View
660
Download
1
Category
Preview:
DESCRIPTION
Introduction des risques opérationnels au niveau applicatifs (quels sont-ils, d’où proviennent-ils), comment les traces d’audit permettent de mieux contrôler ces risques, quels sont les initiatives dans le domaine, présentation des initiatives de l’Open Group (XDAS,cf.http://xdas4j.codehaus.org/slides/XDAS_toronto.pdf) et du MITRE (CEE), comment utiliser ces standards aujourd’hui. Application Security Forum 2011 27.10.2011 - Yverdon-les-Bains (Suisse) Conférencier: Joël Winteregg
Citation preview
Application Security ForumWestern Switzerland
27 octobre 2011 - HEIGVD Yverdon-les-Bainshttp://appsec-forum.ch
Maîtriser les risques opérationnels de ses applicationsQuels standards sont faits pour vous ?
Joël WintereggCEO-CTO, CISSPNetGuardians SA
Chercheur dans le domaine de la sécurité (IDS)et de l’analyse des logs (HEIG-VD)
Co-Fondateur de NetGuardians SA
Actif dans différents efforts de standardisation des traces d’activités (XDAS, CEE)
Mais c’est qui lui ?
27.10.2011 2Application Security Forum - Western Switzerland - 2011
Cu
stom
ers
Partners
Agenda
Risques opérationnels Besoin de traces ? Le problème Initiative XDAS (Open Group) Initiative CEE (MITRE) Synergies ? Conclusion
27.10.2011 Application Security Forum - Western Switzerland - 2011 3
Risques Opérationnels
Risques liés à une inadéquation ou à une défaillance– Des procédures métier– Du personnel de l’entreprise– Des systèmes internes
Mesures de réduction des risques1ère ligne de défense: Sécurité Opérationnelle2ème ligne de défense: Contrôle Interne3ème ligne de défense: Audit
27.10.2011 Application Security Forum - Western Switzerland - 2011 4
Besoins de traces ?
27.10.2011 Application Security Forum - Western Switzerland - 2011 5
TroubleshootingDebugging
AuditSecurity
Compliance
Internal Control
Forensics
1ère Ligne
2ème Ligne
3ème Ligne
Où sont ces traces ?
27.10.2011 Application Security Forum - Western Switzerland - 2011 6
Traces de debug Traces d’audit
Software
Logger Standard(log4j, etc.)
Logger d'audit (xdas4j, etc.)
Le Problème
Il y a autant de types de traces que de développeurs...– Cisco WLC
– Switch Nortel
– Application Bancaire
27.10.2011 Application Security Forum - Western Switzerland - 2011 7
Cold Start-sysUpTimeInstance = 14:1:34:46.00 snmpTrapOID.0 = bsnDot11StationAssociate bsnStationAPMacAddr.0 = 0:b:85:8f:5c:e0 bsnStationAPIfSlotId.0 = 0 bsnStationMacAddress.0 = 0:19:e3:6:ae:e9 bsnStationUserName.0 = user_x@netguardians.ch
CPU5 [10/06/08 08:41:36] SSH INFO SSH: User Manager login /pty/sshd1. from 10.192.49.110
201107220000959634.02;20080109;16:33:54:628;9;GB0010001;INPUTTER;FUNDS.TRANSFER;1 I;FT08009000LO;;169.254.127.177
Le Problème
Les traces d'audit sont noyées dans les traces de debug (pas de canal séparé)
Les activités critiques ne sont pas tracées Les traces sont régulièrement effacées Le langage utilisé n'est pas uniforme
27.10.2011 Application Security Forum - Western Switzerland - 2011 8
User Manager loginAdmin login
Root logon successfully
Root logon attempt successful
Les solutions
27.10.2011 Application Security Forum - Western Switzerland - 2011 9
Aujourd'hui Demain
XDAS, CEE, etc.
Initiative XDAS
Initiée et gérée par Statut: définition / draft Objectifs :
– Modèle de données: champs à disposition– Taxonomie: mots à disposition– Format: structure des messages (JSON, XML, etc.)
https://www.opengroup.org/projects/security/xdas/
27.10.2011 Application Security Forum - Western Switzerland - 2011 10
Modèle de données
27.10.2011 Application Security Forum - Western Switzerland - 2011 11
Source: XDAS, D. Corlette - Novell
Exemple:
27.10.2011 Application Security Forum - Western Switzerland - 2011 12
ADDHCP 02/07/09,15:57:04,Assign,10.192.68.96,HOSTX.mydomain.com,00:40:96:A9:50:38
Initiator: { Host: { Name: "HostX.mydomain.com" Address: { Mac: "00:40:96:A9:50:38" } Address: { ipv4: "10.192.68.96" } } }
Target: { Host: { Name: "ADDHCP" } Service: { Name: "DHCP", Component : "Microsoft
Windows DHCP server"
} }
Action: { Time: "02/07/09 15:57:04", Name: "Assigned IP Address", actionTax: "Address Assigned", outcomeTax: "Successful" }
Observer: { Host: { Name: "ADDHCP" } Service: { Name: "DHCP", Component : "Microsoft Windows DHCP server" } }
XDAS : Aperçu
Orienté objet Simple (peu de champs) Extensible (possibilité d'ajouter des champs) Taxonomie inspirée du vocabulaire: une source
effectue une action (ayant un statut) sur une cible user authenticate attempt on serversource action statut cible
27.10.2011 Application Security Forum - Western Switzerland - 2011 13
Initiative CEE
Initiée et gérée par le Statut : définition / draft Objectifs :
– Modèle de données : champs à disposition et profiles en fonction des applications
– Taxonomie : mots à disposition– Format : structure des messages (JSON, XML, etc.)– Transport : protocole de transfert des messages– Recommandations : best practice des actions à tracer
http://cee.mitre.org/
27.10.2011 Application Security Forum - Western Switzerland - 2011 14
CEE: Aperçu
Modèle de données: time, id, p_sys_id, p_prod_id, action, status, rec_id, crit, end_time, dur, tags
Pas de modèle conceptuel d'un événement Modèle adaptable en fonction de domaines ou
fonctions (notion de profiles) Extensible (gestion des extensions via les profiles) Taxonomie par Tags
27.10.2011 Application Security Forum - Western Switzerland - 2011 15
Synergies ou concurrence ?
XDAS: Vision réduite au minimum nécessaire CEE: Vision large et complète
27.10.2011 Application Security Forum - Western Switzerland - 2011 16
Source: CEE, http://cee.mitre.org
XDAS Scope
Synergies ou concurrence ?
Beaucoup de membres font parties des deux organisations
Objectif initial– Reprendre XDAS pour le modèle de données du CEE
Résultat: Actuellement un échec– Le CEE propose un concept de modèle de données
complètement différent de XDAS
27.10.2011 Application Security Forum - Western Switzerland - 2011 17
Avis Personnel
Approche complémentaire sur certains points Modèle de données et taxonomie
– CEE : Nécessite une connaissance des attributs (pas de modèle conceptuel simple à retenir)
– CEE : Lourde gestion de profiles (catégorie de messages)
– CEE : Taxonomie difficile à gérer (tags)– XDAS : Approche plus légère et plus intuitive
27.10.2011 Application Security Forum - Western Switzerland - 2011 18
Standards utilisables aujourd'hui?XDAS4J – prototypage du standard XDAS
27.10.2011 Application Security Forum - Western Switzerland - 2011 19
http://xdas4j.codehaus.org/demo/
Participez !!
Aidez nous à unifier ces initiatives :– CEE: Donnez votre avis, commentez
http://cee.mitre.org/discussiongroup.html
– XDAS: Testez, donnez votre avis, participez http://xdas4j.codehaus.org/j.winteregg@opengroup.org
27.10.2011 Application Security Forum - Western Switzerland - 2011 20
Conclusion
27.10.2011 Application Security Forum - Western Switzerland - 2011 21
Les logs existent depuis le début de l'informatique
Toujours pas de solution efficace afin de générer des traces d'audit propres
Des initiatives sont en cours Testez xdas4j (prototypage) et participez
Vos questions ?
27.10.2011 Application Security Forum - Western Switzerland - 2011 22
Merci!
Joël Wintereggwinteregg@netguardians.chtwitter.com/j_winteregg
twitter.com/netguardiansfacebook.com/NetGuardians
27.10.2011 Application Security Forum - Western Switzerland - 2011 23
SLIDES A TELECHARGER PROCHAINEMENT:http://slideshare.net/ASF-WS
Recommended