CERT.be Brussels 2011

Dimension: px

Commencer à balayer dès la page:

Download "CERT.be Brussels 2011"

Marcel Marier
il y a 8 ans
Total affichages :

2 Quoi?

3 CERT Computer Emergency Response Team CSIRT : Computer Security Incident Response Team = Le CERT national belge 3

4 Notre Mission La mission du consiste à aider les ressources clés, les infrastructures critiques et le grand public belge à protéger leurs infrastructures IT: Les informer sur les incidents de sécurité, Donner du support pour la gestion d'incidents, Coordonner des incidents à grande échelle, Aider à mettre en place des activités CSIRT, Partager de la connaissance et des données 4

5 Notre rôle (Réactif) Gestion d'incidents informatiques et réseau (Proactif) Publication d'information sur la sécurité IT Sensibilisation Partage de données et de connaissance 5

6 Services Réactifs

7 Gestion d'incident Analyse d'incident Evaluer la menace Publication de rapports Soutien dans la réponse aux incidents 7

8 Gestion d'incidents Coordonner des incidents: ex. DNS.be 8

9 Alertes et avertissements RSS Feed sur des avis de sécurité 9

10 Problèmes liés au CERT Abondance de sources Abusix, Clean-MX, Shadowserver, Dshield,... Approche old school 1-à-1, redondance, pas efficace Perte de moyens et d'informations précieux triage manuel, suivi compliqué, un nombre élevé de tickets 10

11 Conclusion du CERT Il faut automatiser Il faut adapter les canaux de communication Il faut travailler ensemble CERTs Constituents FAIs 11

12 AbuseHelper Un Framework open source générique Un système modulaire de bots et de salles de chat Sorties et entrées flexibles Rapport d'incidents automatiques 12

13 Services Proactifs 13

14 Communication 14

15 Technology Watch Activité standard: Monitorer des sites web Mailing lists Ce tenir au courant des nouvelles technologies Plusieurs publications : Articles Avis de sécurité etc... 15

16 Propagation d'information de sécurité 16

17 Education / Cours Démarrer des activités CSIRT 17

18 Sensibilisation Conférences Workshops 18

19 Qui?

20 Qui est derrière le Opéré par BELNET, le réseau belge de l'éducation et de la recherche Financé par FEDICT En coordination avec l'ibpt En collaboration avec le FCCU 20

21 Qui est derrière le Coordinateur Ad Interim: Christian Van Heurck Security Analysts: Koen Van Impe Jérôme Devigne David Durvaux Yorkvik Jacqmin Jacqueline Dulmaine Belnet team: Support (technique, légal, communication,...) 21

22 Phases

23 Pas de big bang, mais un projet en phases Phase 1 Démarrage : Septembre Priorités : Infrastructures critiques Phase 2 Démarrage : Janvier 2010 Extension au grand publique 23

24 Phases suivantes Phase 3 Démarrage: Juillet 2011 Extension heures d'ouvertures Phase 4 Démarrage: Juillet 2012 Plus de services 24

25 Qu'est-ce qui change?

26 Changement pour vous Vous continuez à être responsable de votre réseau et de vos systèmes Cependant: Nous sommes une source d'information neutre Nous pouvons vous aider lors d'incidents Nous répondons à vos questions 26

27 Rapporter les incidents est important! Vous n'êtes peut-être pas le seul sous attaque D'autres on déjà trouvé une solution Votre solution peut aider d'autres personnes Le comme point de contact unique permet le partage de ce genre d'information 27

28 Rapporter des incidents Formulaire web: Telephone:

29 my Comment vous contacter? normaux serieux Incident important Comment vous aider? Feeds, Dashboard, Mails, chat,? AbuseHelper FCCU Que pouvons nous partager? Données Legal Connaissance ISAC 29

30 ISAC Information Sharing and Analysis Centre Un endroit ou des personnes ayant les mêmes intérêts peuvent partager leurs expériences et leurs connaissances Acivité principale : réunions avec discussions et présentations, trois fois par an Régi par un petit nombre de règles La logistique et le secrétariat réglé par le 30

31 Traffic Light Protocol Le Traffic Light Protocl, ou TLP, qu'on pourrait traduire par "Protocole par Feu de Signalisation", a été conçu afin de contrôler et encourager le partage d'information. RED Des informations RED (ROUGE) sont limitées aux personnes présentes à une réunion, ou au destinataire direct de toute forme de courrier (y compris électronique) contenant l'information. AMBER On peut partager une information AMBER (ORANGE) au sein de l'organisation du destinataire, sur base du besoin d'en avoir connaissance. L'expéditeur a le droit de spécifier des limites à ce partage. GREEN Une information GREEN (VERTE) peut circuler largement au sein d'une communauté. Cependant, il n'est pas permis de la publier sur internet ou de la diffuser en dehors de la communauté. WHITE Il n'y a pas de restriction à la diffusion d'informations WHITE (BLANCHES) - du moins dans la limite de la légalité (droits d'auteurs, par exemple). 31

32 Merci! Questions?

Documents pareils

Pour la sécurité Internet et réseau de votre organisation. Cyberincidents Résolution et prévention

Pour la sécurité Internet et réseau de votre organisation Cyberincidents Résolution et prévention SOMMAIRE Cybercriminalité : les risques pour votre entreprise 04 06 La cybercriminalité aujourd hui 10