La vigie en sécurité de l informa5on Benoît H. Dicaire (@BHDicaire)

Transcription

1 Benoît H. Dicaire

2 Benoît H. Dicaire Expert indépendant en sécurité de l informa5on Architecture TI & SI Gouvernance 25 ans, minimum! CISSP, CISM, CRISC, PMP, ITIL, CISA, 2

3 La probléma5que When you can measure what you are speaking about, and express it in numbers, you know something about it. - Lord Kelvin Source: 3

4 Une défini5on de vigie Terme surtout au Québec, désigne tout aussi bien (personne, organisme) qui scrute en profondeur l'environnement que l'acte de veille lui- même. - Office québécois de la langue française 4

5 Ma défini5on de la vigie de surveillance permanente de l'environnement d'une Interne Externe Centre de coût ou de profit? 5

6 Portée de la vigie Vigie Coutiers de connaissance Conférence & séminaires Associations Web, Blogs (RSS), Twitter & Forum Audit interne Revue de direction Amélioration du SGSI Politique de sécurite Organisation de la sécurité de l information Gestion des actifs Sécurité liée aux ressources humaines Sécurité physique et environnementale Gestion de l exploitation et des télécommunications Contrôle d'accès Acquisition, développement et maintenance des systèmes d information Gestion de la continuité de l activité Conformité Actifs informationel Infrastructure & Solution technologique Processus, procédure & élément probant Portefolio, programmes, projets Appétit du risque Inventaire de risques Objectifs d affaires Cadre de contrôle Audit interne & externe North American Electric Reliability Corporation (NERC) National Institute of Standards and Technology (NIST) Organisation internationale de normalisation (ISO) Internet Engineering Task Force (IETF) IT Governance Institute (ITGI) Information Systems Audit and Control Association (ISACA) Control Objectives for Information and related Technology (CobiT) Payment Card Industry (PCI) Data Security Standard (DSS) Gouvernance Gestion du risque Conformité 6

7 Portée de la vigie /2 Vigie Coutiers de connaissance Conférence & séminaires Associations Web, Blogs (RSS), Twitter & Forum Micrologiciel Système d exploitation Réseau de stockage Réseautique Plateformes PHP, Ruby, ColdFusion, Perl, Python, JSP & ASP Bases de données Intergiciels Présentation Web Copie de sauvegarde Journalisation et corrélation Sondes IDS / IPS Coupe- feu Solutions Chaine protocolaire Serveur virtuel /physique Serveur de virtualisation Outils de gestion incluant les consoles Zones réseautiques Règles coupe- feu et des sondes Accès à distance Inventaires des risques Inventaire du matériel Classification des données Threat Management System TELUS Security Labs Symantec DeepSight Cisco Security IntelliShield Cassandra.Cerias.PURDUE.edu SANS Internet Storm Center SANS NewsBytes National Vulnerability Database Full Disclosure SecurityFocus Vulnerabilities SecurityFocus News Latest Secunia Advisories Secunia - Latest SECUNIA Virus Alerts Microsoft Security Bulletins Bugtraq US- Cert Cyber Security Bulletins US- CERT Technical Cyver Security Alerts CISCO Security Advisories SearchSecurity: Network Secuirty Tactics Network World on Security Darknet - The Darkside Technologies Configurations Vulnérabilités 7

8 Généraliste ou spécialiste? «Vigiste: personne qui scrute de façon approfondie à de toutes les sources documentaires possibles un environnement donné afin d'en prévoir les - Office québécois de la langue française 8

9 L audience de l ac5vité de vigie ceux qui vont ar@culer profit d un bris de tendance iden@fiée par la vigie. 9

10 Les bénéfices de la vigie Améliorer la de l organisa@on Informa@on publiquement accessible Étalonnage (comparaison) de l industrie & lobbyisme Avoir des pistes de solu@ons afin d améliorer la prise de décision 10

11 Les grands jalons 1. Construire un système de veille Configurer une base de données selon nos besoins Élaborer une méthodologie de recherche Classifier selon une taxonomie 2. Exécuter l ac@vité de vigie 3. Valider la démarche par le biais de la revue interne 4. Diffuser l informa@on aux audiences 11

12 Système opéra5onnel de veille Fureteur Internet (signets) Agrégateur de flux RSS (client et/ou web) Regroupement avec la taxonomie Adresse de courriel non à l org. Forum Yahoo!, Google, LinkedIN & Quora Twiser Sta@s@ques sur les #motclefs & recherche 12

13 Matériel complémentaire 13

14 Base de données plateforme: PC, Mac, ipad & Web & partage de carnet Ajoute au PDF, la reconnaissance de caractères Catalogue l informa@on avec des «meta index» Ges@on des formulaires Demandes & signalements 14

15 Méthodologie de recherche Travail solo ou d équipe? Méthodologie Approche vs budget Mise en forme de l informa@on Contextualisa@on Évalua@on par un expert technique Ajouts d'informa@ons complémentaires Poursuite de la recherche dans cese direc@on? 15

16 Taxonomie Étude théorique de la de ses bases, de ses lois, de ses principes et de ses règles. - Office québécois de la langue française Mots clefs u@lisés pour la classifica@on Lois, normes, body of knowledge, projets & technologies Ententes consensuelles révisées mensuellement U@lisa@on des méta index vs répertoires 16

17 Exemple de taxonomie 17

18 Exécu5on de l ac5vité Analyse des intrants provenant des ou@ls Visites de conférences, ateliers & séminaires Contextualisa@on Signalement et priorisa@on 18

19 Revue interne Révision des fiches de demandes de la période des nouvelles demandes révision de sources d informa@on Améliora@on des méthodes et ou@ls de recherches Iden@fica@on de pistes et de connaissances pouvant s'avérer stratégiques pour l organisa@on 19

20 Diffusion orienter vers les projets priorisés Efficace: sommaire et points saillants Souple: dossier papier et/ou électronique Robuste: vision 2 ans lorsque disponibles Une téléconférence ~ 1 heure avec un analyste 20

21 Conclusion «Un homme sage apprend de ses erreurs. Un homme plus sage apprend des erreurs des autres.» - Confucius 21

22 Matériel complémentaire

23 Sources d informa5on Présenta@on: hsp://f.dicairestrategies.com/vigie.pdf RSS hsp://f.dicairestrategies.com/rss.pdf hsp://bhdicaire.com/about/twiser hsp://bhdicaire.com/about/twiser 23

24 Vos ou5ls 1. Evernote: 2. Pinboard: hsps://pinboard.in/ 3. IF This Then That: hsp://i}s.com/ 4. Gmail & Reader: hsp:// 5. Instapaper: hsp:// 24

25 FAV: hsp:// app.com/ 25

26 Blogs Raindrop TaoSecurity Security Bloggers Network Securosis Mcafee hsp://blogs.mcafee.com/ Oracle Mary Ann Davidson Lenny Zeltser (ISC)2 Security transcends technology InfoReck Woman Forensic Incident Response flyingpenguin ISO & BS25999 Andy itguy 26

27 Google Groups ISO Security Forum Stock Exchange for IT Security SANS Internet Storm Center / DShield Security Crew Yahoo! Groups InfoSec Audit Risk Managers Quora LinkedIn Security Metrics CISO: Meaningful Metrics Security Leaders CSO RoundTable Business Con@nuity Management Informa@on exchange 27

28 Body of Knowledge (ISC) 2 Common Body of Knowledge (CBK) Control Objec@ves for Informa@on and related Technology v4.1 (COBIT) DAMA Data Management Body of Knowledge (DMBOK) Enterprise Architecture Body of Knowledge (EABOK) ISO 27001:2005 IIBA Business Analysis Body of Knowledge (BABOK) Informa@on Technology Infrastructure Library v3 PMI Project Management Body of Knowledge(PMBOK) So}ware Engineering Body of Knowledge (SWEBOK) 28

29 de connaissances Gartner Forrester OVUM Aberdeeen Securosis 451 Group Enterprise Strategy Group Burton 29

30 Conférences RSI Montréal Mars Colloque Québécois de la sécurité de l informa@on 2013 Charlevoix 17 & 18 octobre Recon 2013 Montréal 8 au 10 juillet SecTor 2013 Toronto 17 au 19 octobre Security B- Sides Québec Osawa 12 & 13 novembre 30

31 Conférences /2 RSA Conference 2013 San Francisco 27 février au 2 mars Gartner Security & Risk Management Summit Washington, DC 20 au 23 juin Forrester s Security Forum 2013 Boston 16 & 17 Septembre Black Hat Las Vegas 3 & 4 Août Security B- Sides 31

32 de Sécurité de du Montréal Métropolitain ISACA Chapitre de Montréal Chapitre de Québec Chapitre de Osawa des vérificateurs internes PMI Montréal de la sécurité de du Québec Club de la sécurité de l informa@on du Québec Réseau Ac@on TI 32

33 /2 Security Klatch Osawa Area Toronto Area ISSA Osawa Osawa High Technology Crime Systems Security 33

34 Lois canadiennes Dura lex, sed lex Québécoises & Ontariennes Health Insurance Portability and Accountability Act (HIPAA) of 1996 Sarbanes- Oxley Act of 2002 California Online Privacy Act of 2003 Children Online Act of

35 La vigie 2.0 appliquée Benoît H. Dicaire

36 Portée de la vigie Vigie Coutiers de connaissance Conférence & séminaires Associations Web, Blogs (RSS), Twitter & Forum Audit interne Revue de direction Amélioration du SGSI Politique de sécurite Organisation de la sécurité de l information Gestion des actifs Sécurité liée aux ressources humaines Sécurité physique et environnementale Gestion de l exploitation et des télécommunications Contrôle d'accès Acquisition, développement et maintenance des systèmes d information Gestion de la continuité de l activité Conformité Actifs informationel Infrastructure & Solution technologique Processus, procédure & élément probant Portefolio, programmes, projets Appétit du risque Inventaire de risques Objectifs d affaires Cadre de contrôle Audit interne & externe North American Electric Reliability Corporation (NERC) National Institute of Standards and Technology (NIST) Organisation internationale de normalisation (ISO) Internet Engineering Task Force (IETF) IT Governance Institute (ITGI) Information Systems Audit and Control Association (ISACA) Control Objectives for Information and related Technology (CobiT) Payment Card Industry (PCI) Data Security Standard (DSS) Gouvernance Gestion du risque Conformité 36

37 Portée de la vigie /2 Vigie Coutiers de connaissance Conférence & séminaires Associations Web, Blogs (RSS), Twitter & Forum Micrologiciel Système d exploitation Réseau de stockage Réseautique Plateformes PHP, Ruby, ColdFusion, Perl, Python, JSP & ASP Bases de données Intergiciels Présentation Web Copie de sauvegarde Journalisation et corrélation Sondes IDS / IPS Coupe- feu Solutions Chaine protocolaire Serveur virtuel /physique Serveur de virtualisation Outils de gestion incluant les consoles Zones réseautiques Règles coupe- feu et des sondes Accès à distance Inventaires des risques Inventaire du matériel Classification des données Threat Management System TELUS Security Labs Symantec DeepSight Cisco Security IntelliShield Cassandra.Cerias.PURDUE.edu SANS Internet Storm Center SANS NewsBytes National Vulnerability Database Full Disclosure SecurityFocus Vulnerabilities SecurityFocus News Latest Secunia Advisories Secunia - Latest SECUNIA Virus Alerts Microsoft Security Bulletins Bugtraq US- Cert Cyber Security Bulletins US- CERT Technical Cyver Security Alerts CISCO Security Advisories SearchSecurity: Network Secuirty Tactics Network World on Security Darknet - The Darkside Technologies Configurations Vulnérabilités 37

38 Mission impossible? 38

39 UN ID unique avec NameCHK.com 39

40 des comptes usagers Gmail & Reader: OPML: hsp://f.dicairestrategies.com/bhdicaire.xml Evernote: Protopage: Twiser: : hsp://f.dicairestrategies.com/vigie.pdf 40

41 41

42 Import des feeds OPML 42

43 Protopage.com/BHDicaire 43

44 Protopage.com: widget 1. hsp://isc.sans.edu/newssummary.xml 2. hsp:// threads.com/lists/bugtraq/ bugtraq.xml 3. hsp://seclists.org/rss/isn.rss 44

45 Protopage.com: widget #2 4. hsp://seclists.org/rss/cert.rss hsp://seclists.org/rss/dataloss.rss 7. hsp:// RssFeed.aspx?securityadvisory 8. hsp:// threads.com/lists/fulldisc/full- disclosure.xml 9. hsp://seclists.org/rss/honeypots.rss 10. hsp://secunia.tumblr.com/rss 11. hsp://seclists.org/rss/oss- sec.rss 45

46 hbps://twiber.com/bhdicaire/lists 46

47 Google Mail: label 47

48 Google Mail: filters Skip inbox Mark as read Apply Label 48

49 Evernote: Reference Material & Artefact (i.e. NDA) Work in Progress 49

50 Evernote: tags 50

51 Evernote: info sur une fiche 51

52 Evernote 52