SlideShare a Scribd company logo

ASFWS 2011 : Maîtriser les risques opérationnels de ses applications. Quels standards sont faits pour vous?

Cyber Security Alliance
Cyber Security Alliance

Introduction des risques opérationnels au niveau applicatifs (quels sont-ils, d’où proviennent-ils), comment les traces d’audit permettent de mieux contrôler ces risques, quels sont les initiatives dans le domaine, présentation des initiatives de l’Open Group (XDAS,cf.http://xdas4j.codehaus.org/slides/XDAS_toronto.pdf) et du MITRE (CEE), comment utiliser ces standards aujourd’hui. Application Security Forum 2011 27.10.2011 - Yverdon-les-Bains (Suisse) Conférencier: Joël Winteregg

Technology
1 of 23
Download to read offline
Maîtriser les risques opérationnels de ses applications Quels standards sont faits pour vous ? Joël Winteregg CEO-CTO, CISSP NetGuardians SA Application Security Forum Western Switzerland 27 octobre 2011 - HEIGVD Yverdon-les-Bains http://appsec-forum.ch
Mais c’est qui lui ?  Chercheur dans le domaine de la sécurité (IDS) et de l’analyse des logs (HEIG-VD)  Co-Fondateur de NetGuardians SA Customers Partners  Actif dans différents efforts de standardisation des traces d’activités (XDAS, CEE) 27.10.2011 Application Security Forum - Western Switzerland - 2011 2
Agenda  Risques opérationnels  Besoin de traces ?  Le problème  Initiative XDAS (Open Group)  Initiative CEE (MITRE)  Synergies ?  Conclusion 27.10.2011 Application Security Forum - Western Switzerland - 2011 3
Risques Opérationnels  Risques liés à une inadéquation ou à une défaillance – Des procédures métier – Du personnel de l’entreprise – Des systèmes internes  Mesures de réduction des risques 1ère ligne de défense: Sécurité Opérationnelle 2ème ligne de défense: Contrôle Interne 3ème ligne de défense: Audit 27.10.2011 Application Security Forum - Western Switzerland - 2011 4
Besoins de traces ? Compliance Troubleshooting Forensics Debugging Security Internal Control Audit 1ère 2ème 3ème Ligne Ligne Ligne 27.10.2011 Application Security Forum - Western Switzerland - 2011 5
Où sont ces traces ? Software Logger Standard Logger d'audit (log4j, etc.) (xdas4j, etc.) Traces de debug Traces d’audit 27.10.2011 Application Security Forum - Western Switzerland - 2011 6
Le Problème  Il y a autant de types de traces que de développeurs... – Cisco WLC Cold Start-sysUpTimeInstance = 14:1:34:46.00 snmpTrapOID.0 = bsnDot11StationAssociate bsnStationAPMacAddr.0 = 0:b:85:8f:5c:e0 bsnStationAPIfSlotId.0 = 0 bsnStationMacAddress.0 = 0:19:e3:6:ae:e9 bsnStationUserName.0 = user_x@netguardians.ch – Switch Nortel CPU5 [10/06/08 08:41:36] SSH INFO SSH: User Manager login /pty/sshd1. from 10.192.49.110 – Application Bancaire 201107220000959634.02;20080109;16:33:54:628;9;GB0010001;INPUTTER;FUNDS.TRANSF ER;1 I;FT08009000LO;;169.254.127.177 27.10.2011 Application Security Forum - Western Switzerland - 2011 7
Le Problème  Les traces d'audit sont noyées dans les traces de debug (pas de canal séparé)  Les activités critiques ne sont pas tracées  Les traces sont régulièrement effacées  Le langage utilisé n'est pas uniforme Admin login User Manager login Root logon successfully Root logon attempt successful 27.10.2011 Application Security Forum - Western Switzerland - 2011 8
Les solutions Aujourd'hui Demain XDAS, CEE, etc. 27.10.2011 Application Security Forum - Western Switzerland - 2011 9
Initiative XDAS  Initiée et gérée par  Statut: définition / draft  Objectifs : – Modèle de données: champs à disposition – Taxonomie: mots à disposition – Format: structure des messages (JSON, XML, etc.) https://www.opengroup.org/projects/security/xdas/ 27.10.2011 Application Security Forum - Western Switzerland - 2011 10
Modèle de données Source: XDAS, D. Corlette - Novell 27.10.2011 Application Security Forum - Western Switzerland - 2011 11
Exemple: ADDHCP 02/07/09,15:57:04,Assign,10.192.68.96, HOSTX.mydomain.com,00:40:96:A9:50:38 Action: { Time: "02/07/09 15:57:04", Name: "Assigned IP Address", actionTax: "Address Assigned", outcomeTax: "Successful" } Initiator: { Target: { Host: { Host: { Name: "HostX.mydomain.com" Name: "ADDHCP" Address: { } Mac: "00:40:96:A9:50:38" Service: { } Name: "DHCP", Address: { Component : "Microsoft ipv4: "10.192.68.96" Windows DHCP server" } } } Observer: { } } Host: { Name: "ADDHCP" } Service: { Name: "DHCP", Component : "Microsoft Windows DHCP server" } } 27.10.2011 Application Security Forum - Western Switzerland - 2011 12
XDAS : Aperçu  Orienté objet  Simple (peu de champs)  Extensible (possibilité d'ajouter des champs)  Taxonomie inspirée du vocabulaire: une source effectue une action (ayant un statut) sur une cible user authenticate attempt on server source action statut cible 27.10.2011 Application Security Forum - Western Switzerland - 2011 13
Initiative CEE  Initiée et gérée par le  Statut : définition / draft  Objectifs : – Modèle de données : champs à disposition et profiles en fonction des applications – Taxonomie : mots à disposition – Format : structure des messages (JSON, XML, etc.) – Transport : protocole de transfert des messages – Recommandations : best practice des actions à tracer http://cee.mitre.org/ 27.10.2011 Application Security Forum - Western Switzerland - 2011 14
CEE: Aperçu  Modèle de données: time, id, p_sys_id, p_prod_id, action, status, rec_id, crit, end_time, dur, tags  Pas de modèle conceptuel d'un événement  Modèle adaptable en fonction de domaines ou fonctions (notion de profiles)  Extensible (gestion des extensions via les profiles)  Taxonomie par Tags 27.10.2011 Application Security Forum - Western Switzerland - 2011 15
Synergies ou concurrence ?  XDAS: Vision réduite au minimum nécessaire  CEE: Vision large et complète XDAS Scope Source: CEE, http://cee.mitre.org 27.10.2011 Application Security Forum - Western Switzerland - 2011 16
Synergies ou concurrence ?  Beaucoup de membres font parties des deux organisations  Objectif initial – Reprendre XDAS pour le modèle de données du CEE  Résultat: Actuellement un échec – Le CEE propose un concept de modèle de données complètement différent de XDAS 27.10.2011 Application Security Forum - Western Switzerland - 2011 17
Avis Personnel  Approche complémentaire sur certains points  Modèle de données et taxonomie – CEE : Nécessite une connaissance des attributs (pas de modèle conceptuel simple à retenir) – CEE : Lourde gestion de profiles (catégorie de messages) – CEE : Taxonomie difficile à gérer (tags) – XDAS : Approche plus légère et plus intuitive 27.10.2011 Application Security Forum - Western Switzerland - 2011 18
Standards utilisables aujourd'hui? XDAS4J – prototypage du standard XDAS http://xdas4j.codehaus.org/demo/ 27.10.2011 Application Security Forum - Western Switzerland - 2011 19
Participez !!  Aidez nous à unifier ces initiatives : – CEE: Donnez votre avis, commentez http://cee.mitre.org/discussiongroup.html – XDAS: Testez, donnez votre avis, participez http://xdas4j.codehaus.org/ j.winteregg@opengroup.org 27.10.2011 Application Security Forum - Western Switzerland - 2011 20
Conclusion  Les logs existent depuis le début de l'informatique  Toujours pas de solution efficace afin de générer des traces d'audit propres  Des initiatives sont en cours  Testez xdas4j (prototypage) et participez 27.10.2011 Application Security Forum - Western Switzerland - 2011 21
Vos questions ? 27.10.2011 Application Security Forum - Western Switzerland - 2011 22
Merci! Joël Winteregg winteregg@netguardians.ch twitter.com/j_winteregg twitter.com/netguardians facebook.com/NetGuardians SLIDES A TELECHARGER PROCHAINEMENT: http://slideshare.net/ASF-WS 27.10.2011 Application Security Forum - Western Switzerland - 2011 23

Recommended

Formation Analyse du risque de crédit bancaire
Formation Analyse du risque de crédit bancaireFormation Analyse du risque de crédit bancaire
Formation Analyse du risque de crédit bancaireActions-Finance
 
Les prestations logistiques
Les prestations logistiquesLes prestations logistiques
Les prestations logistiquesAboubakr Moubarak
 
Les moyens de paiement.
Les moyens de paiement.Les moyens de paiement.
Les moyens de paiement.Anès Nejmeddine
 
Gestion des risques opérationnels: Le transfert du risque à l'assureur, compo...
Gestion des risques opérationnels: Le transfert du risque à l'assureur, compo...Gestion des risques opérationnels: Le transfert du risque à l'assureur, compo...
Gestion des risques opérationnels: Le transfert du risque à l'assureur, compo...Arrow Institute
 
Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif ibtissam el hassani
 
Will the next systemic crisis be cyber?
Will the next systemic crisis be cyber?Will the next systemic crisis be cyber?
Will the next systemic crisis be cyber?Arrow Institute
 
Rapport final - Mémoire de fin d'études - Bâle III - Nouvelle réglementation ...
Rapport final - Mémoire de fin d'études - Bâle III - Nouvelle réglementation ...Rapport final - Mémoire de fin d'études - Bâle III - Nouvelle réglementation ...
Rapport final - Mémoire de fin d'études - Bâle III - Nouvelle réglementation ...Youcef Benchicou
 
Gestion des risques bancaires
Gestion des risques bancairesGestion des risques bancaires
Gestion des risques bancairesZouhair Aitelhaj
 

Recommended

Formation Analyse du risque de crédit bancaire
Formation Analyse du risque de crédit bancaireFormation Analyse du risque de crédit bancaire
Formation Analyse du risque de crédit bancaireActions-Finance
 
Les prestations logistiques
Les prestations logistiquesLes prestations logistiques
Les prestations logistiquesAboubakr Moubarak
 
Les moyens de paiement.
Les moyens de paiement.Les moyens de paiement.
Les moyens de paiement.Anès Nejmeddine
 
Gestion des risques opérationnels: Le transfert du risque à l'assureur, compo...
Gestion des risques opérationnels: Le transfert du risque à l'assureur, compo...Gestion des risques opérationnels: Le transfert du risque à l'assureur, compo...
Gestion des risques opérationnels: Le transfert du risque à l'assureur, compo...Arrow Institute
 
Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif ibtissam el hassani
 
Will the next systemic crisis be cyber?
Will the next systemic crisis be cyber?Will the next systemic crisis be cyber?
Will the next systemic crisis be cyber?Arrow Institute
 
Rapport final - Mémoire de fin d'études - Bâle III - Nouvelle réglementation ...
Rapport final - Mémoire de fin d'études - Bâle III - Nouvelle réglementation ...Rapport final - Mémoire de fin d'études - Bâle III - Nouvelle réglementation ...
Rapport final - Mémoire de fin d'études - Bâle III - Nouvelle réglementation ...Youcef Benchicou
 
Gestion des risques bancaires
Gestion des risques bancairesGestion des risques bancaires
Gestion des risques bancairesZouhair Aitelhaj
 
Management des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et CartographieManagement des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et Cartographieibtissam el hassani
 
Rapport de stage bts finances comptabilite et gestion d entreprises
Rapport de stage bts finances comptabilite et gestion d entreprises Rapport de stage bts finances comptabilite et gestion d entreprises
Rapport de stage bts finances comptabilite et gestion d entreprises Constant Mousso
 
Externalisation de la chaîne logistique
Externalisation de la chaîne logistiqueExternalisation de la chaîne logistique
Externalisation de la chaîne logistiqueHanae Guenouni
 
les risques de transport international
les risques de transport internationalles risques de transport international
les risques de transport internationalIlham Yachaoui
 
Risque achat , scm
Risque achat , scmRisque achat , scm
Risque achat , scmIlham Yachaoui
 
Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielleAnalyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industriellePatrice Bock
 
Comptabilité approfondie
Comptabilité approfondieComptabilité approfondie
Comptabilité approfondiehickab
 
Financements et crédits cours 1
Financements et crédits cours 1Financements et crédits cours 1
Financements et crédits cours 1justine04000
 
[Gestion des risques et conformite] de bale ii à bale iii
[Gestion des risques et conformite] de bale ii à bale iii[Gestion des risques et conformite] de bale ii à bale iii
[Gestion des risques et conformite] de bale ii à bale iiionepoint x weave
 
Risque credit
Risque creditRisque credit
Risque creditaniamassika
 
CV Saddam ZEMMALI Professionel Fr
CV Saddam ZEMMALI Professionel FrCV Saddam ZEMMALI Professionel Fr
CV Saddam ZEMMALI Professionel FrSaddam ZEMMALI ☁
 
IT Customer Solution Architect
IT Customer Solution ArchitectIT Customer Solution Architect
IT Customer Solution ArchitecticVatant
 
RAD avec IPF pour ImpressCMS 1.2
RAD avec IPF pour ImpressCMS 1.2RAD avec IPF pour ImpressCMS 1.2
RAD avec IPF pour ImpressCMS 1.2INBOX International inc.
 
Pres azure paas tdf -rex-hager-vincent thavonekham-regional director-azug f...
Pres azure paas tdf -rex-hager-vincent thavonekham-regional director-azug f...Pres azure paas tdf -rex-hager-vincent thavonekham-regional director-azug f...
Pres azure paas tdf -rex-hager-vincent thavonekham-regional director-azug f...FactoVia
 
Démystifions l'API-culture!
Démystifions l'API-culture!Démystifions l'API-culture!
Démystifions l'API-culture!OCTO Technology Suisse
 
Production logicielle, outils et pratiques
Production logicielle, outils et pratiquesProduction logicielle, outils et pratiques
Production logicielle, outils et pratiquesJohan Moreau
 
KAMAL 2016
KAMAL 2016KAMAL 2016
KAMAL 2016kamal abderrazak
 
Ugif 09 2013 open source
Ugif 09 2013 open sourceUgif 09 2013 open source
Ugif 09 2013 open sourceUGIF
 
Geneva MSIT Pro - Migration SharePoint 2016 - Retour d expériences à la BCN
Geneva MSIT Pro - Migration SharePoint 2016 - Retour d expériences à la BCNGeneva MSIT Pro - Migration SharePoint 2016 - Retour d expériences à la BCN
Geneva MSIT Pro - Migration SharePoint 2016 - Retour d expériences à la BCNJean NETRY-VALERE
 
OpenStack & DevOps, l'Open Source au service du Cloud
OpenStack & DevOps, l'Open Source au service du CloudOpenStack & DevOps, l'Open Source au service du Cloud
OpenStack & DevOps, l'Open Source au service du CloudMichel-Marie Maudet
 
Mon CV Detaillé
Mon CV Detaillé Mon CV Detaillé
Mon CV Detaillé Hicham HADDAD
 
Ugif 09 2013 open source - session tech
Ugif 09 2013 open source - session techUgif 09 2013 open source - session tech
Ugif 09 2013 open source - session techUGIF
 

More Related Content

Viewers also liked

Management des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et CartographieManagement des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et Cartographieibtissam el hassani
 
Rapport de stage bts finances comptabilite et gestion d entreprises
Rapport de stage bts finances comptabilite et gestion d entreprises Rapport de stage bts finances comptabilite et gestion d entreprises
Rapport de stage bts finances comptabilite et gestion d entreprises Constant Mousso
 
Externalisation de la chaîne logistique
Externalisation de la chaîne logistiqueExternalisation de la chaîne logistique
Externalisation de la chaîne logistiqueHanae Guenouni
 
les risques de transport international
les risques de transport internationalles risques de transport international
les risques de transport internationalIlham Yachaoui
 
Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielleAnalyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industriellePatrice Bock
 
Comptabilité approfondie
Comptabilité approfondieComptabilité approfondie
Comptabilité approfondiehickab
 
Financements et crédits cours 1
Financements et crédits cours 1Financements et crédits cours 1
Financements et crédits cours 1justine04000
 
[Gestion des risques et conformite] de bale ii à bale iii
[Gestion des risques et conformite] de bale ii à bale iii[Gestion des risques et conformite] de bale ii à bale iii
[Gestion des risques et conformite] de bale ii à bale iiionepoint x weave
 

Viewers also liked (10)

Management des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et CartographieManagement des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et Cartographie
 
Rapport de stage bts finances comptabilite et gestion d entreprises
Rapport de stage bts finances comptabilite et gestion d entreprises Rapport de stage bts finances comptabilite et gestion d entreprises
Rapport de stage bts finances comptabilite et gestion d entreprises
 
Externalisation de la chaîne logistique
Externalisation de la chaîne logistiqueExternalisation de la chaîne logistique
Externalisation de la chaîne logistique
 
les risques de transport international
les risques de transport internationalles risques de transport international
les risques de transport international
 
Risque achat , scm
Risque achat , scmRisque achat , scm
Risque achat , scm
 
Analyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielleAnalyse de risques en cybersécurité industrielle
Analyse de risques en cybersécurité industrielle
 
Comptabilité approfondie
Comptabilité approfondieComptabilité approfondie
Comptabilité approfondie
 
Financements et crédits cours 1
Financements et crédits cours 1Financements et crédits cours 1
Financements et crédits cours 1
 
[Gestion des risques et conformite] de bale ii à bale iii
[Gestion des risques et conformite] de bale ii à bale iii[Gestion des risques et conformite] de bale ii à bale iii
[Gestion des risques et conformite] de bale ii à bale iii
 
Risque credit
Risque creditRisque credit
Risque credit
 

Similar to ASFWS 2011 : Maîtriser les risques opérationnels de ses applications. Quels standards sont faits pour vous?

CV Saddam ZEMMALI Professionel Fr
CV Saddam ZEMMALI Professionel FrCV Saddam ZEMMALI Professionel Fr
CV Saddam ZEMMALI Professionel FrSaddam ZEMMALI ☁
 
IT Customer Solution Architect
IT Customer Solution ArchitectIT Customer Solution Architect
IT Customer Solution ArchitecticVatant
 
Pres azure paas tdf -rex-hager-vincent thavonekham-regional director-azug f...
Pres azure paas tdf -rex-hager-vincent thavonekham-regional director-azug f...Pres azure paas tdf -rex-hager-vincent thavonekham-regional director-azug f...
Pres azure paas tdf -rex-hager-vincent thavonekham-regional director-azug f...FactoVia
 
Production logicielle, outils et pratiques
Production logicielle, outils et pratiquesProduction logicielle, outils et pratiques
Production logicielle, outils et pratiquesJohan Moreau
 
Ugif 09 2013 open source
Ugif 09 2013 open sourceUgif 09 2013 open source
Ugif 09 2013 open sourceUGIF
 
Geneva MSIT Pro - Migration SharePoint 2016 - Retour d expériences à la BCN
Geneva MSIT Pro - Migration SharePoint 2016 - Retour d expériences à la BCNGeneva MSIT Pro - Migration SharePoint 2016 - Retour d expériences à la BCN
Geneva MSIT Pro - Migration SharePoint 2016 - Retour d expériences à la BCNJean NETRY-VALERE
 
OpenStack & DevOps, l'Open Source au service du Cloud
OpenStack & DevOps, l'Open Source au service du CloudOpenStack & DevOps, l'Open Source au service du Cloud
OpenStack & DevOps, l'Open Source au service du CloudMichel-Marie Maudet
 
Ugif 09 2013 open source - session tech
Ugif 09 2013 open source - session techUgif 09 2013 open source - session tech
Ugif 09 2013 open source - session techUGIF
 
Business modèles pour l'Open Source
Business modèles pour l'Open SourceBusiness modèles pour l'Open Source
Business modèles pour l'Open Sourcealaprevote
 
OpenStack - open source au service du Cloud
OpenStack - open source au service du CloudOpenStack - open source au service du Cloud
OpenStack - open source au service du CloudLINAGORA
 
CLaueR - AFUP PHP et Silverlight
CLaueR - AFUP PHP et SilverlightCLaueR - AFUP PHP et Silverlight
CLaueR - AFUP PHP et SilverlightChristophe Lauer
 
Alfresco Meetup - ETL Connector & Talend
Alfresco Meetup - ETL Connector & TalendAlfresco Meetup - ETL Connector & Talend
Alfresco Meetup - ETL Connector & TalendMarc Dutoo
 
Presentation cynapsys
Presentation cynapsysPresentation cynapsys
Presentation cynapsysbaltagi
 
Spécifications de webservices avec un seul outil
Spécifications de webservices avec un seul outilSpécifications de webservices avec un seul outil
Spécifications de webservices avec un seul outilFabernovel
 
Virtualisation du Poste de Travail - Desktop as a Service - 16h - Atelier VDI...
Virtualisation du Poste de Travail - Desktop as a Service - 16h - Atelier VDI...Virtualisation du Poste de Travail - Desktop as a Service - 16h - Atelier VDI...
Virtualisation du Poste de Travail - Desktop as a Service - 16h - Atelier VDI...DotRiver
 

Similar to ASFWS 2011 : Maîtriser les risques opérationnels de ses applications. Quels standards sont faits pour vous? (20)

CV Saddam ZEMMALI Professionel Fr
CV Saddam ZEMMALI Professionel FrCV Saddam ZEMMALI Professionel Fr
CV Saddam ZEMMALI Professionel Fr
 
IT Customer Solution Architect
IT Customer Solution ArchitectIT Customer Solution Architect
IT Customer Solution Architect
 
RAD avec IPF pour ImpressCMS 1.2
RAD avec IPF pour ImpressCMS 1.2RAD avec IPF pour ImpressCMS 1.2
RAD avec IPF pour ImpressCMS 1.2
 
Pres azure paas tdf -rex-hager-vincent thavonekham-regional director-azug f...
Pres azure paas tdf -rex-hager-vincent thavonekham-regional director-azug f...Pres azure paas tdf -rex-hager-vincent thavonekham-regional director-azug f...
Pres azure paas tdf -rex-hager-vincent thavonekham-regional director-azug f...
 
Démystifions l'API-culture!
Démystifions l'API-culture!Démystifions l'API-culture!
Démystifions l'API-culture!
 
Production logicielle, outils et pratiques
Production logicielle, outils et pratiquesProduction logicielle, outils et pratiques
Production logicielle, outils et pratiques
 
KAMAL 2016
KAMAL 2016KAMAL 2016
KAMAL 2016
 
Ugif 09 2013 open source
Ugif 09 2013 open sourceUgif 09 2013 open source
Ugif 09 2013 open source
 
Geneva MSIT Pro - Migration SharePoint 2016 - Retour d expériences à la BCN
Geneva MSIT Pro - Migration SharePoint 2016 - Retour d expériences à la BCNGeneva MSIT Pro - Migration SharePoint 2016 - Retour d expériences à la BCN
Geneva MSIT Pro - Migration SharePoint 2016 - Retour d expériences à la BCN
 
OpenStack & DevOps, l'Open Source au service du Cloud
OpenStack & DevOps, l'Open Source au service du CloudOpenStack & DevOps, l'Open Source au service du Cloud
OpenStack & DevOps, l'Open Source au service du Cloud
 
Mon CV Detaillé
Mon CV Detaillé Mon CV Detaillé
Mon CV Detaillé
 
Ugif 09 2013 open source - session tech
Ugif 09 2013 open source - session techUgif 09 2013 open source - session tech
Ugif 09 2013 open source - session tech
 
Business modèles pour l'Open Source
Business modèles pour l'Open SourceBusiness modèles pour l'Open Source
Business modèles pour l'Open Source
 
OpenStack - open source au service du Cloud
OpenStack - open source au service du CloudOpenStack - open source au service du Cloud
OpenStack - open source au service du Cloud
 
CLaueR - AFUP PHP et Silverlight
CLaueR - AFUP PHP et SilverlightCLaueR - AFUP PHP et Silverlight
CLaueR - AFUP PHP et Silverlight
 
Alfresco Meetup - ETL Connector & Talend
Alfresco Meetup - ETL Connector & TalendAlfresco Meetup - ETL Connector & Talend
Alfresco Meetup - ETL Connector & Talend
 
Presentation cynapsys
Presentation cynapsysPresentation cynapsys
Presentation cynapsys
 
Cv_JMLeFevre2015
Cv_JMLeFevre2015Cv_JMLeFevre2015
Cv_JMLeFevre2015
 
Spécifications de webservices avec un seul outil
Spécifications de webservices avec un seul outilSpécifications de webservices avec un seul outil
Spécifications de webservices avec un seul outil
 
Virtualisation du Poste de Travail - Desktop as a Service - 16h - Atelier VDI...
Virtualisation du Poste de Travail - Desktop as a Service - 16h - Atelier VDI...Virtualisation du Poste de Travail - Desktop as a Service - 16h - Atelier VDI...
Virtualisation du Poste de Travail - Desktop as a Service - 16h - Atelier VDI...
 

More from Cyber Security Alliance

Robots are among us, but who takes responsibility?
Robots are among us, but who takes responsibility?Robots are among us, but who takes responsibility?
Robots are among us, but who takes responsibility?Cyber Security Alliance
 
iOS malware: what's the risk and how to reduce it
iOS malware: what's the risk and how to reduce itiOS malware: what's the risk and how to reduce it
iOS malware: what's the risk and how to reduce itCyber Security Alliance
 
Why huntung IoC fails at protecting against targeted attacks
Why huntung IoC fails at protecting against targeted attacksWhy huntung IoC fails at protecting against targeted attacks
Why huntung IoC fails at protecting against targeted attacksCyber Security Alliance
 
Corporations - the new victims of targeted ransomware
Corporations - the new victims of targeted ransomwareCorporations - the new victims of targeted ransomware
Corporations - the new victims of targeted ransomwareCyber Security Alliance
 
Introducing Man in the Contacts attack to trick encrypted messaging apps
Introducing Man in the Contacts attack to trick encrypted messaging appsIntroducing Man in the Contacts attack to trick encrypted messaging apps
Introducing Man in the Contacts attack to trick encrypted messaging appsCyber Security Alliance
 
Understanding the fundamentals of attacks
Understanding the fundamentals of attacksUnderstanding the fundamentals of attacks
Understanding the fundamentals of attacksCyber Security Alliance
 
Reverse engineering Swisscom's Centro Grande Modem
Reverse engineering Swisscom's Centro Grande ModemReverse engineering Swisscom's Centro Grande Modem
Reverse engineering Swisscom's Centro Grande ModemCyber Security Alliance
 
Easy public-private-keys-strong-authentication-using-u2 f
Easy public-private-keys-strong-authentication-using-u2 fEasy public-private-keys-strong-authentication-using-u2 f
Easy public-private-keys-strong-authentication-using-u2 fCyber Security Alliance
 
Create a-strong-two-factors-authentication-device-for-less-than-chf-100
Create a-strong-two-factors-authentication-device-for-less-than-chf-100Create a-strong-two-factors-authentication-device-for-less-than-chf-100
Create a-strong-two-factors-authentication-device-for-less-than-chf-100Cyber Security Alliance
 
Offline bruteforce attack on wi fi protected setup
Offline bruteforce attack on wi fi protected setupOffline bruteforce attack on wi fi protected setup
Offline bruteforce attack on wi fi protected setupCyber Security Alliance
 
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...Cyber Security Alliance
 
Warning Ahead: SecurityStorms are Brewing in Your JavaScript
Warning Ahead: SecurityStorms are Brewing in Your JavaScriptWarning Ahead: SecurityStorms are Brewing in Your JavaScript
Warning Ahead: SecurityStorms are Brewing in Your JavaScriptCyber Security Alliance
 
Killing any security product … using a Mimikatz undocumented feature
Killing any security product … using a Mimikatz undocumented featureKilling any security product … using a Mimikatz undocumented feature
Killing any security product … using a Mimikatz undocumented featureCyber Security Alliance
 

More from Cyber Security Alliance (20)

Bug Bounty @ Swisscom
Bug Bounty @ SwisscomBug Bounty @ Swisscom
Bug Bounty @ Swisscom
 
Robots are among us, but who takes responsibility?
Robots are among us, but who takes responsibility?Robots are among us, but who takes responsibility?
Robots are among us, but who takes responsibility?
 
iOS malware: what's the risk and how to reduce it
iOS malware: what's the risk and how to reduce itiOS malware: what's the risk and how to reduce it
iOS malware: what's the risk and how to reduce it
 
Why huntung IoC fails at protecting against targeted attacks
Why huntung IoC fails at protecting against targeted attacksWhy huntung IoC fails at protecting against targeted attacks
Why huntung IoC fails at protecting against targeted attacks
 
Corporations - the new victims of targeted ransomware
Corporations - the new victims of targeted ransomwareCorporations - the new victims of targeted ransomware
Corporations - the new victims of targeted ransomware
 
Blockchain for Beginners
Blockchain for Beginners Blockchain for Beginners
Blockchain for Beginners
 
Le pentest pour les nuls #cybsec16
Le pentest pour les nuls #cybsec16Le pentest pour les nuls #cybsec16
Le pentest pour les nuls #cybsec16
 
Introducing Man in the Contacts attack to trick encrypted messaging apps
Introducing Man in the Contacts attack to trick encrypted messaging appsIntroducing Man in the Contacts attack to trick encrypted messaging apps
Introducing Man in the Contacts attack to trick encrypted messaging apps
 
Understanding the fundamentals of attacks
Understanding the fundamentals of attacksUnderstanding the fundamentals of attacks
Understanding the fundamentals of attacks
 
Rump : iOS patch diffing
Rump : iOS patch diffingRump : iOS patch diffing
Rump : iOS patch diffing
 
An easy way into your sap systems v3.0
An easy way into your sap systems v3.0An easy way into your sap systems v3.0
An easy way into your sap systems v3.0
 
Reverse engineering Swisscom's Centro Grande Modem
Reverse engineering Swisscom's Centro Grande ModemReverse engineering Swisscom's Centro Grande Modem
Reverse engineering Swisscom's Centro Grande Modem
 
Easy public-private-keys-strong-authentication-using-u2 f
Easy public-private-keys-strong-authentication-using-u2 fEasy public-private-keys-strong-authentication-using-u2 f
Easy public-private-keys-strong-authentication-using-u2 f
 
Create a-strong-two-factors-authentication-device-for-less-than-chf-100
Create a-strong-two-factors-authentication-device-for-less-than-chf-100Create a-strong-two-factors-authentication-device-for-less-than-chf-100
Create a-strong-two-factors-authentication-device-for-less-than-chf-100
 
Offline bruteforce attack on wi fi protected setup
Offline bruteforce attack on wi fi protected setupOffline bruteforce attack on wi fi protected setup
Offline bruteforce attack on wi fi protected setup
 
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...
App secforum2014 andrivet-cplusplus11-metaprogramming_applied_to_software_obf...
 
Warning Ahead: SecurityStorms are Brewing in Your JavaScript
Warning Ahead: SecurityStorms are Brewing in Your JavaScriptWarning Ahead: SecurityStorms are Brewing in Your JavaScript
Warning Ahead: SecurityStorms are Brewing in Your JavaScript
 
Killing any security product … using a Mimikatz undocumented feature
Killing any security product … using a Mimikatz undocumented featureKilling any security product … using a Mimikatz undocumented feature
Killing any security product … using a Mimikatz undocumented feature
 
Rump attaque usb_caralinda_fabrice
Rump attaque usb_caralinda_fabriceRump attaque usb_caralinda_fabrice
Rump attaque usb_caralinda_fabrice
 
Operation emmental appsec
Operation emmental appsecOperation emmental appsec
Operation emmental appsec
 

ASFWS 2011 : Maîtriser les risques opérationnels de ses applications. Quels standards sont faits pour vous?

  • 1. Maîtriser les risques opérationnels de ses applications Quels standards sont faits pour vous ? Joël Winteregg CEO-CTO, CISSP NetGuardians SA Application Security Forum Western Switzerland 27 octobre 2011 - HEIGVD Yverdon-les-Bains http://appsec-forum.ch
  • 2. Mais c’est qui lui ?  Chercheur dans le domaine de la sécurité (IDS) et de l’analyse des logs (HEIG-VD)  Co-Fondateur de NetGuardians SA Customers Partners  Actif dans différents efforts de standardisation des traces d’activités (XDAS, CEE) 27.10.2011 Application Security Forum - Western Switzerland - 2011 2
  • 3. Agenda  Risques opérationnels  Besoin de traces ?  Le problème  Initiative XDAS (Open Group)  Initiative CEE (MITRE)  Synergies ?  Conclusion 27.10.2011 Application Security Forum - Western Switzerland - 2011 3
  • 4. Risques Opérationnels  Risques liés à une inadéquation ou à une défaillance – Des procédures métier – Du personnel de l’entreprise – Des systèmes internes  Mesures de réduction des risques 1ère ligne de défense: Sécurité Opérationnelle 2ème ligne de défense: Contrôle Interne 3ème ligne de défense: Audit 27.10.2011 Application Security Forum - Western Switzerland - 2011 4
  • 5. Besoins de traces ? Compliance Troubleshooting Forensics Debugging Security Internal Control Audit 1ère 2ème 3ème Ligne Ligne Ligne 27.10.2011 Application Security Forum - Western Switzerland - 2011 5
  • 6. Où sont ces traces ? Software Logger Standard Logger d'audit (log4j, etc.) (xdas4j, etc.) Traces de debug Traces d’audit 27.10.2011 Application Security Forum - Western Switzerland - 2011 6
  • 7. Le Problème  Il y a autant de types de traces que de développeurs... – Cisco WLC Cold Start-sysUpTimeInstance = 14:1:34:46.00 snmpTrapOID.0 = bsnDot11StationAssociate bsnStationAPMacAddr.0 = 0:b:85:8f:5c:e0 bsnStationAPIfSlotId.0 = 0 bsnStationMacAddress.0 = 0:19:e3:6:ae:e9 bsnStationUserName.0 = user_x@netguardians.ch – Switch Nortel CPU5 [10/06/08 08:41:36] SSH INFO SSH: User Manager login /pty/sshd1. from 10.192.49.110 – Application Bancaire 201107220000959634.02;20080109;16:33:54:628;9;GB0010001;INPUTTER;FUNDS.TRANSF ER;1 I;FT08009000LO;;169.254.127.177 27.10.2011 Application Security Forum - Western Switzerland - 2011 7
  • 8. Le Problème  Les traces d'audit sont noyées dans les traces de debug (pas de canal séparé)  Les activités critiques ne sont pas tracées  Les traces sont régulièrement effacées  Le langage utilisé n'est pas uniforme Admin login User Manager login Root logon successfully Root logon attempt successful 27.10.2011 Application Security Forum - Western Switzerland - 2011 8
  • 9. Les solutions Aujourd'hui Demain XDAS, CEE, etc. 27.10.2011 Application Security Forum - Western Switzerland - 2011 9
  • 10. Initiative XDAS  Initiée et gérée par  Statut: définition / draft  Objectifs : – Modèle de données: champs à disposition – Taxonomie: mots à disposition – Format: structure des messages (JSON, XML, etc.) https://www.opengroup.org/projects/security/xdas/ 27.10.2011 Application Security Forum - Western Switzerland - 2011 10
  • 11. Modèle de données Source: XDAS, D. Corlette - Novell 27.10.2011 Application Security Forum - Western Switzerland - 2011 11
  • 12. Exemple: ADDHCP 02/07/09,15:57:04,Assign,10.192.68.96, HOSTX.mydomain.com,00:40:96:A9:50:38 Action: { Time: "02/07/09 15:57:04", Name: "Assigned IP Address", actionTax: "Address Assigned", outcomeTax: "Successful" } Initiator: { Target: { Host: { Host: { Name: "HostX.mydomain.com" Name: "ADDHCP" Address: { } Mac: "00:40:96:A9:50:38" Service: { } Name: "DHCP", Address: { Component : "Microsoft ipv4: "10.192.68.96" Windows DHCP server" } } } Observer: { } } Host: { Name: "ADDHCP" } Service: { Name: "DHCP", Component : "Microsoft Windows DHCP server" } } 27.10.2011 Application Security Forum - Western Switzerland - 2011 12
  • 13. XDAS : Aperçu  Orienté objet  Simple (peu de champs)  Extensible (possibilité d'ajouter des champs)  Taxonomie inspirée du vocabulaire: une source effectue une action (ayant un statut) sur une cible user authenticate attempt on server source action statut cible 27.10.2011 Application Security Forum - Western Switzerland - 2011 13
  • 14. Initiative CEE  Initiée et gérée par le  Statut : définition / draft  Objectifs : – Modèle de données : champs à disposition et profiles en fonction des applications – Taxonomie : mots à disposition – Format : structure des messages (JSON, XML, etc.) – Transport : protocole de transfert des messages – Recommandations : best practice des actions à tracer http://cee.mitre.org/ 27.10.2011 Application Security Forum - Western Switzerland - 2011 14
  • 15. CEE: Aperçu  Modèle de données: time, id, p_sys_id, p_prod_id, action, status, rec_id, crit, end_time, dur, tags  Pas de modèle conceptuel d'un événement  Modèle adaptable en fonction de domaines ou fonctions (notion de profiles)  Extensible (gestion des extensions via les profiles)  Taxonomie par Tags 27.10.2011 Application Security Forum - Western Switzerland - 2011 15
  • 16. Synergies ou concurrence ?  XDAS: Vision réduite au minimum nécessaire  CEE: Vision large et complète XDAS Scope Source: CEE, http://cee.mitre.org 27.10.2011 Application Security Forum - Western Switzerland - 2011 16
  • 17. Synergies ou concurrence ?  Beaucoup de membres font parties des deux organisations  Objectif initial – Reprendre XDAS pour le modèle de données du CEE  Résultat: Actuellement un échec – Le CEE propose un concept de modèle de données complètement différent de XDAS 27.10.2011 Application Security Forum - Western Switzerland - 2011 17
  • 18. Avis Personnel  Approche complémentaire sur certains points  Modèle de données et taxonomie – CEE : Nécessite une connaissance des attributs (pas de modèle conceptuel simple à retenir) – CEE : Lourde gestion de profiles (catégorie de messages) – CEE : Taxonomie difficile à gérer (tags) – XDAS : Approche plus légère et plus intuitive 27.10.2011 Application Security Forum - Western Switzerland - 2011 18
  • 19. Standards utilisables aujourd'hui? XDAS4J – prototypage du standard XDAS http://xdas4j.codehaus.org/demo/ 27.10.2011 Application Security Forum - Western Switzerland - 2011 19
  • 20. Participez !!  Aidez nous à unifier ces initiatives : – CEE: Donnez votre avis, commentez http://cee.mitre.org/discussiongroup.html – XDAS: Testez, donnez votre avis, participez http://xdas4j.codehaus.org/ j.winteregg@opengroup.org 27.10.2011 Application Security Forum - Western Switzerland - 2011 20
  • 21. Conclusion  Les logs existent depuis le début de l'informatique  Toujours pas de solution efficace afin de générer des traces d'audit propres  Des initiatives sont en cours  Testez xdas4j (prototypage) et participez 27.10.2011 Application Security Forum - Western Switzerland - 2011 21
  • 22. Vos questions ? 27.10.2011 Application Security Forum - Western Switzerland - 2011 22
  • 23. Merci! Joël Winteregg winteregg@netguardians.ch twitter.com/j_winteregg twitter.com/netguardians facebook.com/NetGuardians SLIDES A TELECHARGER PROCHAINEMENT: http://slideshare.net/ASF-WS 27.10.2011 Application Security Forum - Western Switzerland - 2011 23