ASFWS 2011 : Maîtriser les risques opérationnels de ses applications. Quels standards sont faits pour vous?
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share

ASFWS 2011 : Maîtriser les risques opérationnels de ses applications. Quels standards sont faits pour vous?

  • 954 views
Uploaded on

Introduction des risques opérationnels au niveau applicatifs (quels sont-ils, d’où proviennent-ils), comment les traces d’audit permettent de mieux contrôler ces risques, quels sont les initiatives......

Introduction des risques opérationnels au niveau applicatifs (quels sont-ils, d’où proviennent-ils), comment les traces d’audit permettent de mieux contrôler ces risques, quels sont les initiatives dans le domaine, présentation des initiatives de l’Open Group (XDAS,cf.http://xdas4j.codehaus.org/slides/XDAS_toronto.pdf) et du MITRE (CEE), comment utiliser ces standards aujourd’hui.

Application Security Forum 2011
27.10.2011 - Yverdon-les-Bains (Suisse)
Conférencier: Joël Winteregg

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
No Downloads

Views

Total Views
954
On Slideshare
954
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
32
Comments
1
Likes
1

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Maîtriser les risques opérationnelsde ses applicationsQuels standards sont faits pour vous ? Joël Winteregg CEO-CTO, CISSP NetGuardians SA Application Security Forum Western Switzerland 27 octobre 2011 - HEIGVD Yverdon-les-Bains http://appsec-forum.ch
  • 2. Mais c’est qui lui ? Chercheur dans le domaine de la sécurité (IDS) et de l’analyse des logs (HEIG-VD) Co-Fondateur de NetGuardians SA Customers Partners Actif dans différents efforts de standardisation des traces d’activités (XDAS, CEE) 27.10.2011 Application Security Forum - Western Switzerland - 2011 2
  • 3. Agenda Risques opérationnels Besoin de traces ? Le problème Initiative XDAS (Open Group) Initiative CEE (MITRE) Synergies ? Conclusion 27.10.2011 Application Security Forum - Western Switzerland - 2011 3
  • 4. Risques Opérationnels Risques liés à une inadéquation ou à une défaillance – Des procédures métier – Du personnel de l’entreprise – Des systèmes internes Mesures de réduction des risques 1ère ligne de défense: Sécurité Opérationnelle 2ème ligne de défense: Contrôle Interne 3ème ligne de défense: Audit 27.10.2011 Application Security Forum - Western Switzerland - 2011 4
  • 5. Besoins de traces ? Compliance Troubleshooting Forensics DebuggingSecurity Internal Control Audit 1ère 2ème 3ème Ligne Ligne Ligne 27.10.2011 Application Security Forum - Western Switzerland - 2011 5
  • 6. Où sont ces traces ? Software Logger Standard Logger daudit (log4j, etc.) (xdas4j, etc.) Traces de debug Traces d’audit 27.10.2011 Application Security Forum - Western Switzerland - 2011 6
  • 7. Le Problème Il y a autant de types de traces que de développeurs... – Cisco WLC Cold Start-sysUpTimeInstance = 14:1:34:46.00 snmpTrapOID.0 = bsnDot11StationAssociate bsnStationAPMacAddr.0 = 0:b:85:8f:5c:e0 bsnStationAPIfSlotId.0 = 0 bsnStationMacAddress.0 = 0:19:e3:6:ae:e9 bsnStationUserName.0 = user_x@netguardians.ch – Switch Nortel CPU5 [10/06/08 08:41:36] SSH INFO SSH: User Manager login /pty/sshd1. from 10.192.49.110 – Application Bancaire 201107220000959634.02;20080109;16:33:54:628;9;GB0010001;INPUTTER;FUNDS.TRANSF ER;1 I;FT08009000LO;;169.254.127.177 27.10.2011 Application Security Forum - Western Switzerland - 2011 7
  • 8. Le Problème Les traces daudit sont noyées dans les traces de debug (pas de canal séparé) Les activités critiques ne sont pas tracées Les traces sont régulièrement effacées Le langage utilisé nest pas uniforme Admin login User Manager login Root logon successfully Root logon attempt successful 27.10.2011 Application Security Forum - Western Switzerland - 2011 8
  • 9. Les solutions Aujourdhui Demain XDAS, CEE, etc. 27.10.2011 Application Security Forum - Western Switzerland - 2011 9
  • 10. Initiative XDAS Initiée et gérée par Statut: définition / draft Objectifs : – Modèle de données: champs à disposition – Taxonomie: mots à disposition – Format: structure des messages (JSON, XML, etc.) https://www.opengroup.org/projects/security/xdas/ 27.10.2011 Application Security Forum - Western Switzerland - 2011 10
  • 11. Modèle de données Source: XDAS, D. Corlette - Novell 27.10.2011 Application Security Forum - Western Switzerland - 2011 11
  • 12. Exemple: ADDHCP 02/07/09,15:57:04,Assign,10.192.68.96, HOSTX.mydomain.com,00:40:96:A9:50:38 Action: { Time: "02/07/09 15:57:04", Name: "Assigned IP Address", actionTax: "Address Assigned", outcomeTax: "Successful" }Initiator: { Target: { Host: { Host: { Name: "HostX.mydomain.com" Name: "ADDHCP" Address: { } Mac: "00:40:96:A9:50:38" Service: { } Name: "DHCP", Address: { Component : "Microsoft ipv4: "10.192.68.96" Windows DHCP server" } } } Observer: { } } Host: { Name: "ADDHCP" } Service: { Name: "DHCP", Component : "Microsoft Windows DHCP server" } } 27.10.2011 Application Security Forum - Western Switzerland - 2011 12
  • 13. XDAS : Aperçu Orienté objet Simple (peu de champs) Extensible (possibilité dajouter des champs) Taxonomie inspirée du vocabulaire: une source effectue une action (ayant un statut) sur une cible user authenticate attempt on server source action statut cible 27.10.2011 Application Security Forum - Western Switzerland - 2011 13
  • 14. Initiative CEE Initiée et gérée par le Statut : définition / draft Objectifs : – Modèle de données : champs à disposition et profiles en fonction des applications – Taxonomie : mots à disposition – Format : structure des messages (JSON, XML, etc.) – Transport : protocole de transfert des messages – Recommandations : best practice des actions à tracer http://cee.mitre.org/ 27.10.2011 Application Security Forum - Western Switzerland - 2011 14
  • 15. CEE: Aperçu Modèle de données: time, id, p_sys_id, p_prod_id, action, status, rec_id, crit, end_time, dur, tags Pas de modèle conceptuel dun événement Modèle adaptable en fonction de domaines ou fonctions (notion de profiles) Extensible (gestion des extensions via les profiles) Taxonomie par Tags 27.10.2011 Application Security Forum - Western Switzerland - 2011 15
  • 16. Synergies ou concurrence ? XDAS: Vision réduite au minimum nécessaire CEE: Vision large et complète XDAS Scope Source: CEE, http://cee.mitre.org 27.10.2011 Application Security Forum - Western Switzerland - 2011 16
  • 17. Synergies ou concurrence ? Beaucoup de membres font parties des deux organisations Objectif initial – Reprendre XDAS pour le modèle de données du CEE Résultat: Actuellement un échec – Le CEE propose un concept de modèle de données complètement différent de XDAS 27.10.2011 Application Security Forum - Western Switzerland - 2011 17
  • 18. Avis Personnel Approche complémentaire sur certains points Modèle de données et taxonomie – CEE : Nécessite une connaissance des attributs (pas de modèle conceptuel simple à retenir) – CEE : Lourde gestion de profiles (catégorie de messages) – CEE : Taxonomie difficile à gérer (tags) – XDAS : Approche plus légère et plus intuitive 27.10.2011 Application Security Forum - Western Switzerland - 2011 18
  • 19. Standards utilisables aujourdhui? XDAS4J – prototypage du standard XDAS http://xdas4j.codehaus.org/demo/ 27.10.2011 Application Security Forum - Western Switzerland - 2011 19
  • 20. Participez !! Aidez nous à unifier ces initiatives : – CEE: Donnez votre avis, commentez http://cee.mitre.org/discussiongroup.html – XDAS: Testez, donnez votre avis, participez http://xdas4j.codehaus.org/ j.winteregg@opengroup.org 27.10.2011 Application Security Forum - Western Switzerland - 2011 20
  • 21. Conclusion Les logs existent depuis le début de linformatique Toujours pas de solution efficace afin de générer des traces daudit propres Des initiatives sont en cours Testez xdas4j (prototypage) et participez 27.10.2011 Application Security Forum - Western Switzerland - 2011 21
  • 22. Vos questions ?27.10.2011 Application Security Forum - Western Switzerland - 2011 22
  • 23. Merci! Joël Winteregg winteregg@netguardians.ch twitter.com/j_winteregg twitter.com/netguardians facebook.com/NetGuardians SLIDES A TELECHARGER PROCHAINEMENT: http://slideshare.net/ASF-WS27.10.2011 Application Security Forum - Western Switzerland - 2011 23