Introduction des risques opérationnels au niveau applicatifs (quels sont-ils, d’où proviennent-ils), comment les traces d’audit permettent de mieux contrôler ces risques, quels sont les initiatives dans le domaine, présentation des initiatives de l’Open Group (XDAS,cf.http://xdas4j.codehaus.org/slides/XDAS_toronto.pdf) et du MITRE (CEE), comment utiliser ces standards aujourd’hui.
Application Security Forum 2011
27.10.2011 - Yverdon-les-Bains (Suisse)
Conférencier: Joël Winteregg
ASFWS 2011 : Maîtriser les risques opérationnels de ses applications. Quels standards sont faits pour vous?
1. Maîtriser les risques opérationnels
de ses applications
Quels standards sont faits pour vous ?
Joël Winteregg
CEO-CTO, CISSP
NetGuardians SA
Application Security Forum
Western Switzerland
27 octobre 2011 - HEIGVD Yverdon-les-Bains
http://appsec-forum.ch
2. Mais c’est qui lui ?
Chercheur dans le domaine de la sécurité (IDS)
et de l’analyse des logs (HEIG-VD)
Co-Fondateur de NetGuardians SA
Customers
Partners
Actif dans différents efforts de standardisation des
traces d’activités (XDAS, CEE)
27.10.2011 Application Security Forum - Western Switzerland - 2011 2
3. Agenda
Risques opérationnels
Besoin de traces ?
Le problème
Initiative XDAS (Open Group)
Initiative CEE (MITRE)
Synergies ?
Conclusion
27.10.2011 Application Security Forum - Western Switzerland - 2011 3
4. Risques Opérationnels
Risques liés à une inadéquation ou à une défaillance
– Des procédures métier
– Du personnel de l’entreprise
– Des systèmes internes
Mesures de réduction des risques
1ère ligne de défense: Sécurité Opérationnelle
2ème ligne de défense: Contrôle Interne
3ème ligne de défense: Audit
27.10.2011 Application Security Forum - Western Switzerland - 2011 4
5. Besoins de traces ?
Compliance
Troubleshooting
Forensics
Debugging
Security Internal Control Audit
1ère 2ème 3ème
Ligne Ligne Ligne
27.10.2011 Application Security Forum - Western Switzerland - 2011 5
6. Où sont ces traces ?
Software
Logger Standard Logger d'audit
(log4j, etc.) (xdas4j, etc.)
Traces de debug Traces d’audit
27.10.2011 Application Security Forum - Western Switzerland - 2011 6
7. Le Problème
Il y a autant de types de traces que de
développeurs...
– Cisco WLC
Cold Start-sysUpTimeInstance = 14:1:34:46.00 snmpTrapOID.0 =
bsnDot11StationAssociate bsnStationAPMacAddr.0 = 0:b:85:8f:5c:e0
bsnStationAPIfSlotId.0 = 0 bsnStationMacAddress.0 = 0:19:e3:6:ae:e9
bsnStationUserName.0 = user_x@netguardians.ch
– Switch Nortel
CPU5 [10/06/08 08:41:36] SSH INFO SSH: User Manager login /pty/sshd1.
from 10.192.49.110
– Application Bancaire
201107220000959634.02;20080109;16:33:54:628;9;GB0010001;INPUTTER;FUNDS.TRANSF
ER;1 I;FT08009000LO;;169.254.127.177
27.10.2011 Application Security Forum - Western Switzerland - 2011 7
8. Le Problème
Les traces d'audit sont noyées dans les traces de
debug (pas de canal séparé)
Les activités critiques ne sont pas tracées
Les traces sont régulièrement effacées
Le langage utilisé n'est pas uniforme
Admin login
User Manager login
Root logon successfully
Root logon attempt successful
27.10.2011 Application Security Forum - Western Switzerland - 2011 8
9. Les solutions
Aujourd'hui Demain
XDAS, CEE, etc.
27.10.2011 Application Security Forum - Western Switzerland - 2011 9
10. Initiative XDAS
Initiée et gérée par
Statut: définition / draft
Objectifs :
– Modèle de données: champs à disposition
– Taxonomie: mots à disposition
– Format: structure des messages (JSON, XML, etc.)
https://www.opengroup.org/projects/security/xdas/
27.10.2011 Application Security Forum - Western Switzerland - 2011 10
11. Modèle de données
Source: XDAS, D. Corlette - Novell
27.10.2011 Application Security Forum - Western Switzerland - 2011 11
13. XDAS : Aperçu
Orienté objet
Simple (peu de champs)
Extensible (possibilité d'ajouter des champs)
Taxonomie inspirée du vocabulaire: une source
effectue une action (ayant un statut) sur une cible
user authenticate attempt on server
source action statut cible
27.10.2011 Application Security Forum - Western Switzerland - 2011 13
14. Initiative CEE
Initiée et gérée par le
Statut : définition / draft
Objectifs :
– Modèle de données : champs à disposition et profiles en
fonction des applications
– Taxonomie : mots à disposition
– Format : structure des messages (JSON, XML, etc.)
– Transport : protocole de transfert des messages
– Recommandations : best practice des actions à tracer
http://cee.mitre.org/
27.10.2011 Application Security Forum - Western Switzerland - 2011 14
15. CEE: Aperçu
Modèle de données: time, id, p_sys_id,
p_prod_id, action, status, rec_id, crit, end_time,
dur, tags
Pas de modèle conceptuel d'un événement
Modèle adaptable en fonction de domaines ou
fonctions (notion de profiles)
Extensible (gestion des extensions via les profiles)
Taxonomie par Tags
27.10.2011 Application Security Forum - Western Switzerland - 2011 15
16. Synergies ou concurrence ?
XDAS: Vision réduite au minimum nécessaire
CEE: Vision large et complète
XDAS Scope
Source: CEE, http://cee.mitre.org
27.10.2011 Application Security Forum - Western Switzerland - 2011 16
17. Synergies ou concurrence ?
Beaucoup de membres font parties des deux
organisations
Objectif initial
– Reprendre XDAS pour le modèle de données du CEE
Résultat: Actuellement un échec
– Le CEE propose un concept de modèle de données
complètement différent de XDAS
27.10.2011 Application Security Forum - Western Switzerland - 2011 17
18. Avis Personnel
Approche complémentaire sur certains points
Modèle de données et taxonomie
– CEE : Nécessite une connaissance des attributs (pas de
modèle conceptuel simple à retenir)
– CEE : Lourde gestion de profiles (catégorie de
messages)
– CEE : Taxonomie difficile à gérer (tags)
– XDAS : Approche plus légère et plus intuitive
27.10.2011 Application Security Forum - Western Switzerland - 2011 18
19. Standards utilisables aujourd'hui?
XDAS4J – prototypage du standard XDAS
http://xdas4j.codehaus.org/demo/
27.10.2011 Application Security Forum - Western Switzerland - 2011 19
20. Participez !!
Aidez nous à unifier ces initiatives :
– CEE: Donnez votre avis, commentez
http://cee.mitre.org/discussiongroup.html
– XDAS: Testez, donnez votre avis, participez
http://xdas4j.codehaus.org/
j.winteregg@opengroup.org
27.10.2011 Application Security Forum - Western Switzerland - 2011 20
21. Conclusion
Les logs existent depuis le début de
l'informatique
Toujours pas de solution efficace afin de générer
des traces d'audit propres
Des initiatives sont en cours
Testez xdas4j (prototypage) et participez
27.10.2011 Application Security Forum - Western Switzerland - 2011 21