Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
DÉCOUVERTE, COLLABORATION ET INNOVATION
Martin Fontaine – Développement de l’écosystème de cybersécurité
2
PLAN DE LA PRÉSENTATION
INTRODUCTION DÉCOUVERTE COLLABORATION INNOVATION
3
CENTRE DE LA SÉCURITÉ DES TÉLÉCOMMUNICATIONS (CST)
MISSION : Fournir et protéger l’information d’intérêt national au moyen de techniques de pointe, en synergie avec nos partenaires.
VISION : Préserver la sécurité du Canada par
la supériorité de l’information.
4
MANDAT DU CST PRESCRIT PAR LA LOI
Fournir des avis, des conseils et des services pour aider à protéger les renseignements électroniques et les infrastructures d’information importantes pour le gouvernement du Canada
Partie A Partie B
Partie C
Fournir une assistance technique et opérationnelle aux organismes fédéraux chargés de l’application de la loi et de la sécurité, dans l’exercice des fonctions que la loi leur confère
Fournir des renseignements étrangers, en conformité avec les priorités du gouvernement du Canada en matière de renseignement
5
À PROPOS DE MOI… • 20 ans au CST… • Actuellement directeur du Développement de
l’écosystème de cybersécurité • 4 ans à titre de gestionnaire au sein des Opérations
de cyberdéfense • 12 ans en recherche appliquée en informatique • 4 ans en génie logiciel appliqué à la cryptanalyse • Formation : informatique et apprentissage machine
6
PHILOSOPHIE DE PARTENARIAT EN CYBERSÉCURITÉ DU CST • Nous sommes tous dans le même bateau! • 10 secteurs essentiels au Canada
• Nous reconnaissons l’importance d’être un
contributeur de premier plan à l’échelle nationale.
Santé Sécurité
Alimentation Énergie et services publics
Finances Secteur manufacturier
Eau Gouvernement
Technologies de l’information et communications
Transports
7
PLAN DE LA PRÉSENTATION INTRODUCTION DÉCOUVERTE COLLABORATION INNOVATION
8
DÉCOUVERTE • Vous devez continuellement présumer qu’il y a eu une intrusion et
essayer de la découvrir • Les attaquants sérieux et sophistiqués vont toujours tester leurs
stratégies d’attaque sur une panoplie de produits de sécurité commerciaux afin d’assurer la clandestinité de leurs attaques
• La créativité et la ténacité des attaquants n’ont pas de limites • Nous devons être plus futés dans la conception des techniques de
cyberdécouverte • Les attaquants maintiennent leur présence sur le système pendant
plus de 200 jours avant d’être découverts*
*M-Trends report 2015 – FireEye
9
ÉTUDE DE CAS : DÉCOUVERTE DE CANAUX DE COMMANDEMENT ET DE CONTRÔLE (C-C) DISSIMULÉS
DU PLUS SIMPLE AU PLUS SOPHISTIQUÉ
• Exemple 1 : Shells Web • Exemple 2 : Double utilisation d’un domaine • Exemple 3 : Utilisation d’un service d’édition infonuagique
10
SHELLS WEB
*Certains exploits utilisent l’injection, sans jamais laisser de traces sur le système de fichier
• Un shell Web est un fichier exécutable* placé sur un serveur Web donnant accès à une console d’exécution à distance sur ce serveur
• Typiquement utilisé pour naviguer plus profondément dans le réseau et transmettre du contenu infecté à d’autres visiteurs ou extraire leurs justificatifs d’identité
Réseau cible
Serveur Web légitime de l’entreprise
Attaquant
Exploitation CVE
11
SHELLS WEB • Le serveur Web légitime de l’entreprise est en fait le canal C-C!
12
DOUBLE UTILISATION D’UN DOMAINE • L’attaquant a compromis un serveur Web légitime : légitime.com • L’attaquant déploie un implant « Demux » sur le serveur
légitime.com • Le canal de commandement et de contrôle est caché à même
le trafic Web normal allant au serveur légitime.com (souvent en utilisant SSL/TLS)
13
DOUBLE UTILISATION D’UN DOMAINE
Réseau cible
Exploit initial du point d’extrémité
Ordinateur compromis
Ordinateur non touché
Attaquant Exploit shell Web
Infra. de l’attaquant
Infra. de l’attaquant
Implant Demux secondaire
Site Web légitime https://legit.com
14
UTILISATION D’UN SERVICE D’ÉDITION INFONUAGIQUE
Réseau cible
Exploit initial du point d’extrémité
Ordinateur compromis
Attaquant
Service infonuagique https://www.MyDocs.com
Faux document
15
PROBLÈMES COMPLEXES LIÉS AUX CANAUX DE COMMANDEMENT ET DE CONTRÔLE
• Difficile à détecter • Le simple blocage (ou redirection de domaine) n’est pas possible
sans avoir une incidence sur l’utilisation légitime du réseau • La détection nécessite ce qui suit :
• Analyse statistique des comportements anormaux • Données volumineuses (big data) • Apprentissage non supervisé (regroupement ou clustering) • Utilisation de passerelle SSL/TLS • Analyse combinée des réseaux et des points d’extrémité
16
PLAN DE LA PRÉSENTATION INTRODUCTION DÉCOUVERTE COLLABORATION INNOVATION
17
COLLABORATION • L’union fait la force • Plusieurs niveaux de collaboration
1. Échange d’idées 2. Échange de techniques et de procédures opérationnelles 3. Échange de rapports de renseignement et d’indicateurs actionnables 4. Intégration opérationnelle
• Accent sur les scénarios où tout le monde y gagne • Tout le monde bénéficie du partenariat
18
ÉTUDE DE CAS : DÉCOUVERTE DES DGA ET GOUFFRE • Le CST a développé une technique pour reconnaitre l’utilisation d’algorithmes de génération de
domaine (DGA pour Domain Generation Algorithm) • Un système d’apprentissage machine utilisant les chaînes de Markov est entrainé pour reconnaitre un
domaine généré par un DGA • Exemple de domaine : x6hdlei204kdhifnengodkwehweadh.cz • Problème : La détection n’est pas en ligne Une réponse risque de passer au moins une fois…
Demande DNS :
Réponse DNS :
Gouffre Évaluation des DGA Approvisionnement
Analyse passive Détection des DGA
Course avec 3
19
ÉTUDE DE CAS : DÉCOUVERTE DES DGA ET GOUFFRE • Scénario collaboratif améliorant le rendement de tous les partenaires
Échange avec intégration en temps réel
Course avec 3
Gouffre Gouffre Évaluation des DGA Évaluation
des DGA
Approvisionnement Approvisionnement
Analyse passive Détection des DGA
Analyse passive Détection des DGA
Demande DNS : Demande DNS :
Réponse DNS : Réponse DNS : IP du gouffre
20
PARTENARIATS INTÉGRÉS • Partnership for the Advance of Leading edge Analytics and Defence of
Integrated Networks • Plateforme Web avancée permettant ce qui suit :
• Création de rapports et de tableaux de bord dynamiques et interactifs • Échange d’information aux niveaux TRÈS SECRET, SECRET et NON CLASSIFIÉ • Plateformes connectées au moyen de solutions de sécurité interdomaines • Fonctionnalités de communication sociale permettant au CST de rejoindre l’auditoire
approprié, d’obtenir de la rétroaction et d’améliorer ses services d’échange • Couche de service sécurisée servant à l’intégration système à système • Publication de documents d’architecture communiquant les méthodes d’intégration avec la
plateforme d’échange • Échange d’outils visant à appliquer les scénarios d’intégration opérationnelle
21
CRÉATION DE RAPPORTS ET DE TABLEAUX DE BORD DYNAMIQUES ET INTERACTIFS
Cyberanalyste
Agent responsable de l’engagement et de l’échange
Installation de développement du savoir-faire
Acteur à l’extérieur du CST
Espace de travail de l’analyste
Sharing and Equity Board Sharing and Equity Board
Information utilisée et conservée
– Prepare Report Templates – Prepare Active and Dynamic Defence Dashboards – Share with the Cyber Security Ecosystem
–
– –
– Keep as used and retained
– Read Reports – Consult Dashboards – Provides Feedback
– Derives Reportable Objects
– Rapports automatiques
- Lit les rapports - Consulte les tableaux de bord - Fournit de la rétroaction
- Prépare les modèles de rapport - Prépare les tableaux de bord dynamiques de défense - Échange avec l’écosystème de cybersécurité
Conseil de gestion des actifs technologiques et de l’échange
- Détermine les règles en matière d’échange
- Conçoit le savoir-faire - Analyse, trie et raffine
- Garde l’information à titre d’information utilisée et conservée
Sélectionne les objets à signaler
22
PLATEFORMES CONNECTÉES AU MOYEN DE SOLUTIONS DE SÉCURITÉ INTERDOMAINES
TRADECRAFT
TRÈS SECRET SECRET NON CLASSIFIÉ
Used and RetainedInformation
Modèles de rapports et de tableaux de bord
(STIX, React, Tableau, SPLUNK, etc.)
Instructions actionnables
UNCLASSIFIED Partner
SECRET Partner
Live DashboardsLive Dashboards Live DashboardsLive Dashboards
Instructions actionnables Instructions
actionnables
Rétroaction
SAVOIR-FAIRE
SYSTÈME DE GESTION DES INSTRUCTIONS
Information utilisée et conservée
Partenaire SECRET
Partenaire NON CLASSIFIÉ
BlackBerry SECRET
Tableaux de bord interactifs Tableaux de bord interactifs
23
FONCTIONNALITÉS DE COMMUNICATION PERMETTANT AU CST DE DIFFUSER L’INFORMATION À L’AUDITOIRE APPROPRIÉ
- Actionable Instructions- Reports- Report Templates
CCTXCanadian
Cyber ThreatEXchange
- Actionable Instructions- Reports- Dashboards
Ultimate RecipientAble to Action the
Shared Information
- Actionable Instructions- Reports- Dashboards
- Feedback- Questions- Discussions- Co-creation!
- Instructions actionnables - Rapports - Modèles de rapport
- Instructions actionnables - Rapports - Tableaux de bord
- Rétroaction - Questions - Discussions - Co-création
- Instructions actionnables - Rapports - Tableaux de bord
Le destinataire est en mesure de prendre des mesures consécutives à l’échange de l’information
24
COUCHE DE SERVICE SÉCURISÉE SERVANT À L’INTÉGRATION SYSTÈME À SYSTÈME
Service Catalogue- STIX/TAXII (e.g. Soltra Edge)- SWEAT SHOP- METRIC/FEEDBACK HANDLE- Etc.
Partner’s Automated System
STIX Document Exchange
PKI Authenticated/Encrypted WEB Service B-to-B Layer
SWEAT Shop: malware Submission
Metrics & FeedbackAssociated with Shared Information - Number of observations - Number of mitigations - Etc.
Catalogue de services (p. ex. Soltra Edge)
Système automatisé du partenaire
Échange de documents STIX
SWEAT SHOP : soumission de maliciel
Couche de service Web B-to-B chiffrée et authentifiée par ICP
Mesures et rétroaction liées à l’information échangée - Nombre d’observations - Nombre de mesures d’atténuation - Etc.
25
PLAN DE LA PRÉSENTATION INTRODUCTION DÉCOUVERTE COLLABORATION INNOVATION
26
INNOVATION • L’innovation est notre seule arme contre les attaquants • C’est notre responsabilité d’encourager et de stimuler l’innovation
dans nos entreprises respectives et au Canada • L’innovation au CST
• Partenariats de R-D à l’interne ainsi qu’à l’échelle nationale et internationale • Ateliers internes de R-D • Projet de recherche personnel d’une demi-journée par semaine • Participation du personnel opérationnel à la définition des problèmes et des
initiatives potentielles en matière de R-D • Participation aux incubateurs de l’innovation : Smart Cities, VENUS
27
INNOVATION : VALIDATION AUTOMATISÉE DES MESURES D’ATTÉNUATION
• Simulation et validation automatique des effets des mesures d’atténuation
• Chacun des domaines/IP/indicateurs est étiqueté OUI, NON ou PEUT-ÊTRE
• OUI L’indicateur est automatiquement chargé dans le dispositif de blocage sans intervention humaine
• PEUT-ÊTRE Confirmation humaine nécessaire
• NON Procédure d’atténuation automatique refusée
28
INNOVATION : ANALYSE AUTOMATISÉE ASSISTÉE PAR DES HUMAINS
Regroupement non supervisé
Raffinement supervisé
Modèles de données et de fonctionnalités
Journaux
Comportements anormaux
Fonctionnalités extraites
Télémétrie de l’hôte Trafic réseau
Métadonnées réseau
Analyse des fichiers et des maliciels
Rapports et fils sur les menaces Enrichissements
Installation de fusion des données
29
INNOVATION : FILTRAGE COLLABORATIF • Collaboration de plusieurs équipes de triage au raffinement collectif d’un
modèle d’apprentissage machine commun (réduction des faux positifs)
Échange avec intégration en temps réel
Regroupement non supervisé
Regroupement non supervisé
Raffinement supervisé
Raffinement supervisé
30
INNOVATION : NFV ET SDN –> RÉSILIENCE RÉSEAU • NFV et SDN Ami et ennemi • Questions
• Comment utiliser les fonctions dynamiques NFV et SDN comme mécanismes de défense réseau?
• Comment tirer avantage de cette technologie pour :
• Résister au DDoS • Rediriger les paquets vers une zone
d’analyse • Créer des pots de miel (honeypots)
COUCHE APPLICATION
COUCHE DE CONTRÔLE
COUCHE INFRASTRUCTURE
Services réseau
Applications opérationnelles
Services réseau
Flux avant
Flux après
Commutateur SDN
Commutateur SDN
Commutateur SDN
Domaine du système de réseau virtuel
Coupe-feu Coupe-feu
31
INNOVATION : ÉTABLISSEMENT D’UN PÉRIMÈTRE VIRTUEL • Le périmètre physique s’effrite • Fortes pressions exercées pour
migrer à une infrastructure TI dématérialisée
• La sécurité est alors déléguée à une tierce partie
• Proposition Investir dans les technologies de passerelles en ligne virtualisées et dans les technologies de conteneurisation
Avenir? Solution logicielle intégrée
Solution logicielle Applications
tierces* Coupe-feu
Surveillance, coupe-feu distribué
N’importe quel CMP
N’importe quelle charge de travail N’importe quelle
topologie
Contrôleur
N’importe quel hyperviseur
MV MV MV MV Passerelle
Passerelle
Site distant *Élément de la feuille de route
Hôtes physiques
MONDE
MONDE
N’importe quel réseau Nœuds de
service
32
CONCLUSION
• Nous voulons tous un Canada prospère et sûr
• Nous faisons tous partie de la solution • Continuons d’investir dans la découverte, la collaboration et
l’innovation!
33
QUESTIONS