Visualisation et Analyse de Risque Dynamique pour la Cyber-Défense



Documents pareils
Graphes d attaques Une exemple d usage des graphes d attaques pour l évaluation dynamique des risques en Cyber Sécurité

Forthcoming Database

La gestion des vulnérabilités par des simulations d'attaques

Editing and managing Systems engineering processes at Snecma

The Path to Optimized Security Management - is your Security connected?.

Instructions Mozilla Thunderbird Page 1

Bitdefender GravityZone

Les marchés Security La méthode The markets The approach

Tom Pertsekos. Sécurité applicative Web : gare aux fraudes et aux pirates!

THÈSE. présentée à TÉLÉCOM PARISTECH. pour obtenir le grade de. DOCTEUR de TÉLÉCOM PARISTECH. Mention Informatique et Réseaux. par.

MANAGEMENT SOFTWARE FOR STEEL CONSTRUCTION

Cedric Dumoulin (C) The Java EE 7 Tutorial

ADHEFILM : tronçonnage. ADHEFILM : cutting off. ADHECAL : fabrication. ADHECAL : manufacturing.

Archived Content. Contenu archivé

Quick Start Guide This guide is intended to get you started with Rational ClearCase or Rational ClearCase MultiSite.

Mon Service Public - Case study and Mapping to SAML/Liberty specifications. Gaël Gourmelen - France Telecom 23/04/2007

Cheque Holding Policy Disclosure (Banks) Regulations. Règlement sur la communication de la politique de retenue de chèques (banques) CONSOLIDATION

La Sécurité des Données en Environnement DataCenter

Convergence entre Sécurité et Conformité par l approche Software as a Service Présentation en avant-première de QualysGuard Policy Compliance

Monitor LRD. Table des matières

Notice Technique / Technical Manual

Scénarios économiques en assurance

Mise en place de la composante technique d un SMSI Le Package RSSI Tools BOX

Gouvernance et nouvelles règles d organisation

Support Orders and Support Provisions (Banks and Authorized Foreign Banks) Regulations

Opportunités s de mutualisation ITIL et ISO 27001

PIB : Définition : mesure de l activité économique réalisée à l échelle d une nation sur une période donnée.

DOCUMENTATION - FRANCAIS... 2

The new consumables catalogue from Medisoft is now updated. Please discover this full overview of all our consumables available to you.

WEB page builder and server for SCADA applications usable from a WEB navigator

Quatre axes au service de la performance et des mutations Four lines serve the performance and changes

Nouveaux enjeux, Risque en évolution : Comment transformer la gestion du risque? Patrick Schraut Senior Manager Professional Services

CONCLUSION. 31 mars 2015 Laurène Chochois Helpdesk REACH&CLP Luxembourg

Préconisations pour une gouvernance efficace de la Manche. Pathways for effective governance of the English Channel

F1 Security Requirement Check List (SRCL)

IPSAS 32 «Service concession arrangements» (SCA) Marie-Pierre Cordier Baudouin Griton, IPSAS Board

First Nations Assessment Inspection Regulations. Règlement sur l inspection aux fins d évaluation foncière des premières nations CONSOLIDATION

Improving the breakdown of the Central Credit Register data by category of enterprises

BIG DATA APPLIQUÉES À LA SÉCURITÉ. Emmanuel MACÉ Akamai Technologies

Visualisation et Analyse de Risque Dynamique pour la Cyber-Défense

APPENDIX 6 BONUS RING FORMAT

AVOB sélectionné par Ovum

RULE 5 - SERVICE OF DOCUMENTS RÈGLE 5 SIGNIFICATION DE DOCUMENTS. Rule 5 / Règle 5

Agile&:&de&quoi&s agit0il&?&

Contrôle d'accès Access control. Notice technique / Technical Manual

REMOTE DATA ACQUISITION OF EMBEDDED SYSTEMS USING INTERNET TECHNOLOGIES: A ROLE-BASED GENERIC SYSTEM SPECIFICATION

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

Règlement relatif à l examen fait conformément à la Déclaration canadienne des droits. Canadian Bill of Rights Examination Regulations CODIFICATION

Mise en place d un système de cabotage maritime au sud ouest de l Ocean Indien. 10 Septembre 2012

Qualité et ERP CLOUD & SECURITY (HACKING) Alireza MOKHTARI. 9/12/2014 Cloud & Security

SAINT-GOBAIN. DSI Groupe. Un outil ITSM pour renforcer la Gouvernance. V. Broussin 26 février 2013

Innovative BI with SAP Jean-Michel JURBERT D. de Marché BI, HANA, BIG DATA _ SAP France

How to Login to Career Page

Fiche produit ifinance v4

RAPID Prenez le contrôle sur vos données

Présentation par François Keller Fondateur et président de l Institut suisse de brainworking et M. Enga Luye, CEO Belair Biotech

Appointment or Deployment of Alternates Regulations. Règlement sur la nomination ou la mutation de remplaçants CONSOLIDATION CODIFICATION

Nouveautés printemps 2013

Ordonnance sur le paiement à un enfant ou à une personne qui n est pas saine d esprit. Infant or Person of Unsound Mind Payment Order CODIFICATION

JSIam Introduction talk. Philippe Gradt. Grenoble, March 6th 2015

CONSOLIDATION CODIFICATION. Current to August 30, 2015 À jour au 30 août 2015

staff worldwide years 36b. revenues countries

L impact des délais de paiement et des solutions appropriées. Dominique Geenens Intrum Justitia

Vers un nouveau modèle de sécurisation

Revision of hen1317-5: Technical improvements

Once the installation is complete, you can delete the temporary Zip files..

Protection rapprochée contre les Cyber-Attaques de nouvelle génération

Les contraintes de financement des PME en Afrique : le rôle des registres de crédit

LOI SUR LA RECONNAISSANCE DE L'ADOPTION SELON LES COUTUMES AUTOCHTONES ABORIGINAL CUSTOM ADOPTION RECOGNITION ACT

0,3YDQGLWVVHFXULW\ FKDOOHQJHV 0$,1²0RELOLW\IRU$OO,31HWZRUNV²0RELOH,3 (XUHVFRP:RUNVKRS %HUOLQ$SULO

Interest Rate for Customs Purposes Regulations. Règlement sur le taux d intérêt aux fins des douanes CONSOLIDATION CODIFICATION

Natixis Asset Management Response to the European Commission Green Paper on shadow banking

Flood risk assessment in the Hydrographic Ebro Basin. Spain

NOM ENTREPRISE. Document : Plan Qualité Spécifique du Projet / Project Specific Quality Plan

Outils d'analyse de la sécurité des réseaux. HADJALI Anis VESA Vlad

HSCS 6.4 : mieux appréhender la gestion du stockage en environnement VMware et service de fichiers HNAS Laurent Bartoletti Product Marketing Manager

Face Recognition Performance: Man vs. Machine

Conditions de l'examen

Air Transportation Tax Order, Décret de 1995 sur la taxe de transport aérien CONSOLIDATION CODIFICATION

CODIFICATION CONSOLIDATION. Current to August 30, À jour au 30 août Last amended on December 12, 2013

Sécurité des systèmes d exploitation

: Machines Production a créé dès 1995, le site internet

Information Security Management Lifecycle of the supplier s relation

Credit Note and Debit Note Information (GST/ HST) Regulations

CEPF FINAL PROJECT COMPLETION REPORT

HAUTE DISPONIBILITÉ DE MACHINE VIRTUELLE AVEC HYPER-V 2012 R2 PARTIE CONFIGURATION OPENVPN SUR PFSENSE

ISO/IEC Comparatif entre la version 2013 et la version 2005

BNP Paribas Personal Finance

Life Companies Borrowing Regulations. Règlement sur les emprunts des sociétés d assurance-vie CONSOLIDATION CODIFICATION

Topologies et Outils d Alertesd

Material Banking Group Percentage Regulations. Règlement fixant le pourcentage (groupe bancaire important) CONSOLIDATION CODIFICATION

Programme européen de recherche en matière de sécurité. Services offerts par le PCN Retour sur le brokerage event SMIIG

26th of March 2014, Paris

Frequently Asked Questions

SÉCURITÉ DES APPLICATIONS WEB LA SOLUTION D ANALYSE IDÉALE POUR LES APPLICATIONS WEB

Préparation / Industrialisation. Manufacturing Engineering/ On-site Industrialisation. Qualité, contrôle et inspection. On-site quality and Inspection

DOCUMENTATION - FRANCAIS... 2

Transcription:

Visualisation et Analyse de Risque Dynamique pour la Cyber-Défense symposium SSTIC 09/06/2010 Philippe Lagadec NATO C3 Agency CAT2 Cyber Defence and Assured Information Sharing

Au menu Cyber-Défense Visualisation CIAP - Consolidated Information Assurance Picture Analyse de Risque Dynamique DRA - Dynamic Risk Assessment

Cyber-Défense Cyber-Défense (CND) / Lutte Informatique Défensive: Toutes les activités qui consistent à défendre en temps réel la sécurité des systèmes et réseaux. Couvre notamment: Détection d intrusion Antivirus Corrélation d événements, supervision Analyse de malware Forensics Détection de vulnérabilités et gestion de patch Gestion d incidents

Cyber-Defence Operational Concept (R&D) Cyber-Defence Operators Corrélation Analyse Détection avancée Visualisation ORIENT DECIDE Recommandation de réponses Simulation Aide à la décision IDS Logs Antivirus Supervision réseau Forensics Analyse de Malware OBSERVE ACT Application de la réponse (automatisée ou non) Reconfiguration dynamique du réseau Existing Management Systems 4

Situation en Cyber-Défense Comment définir la situation en cyber-défense: Topologie des systèmes et réseaux à défendre Où sont les éléments / infrastructures critiques? Dépendances entre missions, services et ordinateurs, réseaux, applications? Quelles sont les vulnérabilités principales et leur impact? Y a-t-il des incidents ou attaques en cours? => impact, sources, cibles? Y a-t-il des activités de reconnaissance? Y a-t-il des machines compromises? Y a-t-il des changements dans l architecture? Etc

Difficultés actuelles Beaucoup d outils génèrent une quantité astronomique d information très technique. En particulier pour un système de grande taille réparti sur plusieurs sites. NIDS HIDS SIEM (events correlation) Network Management Firewall Antivirus Vulnerability Scanner System Logs Web Server Web Proxy E-mail Gateway Database Server

Difficultés actuelles Chaque outil utilise ses propres formats, bases de données, sémantiques. Outils conçus pour générer des rapports pour les humains, mais pas pour partager l information entre eux. Les SIEM permettent une certaine consolidation et corrélation, mais cela reste généralement limité aux événements / alertes. (par ex. pas de topologie réseau) Résultat: l opérateur humain doit toujours analyser et consolider mentalement une grande quantité d information. => Impossible à gérer pour de grands systèmes. => Difficile d obtenir une vue globale de la situation.

Difficultés actuelles En particulier, 2 lacunes dans les outils actuels sur le marché: Visualisation synthétique de la situation globale Comment déterminer l impact réel d une vulnérabilité ou d une alerte IDS sur les missions et services critiques d une organisation/entreprise?

Visualisation CIAP prototype: Consolidated Information Assurance Picture

Visualisation en cyber-défense En cyber-défense, la visualisation peut servir à 2 choses différentes: 1) Analyse humaine / Détection: Présenter un très grand nombre de données techniques pour y déceler des tendances, anomalies, etc. 2) Supervision / Aide à la décision Montrer une vue d ensemble de la situation pour identifier les priorités et guider les décisions. (1) est déjà bien couvert par de nombreux outils (cf. www.secviz.org, DAVIX) (2) n est pas encore très développé: besoin de R&D

CIAP rationale A picture is worth a thousand log records. Raffy Marty, Applied Security Visualization For now, cyber defence is performed using a variety of tools and products: Each tool provides a piece of the puzzle. Events, IDS alerts, vulnerabilities, network topology, Each tool has its own specific data model. No tool provides a comprehensive picture of the situation. Visualization for situational awareness is not really addressed.

CIAP prototype Consolidated Information Assurance Picture Prototype developed by NC3A since 2007. Several components: Information Model: To model the whole CIS and networks to be protected. Leveraging standards as much as possible. Data Repository: To store all data in one or several databases. May leverage existing products and databases. User Interface: To visualize data with various views according to specific use cases. Application Interface: To allow other applications to push or pull data from/to CIAP, in order to build flexible and modular systems

CIAP overview

CIAP vs. SIEM SIEM: Security Information and Event Manager A typical SIEM collects logs/events/alerts from many sources, and stores them in a central location. Events can be normalized and correlated. A SIEM may also leverage other information such as vulnerabilities and network topology, to improve correlation. CIAP may be implemented using a SIEM. However, known products on the market do not cover all CIAP requirements yet. (data model, visualization) In fact, a SIEM is an information source for the CIAP.

CIAP New views for Situational Awareness A few examples: Geographical view with cyber layer Network topology with vulnerable and compromised hosts Treemaps to prioritize issues

CIAP demo

Analyse de Risque Dynamique DRA prototype Dynamic Risk Assessment

Dynamic Risk Assessment (DRA) Risk assessment that can be updated quickly and automatically as the system being assessed changes. These changes may be due to: The operational threat level, the mission type The incremental system development and deployment (architecture) New vulnerabilities Alerts and actual attacks Objectives of the DRA Prototype: To perform real-time risk assessments after an initial risk assessment has been conducted. To be able to recommend counter-measures based on current level of risk. To make the link between static risk assessment and the real security posture of the network and systems. 18

DRA Dynamic Risk Assessment Prototype DRA Prototype developed by NC3A since 2007. In 2007 and 2008, several risk assessment methodologies were tested by NC3A on simple scenarios. A new, innovative hybrid methodology has been developed, combining attack graphs and traditional risk assessment (ISO27005). DRA prototype developed thanks to partnerships: PILAR risk assessment tool provided by Spain. MulVAL+AssetRank attack graph tool provided by Canada (DRDC). 19

DRA process overview Main steps: 1) Build comprehensive system description from CIAP 2) Generate attack graph => Exposure 3) Update risk assessment => Risks

Host security status / Threat level Host state Normal Description No known vulnerability, no alert. Threat level (likelihood) Normal Vulnerable Exposed Compromised Known vulnerabilities, but no known attack path from outside. Known attack path from outside (exploitable vulnerabilities wrt network topology & policy). IDS or SIEM Alert(s) indicating a potential compromise. Low (>Normal) Medium High 21

CIAP and DRA prototypes overview

DRA demo

Conclusion about CIAP and DRA prototypes CIAP prototype: A comprehensive data model to merge information from various security tools, network management and asset inventory. New views to improve situational awareness Cyber defence data feeds for other applications. DRA prototype: Attack graphs to determine which vulnerable hosts are really exposed to attackers. Risk assessment methodology to analyze the actual risks on high-level assets (missions, business services). Basic recommendation engine. Provides new indicators to prioritize responses for incident handling.

CONCLUSION La cyber-défense est une priorité pour l OTAN Encore beaucoup de R&D nécessaire pour couvrir tous les besoins, entre autres: Consolidation des infos produites par tous les outils Visualisation de la situation Analyse de risque dynamique Recommandation de réponse et aide à la décision Réponse rapide et automatisée CIAP et DRA sont des prototypes développés par la NC3A pour étudier les solutions techniques, et guider une implémentation opérationnelle avec l industrie. Implémentation opérationnelle en cours pour 2011-2012. 25

Contacting NC3A NATO UNCLASSIFIED

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back