstance = 14:1:34:46.00 snmpTrapOID.0 = bsnDot11StationAssociate bsnStationAPMacAddr.0 = 0:b:85:8f:5c:e0 bsnStationAPIfSlotId.0 = 0 bsnStationMacAddress.0 = 0:19:e3:6:ae:e9 bsnStationUserName.0 = [email protected]

CPU5 [10/06/08 08:41:36] SSH INFO SSH: User Manager login /pty/sshd1. from 10.192.49.110

201107220000959634.02;20080109;16:33:54:628;9;GB0010001;INPUTTER;FUNDS.TRANSFER;1 I;FT08009000LO;;169.254.127.177

Page 8: ASFWS 2011 : Maîtriser les risques opérationnels de ses applications. Quels standards sont faits pour vous?

Le Problème

Les traces d'audit sont noyées dans les traces de debug (pas de canal séparé)

Les activités critiques ne sont pas tracées Les traces sont régulièrement effacées Le langage utilisé n'est pas uniforme

27.10.2011 Application Security Forum - Western Switzerland - 2011 8

User Manager loginAdmin login

Root logon successfully

Root logon attempt successful

Page 9: ASFWS 2011 : Maîtriser les risques opérationnels de ses applications. Quels standards sont faits pour vous?

Les solutions

27.10.2011 Application Security Forum - Western Switzerland - 2011 9

Aujourd'hui Demain

XDAS, CEE, etc.

Page 10: ASFWS 2011 : Maîtriser les risques opérationnels de ses applications. Quels standards sont faits pour vous?

Initiative XDAS

Initiée et gérée par Statut: définition / draft Objectifs :

– Modèle de données: champs à disposition– Taxonomie: mots à disposition– Format: structure des messages (JSON, XML, etc.)

https://www.opengroup.org/projects/security/xdas/

27.10.2011 Application Security Forum - Western Switzerland - 2011 10

Page 11: ASFWS 2011 : Maîtriser les risques opérationnels de ses applications. Quels standards sont faits pour vous?

Modèle de données

27.10.2011 Application Security Forum - Western Switzerland - 2011 11

Source: XDAS, D. Corlette - Novell

Page 12: ASFWS 2011 : Maîtriser les risques opérationnels de ses applications. Quels standards sont faits pour vous?

Exemple:

27.10.2011 Application Security Forum - Western Switzerland - 2011 12

ADDHCP 02/07/09,15:57:04,Assign,10.192.68.96,HOSTX.mydomain.com,00:40:96:A9:50:38

Initiator: { Host: { Name: "HostX.mydomain.com" Address: { Mac: "00:40:96:A9:50:38" } Address: { ipv4: "10.192.68.96" } } }

Target: { Host: { Name: "ADDHCP" } Service: { Name: "DHCP", Component : "Microsoft

Windows DHCP server"

} }

Action: { Time: "02/07/09 15:57:04", Name: "Assigned IP Address", actionTax: "Address Assigned", outcomeTax: "Successful" }

Observer: { Host: { Name: "ADDHCP" } Service: { Name: "DHCP", Component : "Microsoft Windows DHCP server" } }

Page 13: ASFWS 2011 : Maîtriser les risques opérationnels de ses applications. Quels standards sont faits pour vous?

XDAS : Aperçu

Orienté objet Simple (peu de champs) Extensible (possibilité d'ajouter des champs) Taxonomie inspirée du vocabulaire: une source

effectue une action (ayant un statut) sur une cible user authenticate attempt on serversource action statut cible

27.10.2011 Application Security Forum - Western Switzerland - 2011 13

Page 14: ASFWS 2011 : Maîtriser les risques opérationnels de ses applications. Quels standards sont faits pour vous?

Initiative CEE

Initiée et gérée par le Statut : définition / draft Objectifs :

– Modèle de données : champs à disposition et profiles en fonction des applications

– Taxonomie : mots à disposition– Format : structure des messages (JSON, XML, etc.)– Transport : protocole de transfert des messages– Recommandations : best practice des actions à tracer

http://cee.mitre.org/

27.10.2011 Application Security Forum - Western Switzerland - 2011 14

Page 15: ASFWS 2011 : Maîtriser les risques opérationnels de ses applications. Quels standards sont faits pour vous?

CEE: Aperçu

Modèle de données: time, id, p_sys_id, p_prod_id, action, status, rec_id, crit, end_time, dur, tags

Pas de modèle conceptuel d'un événement Modèle adaptable en fonction de domaines ou

fonctions (notion de profiles) Extensible (gestion des extensions via les profiles) Taxonomie par Tags

27.10.2011 Application Security Forum - Western Switzerland - 2011 15

Page 16: ASFWS 2011 : Maîtriser les risques opérationnels de ses applications. Quels standards sont faits pour vous?

Synergies ou concurrence ?

XDAS: Vision réduite au minimum nécessaire CEE: Vision large et complète

27.10.2011 Application Security Forum - Western Switzerland - 2011 16

Source: CEE, http://cee.mitre.org

XDAS Scope

Page 17: ASFWS 2011 : Maîtriser les risques opérationnels de ses applications. Quels standards sont faits pour vous?

Synergies ou concurrence ?

Beaucoup de membres font parties des deux organisations

Objectif initial– Reprendre XDAS pour le modèle de données du CEE

Résultat: Actuellement un échec– Le CEE propose un concept de modèle de données

complètement différent de XDAS

27.10.2011 Application Security Forum - Western Switzerland - 2011 17

Page 18: ASFWS 2011 : Maîtriser les risques opérationnels de ses applications. Quels standards sont faits pour vous?

Avis Personnel

Approche complémentaire sur certains points Modèle de données et taxonomie

– CEE : Nécessite une connaissance des attributs (pas de modèle conceptuel simple à retenir)

– CEE : Lourde gestion de profiles (catégorie de messages)

– CEE : Taxonomie difficile à gérer (tags)– XDAS : Approche plus légère et plus intuitive

27.10.2011 Application Security Forum - Western Switzerland - 2011 18

Page 19: ASFWS 2011 : Maîtriser les risques opérationnels de ses applications. Quels standards sont faits pour vous?

Standards utilisables aujourd'hui?XDAS4J – prototypage du standard XDAS

27.10.2011 Application Security Forum - Western Switzerland - 2011 19

http://xdas4j.codehaus.org/demo/

Page 20: ASFWS 2011 : Maîtriser les risques opérationnels de ses applications. Quels standards sont faits pour vous?

Participez !!

Aidez nous à unifier ces initiatives :– CEE: Donnez votre avis, commentez

http://cee.mitre.org/discussiongroup.html

– XDAS: Testez, donnez votre avis, participez http://xdas4j.codehaus.org/[email protected]

27.10.2011 Application Security Forum - Western Switzerland - 2011 20

Page 21: ASFWS 2011 : Maîtriser les risques opérationnels de ses applications. Quels standards sont faits pour vous?

Conclusion

27.10.2011 Application Security Forum - Western Switzerland - 2011 21

Les logs existent depuis le début de l'informatique

Toujours pas de solution efficace afin de générer des traces d'audit propres

Des initiatives sont en cours Testez xdas4j (prototypage) et participez

Page 22: ASFWS 2011 : Maîtriser les risques opérationnels de ses applications. Quels standards sont faits pour vous?

Vos questions ?

27.10.2011 Application Security Forum - Western Switzerland - 2011 22

Page 23: ASFWS 2011 : Maîtriser les risques opérationnels de ses applications. Quels standards sont faits pour vous?

Merci!

Joël [email protected]/j_winteregg

twitter.com/netguardiansfacebook.com/NetGuardians

27.10.2011 Application Security Forum - Western Switzerland - 2011 23

SLIDES A TELECHARGER PROCHAINEMENT:http://slideshare.net/ASF-WS