Synthse de la confrence thmatique du CLUSIF du 16 juin 2011 Paris
David Maillard, Alcatel Lucent.
David Maillard rappelle que les activits de scurit, au sein dAlcatel Lucent, ont dmarr au dbut des annes quatre vingt- dix au travers dun partenariat avec le CNES qui souvrait Internet. Cela a continu avec France Telecom et Mto France sur des activits de type tests dintrusion et enfin avec la cration du premier CERT indpendant franais : le CERT IST destination de lIndustrie, des Services et du Tertiaire. Au cours des dernires annes lactivit scurit a connu une forte progression. Au niveau mondial, La Business Unit Scurit reprsente quatre vingt (80) personnes. Elle travaille au dveloppement de loffre, au portfolio, au support de lavant vente et au lancement local des prestations. Elle sappuie sur des comptences locales pour la partie commerciale et le support aprs vente. Le mtier de la supervision de scurit selon le TMC (Transportation Management Center) consiste en : la collecte et lanalyse des journaux de faon dtecter les intrusions sur les quipements de scurit mais aussi sur les quipements terminaux, larchivage des vues de rejeu dincidents ou pour opposer une preuve sachant quaujourdhui la plupart des SIEM font du scellement de traces., La dtection des attaques, La garantie de la traabilit et de limputabilit des actions. Le centre de supervision dispose dune quipe de premier niveau capable de rpondre une activit mondiale en fonctionnant 24h/24 et 7j/7 et dinstruire, au moins en prliminaire, un certain nombre dincidents de scurit. Une quipe de second niveau fait de la veille technologique et effectue un travail dinvestigation autour de lincident de scurit. Enfin, un troisime niveau ou niveau de support, plus transverse, est capable de contextualiser lincident dans un environnement client ou dans un environnement matriel. Larchitecture type de collecte et de traitement dans lenvironnement Alcatel Lucent comprend pour chaque environnement client un site actif et un site passif, dans lequel on trouve : la notion de collecte dans les environnements Syslog, Windows ou SQL, en bref tout ce qui va gnrer des traces (y compris celles de type applicatif), des outillages de concentration qui permettent de collecter des traces, de les centraliser et de les r-aiguiller, vers des collecteurs, sous forme de flux scuriss et horodats. Ces Gestion des incidents Gestion des incidents 2/7 CLUSIF 2011 derniers se trouvent dans un environnement infogr et ddi chaque client. Ces traces sont ensuite injectes dans linfrastructure mutualise - TMC - en vue dune corrlation permettant de rcuprer et dtecter les incidents. Larchitecture logique intgre : lenvironnement client et les autres serveurs qui envoient leurs journaux vers des collecteurs dvnements, les secteurs applicatifs et les applications mtier, tout ce qui est quipement rseau que ce soit des quipements de maillage ou des quipements de scurit. Un pr traitement est entrepris sur chaque vnement dans le SIEM pour faire une taxonomie et un parsing. Il sagit de les reformater au standard du SIEM afin dtablir des statistiques. Ils sont ensuite injects : dans une base de donnes des fins darchivage, puis dans une base de corrlation dont les rgles permettent de faire de la gestion dincidents sur seuil ou de faire remonter une alerte. Enfin une excution de scripts transpose ce ticket dincident SIEM en ticket dincident dans un outil ITIL qui permet dinteragir avec le client de manire normalise. Ces informations contenues dans des bases ITIL sont, leur tour, rinjectes pour archivage et consolidation dans les bases de donnes. Un dernier environnement tiers re- travaille les donnes de la base et les propose en mode asynchrone, autorisant ainsi les diffrentes entits de lentreprise recueillir celles qui lui sont pertinentes, soit sous forme de reporting soit sous forme de flux, de traces, ou dincidents. Le TMS regroupe la supervision de scurit chez Alcatel Lucent. Cela reprsente un peu moins de 2 500 quipements superviss pour 14 clients et 5 milliards denregistrements de traces par jour. Loutil dagrgation et de corrlation gnre en moyenne une cinquantaine dalertes par jour rparties sur les 14 clients. Un prtraitement ralis par lquipe de premier niveau permet dvacuer un certain nombre de faux positifs. En moyenne, 5 alertes par jour sont transmises au second niveau. Enfin, le rejeu des vnements permet de mener des investigations sur les situations risque du client. Les indicateurs de scurit sont classifis en trois familles de type mtrologique , pertinence et tendanciel . Les indicateurs de type Mtrologie Scurit sont bass sur de la volumtrie : par exemple une croissance des rgles journalises est constate et permet didentifier une augmentation du volume dactivits qui peut-tre significative dune tentative dattaque. Les indicateurs de type Pertinence utilisent des outils automatiss pour prendre en compte lintgralit de lenvironnement qui se trouve autour de lquipement supervis (notions de matrice de flux, de comportements). A titre dexemple il dtecte deux firewalls logiquement dissocis qui remontent deux tentatives de connections simultanes avec le mme UID venant dun environnement gographique diffrent. Les indicateurs de type veille tendancielle permettent de faire du early warning sur un certain nombre de vulnrabilits ou de comportements rseaux. Un exemple : un ver qui se propage par le port 80 avec une augmentation significative de paquets ou des signatures de comportement type click jacking sur Facebook. Le CERT fait de la veille technologique autour des vulnrabilits mais il fait aussi de la gestion dincident. Veiller que le CERT soit rfrenc dans un organisme mondial permet une coordination avec dautres CERT. Gestion des incidents 3/7 CLUSIF 2011 Quelques exemples dincident de scurit : 1) Glissement des usages dun oprateur : des clients souhaitent valider des comportements de TMA ou de tiers mainteneurs ou de tiers administrateurs. Ce sont des entreprises qui externalisent cette activit. Il sagit de transposer les engagements contractuels pris dans le cadre du PAQ sous forme dlments techniques permettant didentifier les glissements ou la redondance de noms de connections en veillant ce quil ny ait quun seul User ID qui se connecte depuis la mme adresse IP. Ou quun mme User ID ne se connecte pas depuis deux adresses IP simultanment une application. 2) Trafic libidineux et/ou ludique : on lit les statistiques dun proxy et on voit les usages. 3) Dans le milieu bancaire, le rejeu des paquets multicasts. Certaines banques jouent sur le dcalage qui existe dans la synchronisation des cours financiers. Le dcalage entre deux cours est minuscule (quelques centimes deuro), le laps de temps est trs rapide (de lordre dune seconde) et dans ce dlai, certains jouent sur leffet de levier en achetant massivement et en revendant sur un autre march. Ces mcanismes sont grs par des paquets de multicast : pour faciliter les choses, la collecte est faite en multicast et se distribue dans tous les centres de traitement en multicast. Cela veut dire que quand un quipement ne reoit pas un paquet il fait une demande de rejeu. Cette demande impacte normment la latence du rseau et fait donc perdre potentiellement de largent au client. Pour dtecter lincident, des sondes descendent trs bas dans les couches rseaux, qui vont jusquau niveau Ethernet. Elles peuvent monter aussi trs hauts puisque les flux financiers sont traits au niveau de la couche applicative. Le rle dun MSSP : centraliser et archiver les traces, analyser les journaux, les corrler et dtecter les incidents, vrifier que le niveau de scurit est adapt et ceci en temps rel, grer les incidents de scurit. Remarque : le centre oprationnel de scurit opre dans un environnement client et agit en son nom. Le superviseur de scurit se limite faire de la collecte et de la dtection dincidents. Si dans le principe, la gestion de crise cest la perte de lunivers de rfrence, David Maillard conclue quen ralit, il y a bien un univers de rfrence aprs la perte de lunivers de rfrence.
Olivier Callef, Devoteam BU Scurit et CERT Devoteam
Olivier Callef insiste au dbut de sa prsentation sur la ncessaire collaboration, dans la gestion des incidents de scurit, entre toutes les parties prenantes (entreprise, CERT, autres entits de scurit). Devoteam a commenc son activit de veille en 1996 en intervenant dans une grande banque franaise sur les problmes de scurit lis internet. En 2003, dans le cadre de leur intervention, suite un incident grave chez un grand oprateur franais Devoteam a trouv linformation ncessaire en Australie o ce type dincident stait dj produit. Afin dentrer en relation avec les structures australiennes, lun des premiers CERT franais, le CERT IST, a t contact. Ce dernier faisait partie du rseau Inter CERT et a permis dchanger trs rapidement avec les Australiens. Comprenant la ncessit de travailler tous ensemble Devoteam a continu la dmarche en rejoignant non pas le FIRST mais le TFCSIRT qui est une organisation qui regroupe les entits de type CERT en Europe. Dautres communauts de scurit Gestion des incidents 4/7 CLUSIF 2011 existent, parfois trs actives, parfois trs cibles, et il ne faut pas les ngliger. Le CERT/CC Amricain publie lensemble des services offerts par un CERT : services ractifs, services proactifs et services de qualit. Le dtail des activits, visible sur leur site, montre que le CERT nest pas seulement l pour faire du traitement dincidents et peut aller jusqu la sensibilisation. Dans le cas de Devoteam, SSII qui travaille dans le domaine de la scurit, certaines choses sont faites directement en tant quentit CERT. En cas dincident spcifique impliquant une activit de type forensic , le CERT Devoteam fait appel ou recherche la coopration avec les diteurs doutils de forensic . Lquipe de Devoteam affecte cette tche nest pas forcment toffe mais elle sappuie sur des relais divers. La vritable dnomination pour cette activit est : CSIRT (Computer Security Incident Response Team). CERT est une marque dpose et toute entit qui veut sappeler CERT doit en faire la demande auprs du CERT amricain. Les dtails et standards qui dterminent les activits dun CERT sont consigns dans le RFC 2350 sur les sites des CERT. Olivier Callef insiste sur limportance des mots confiance , quipe et rappelle que la confiance se construit. Concernant la communication externe, vis- -vis des clients (qui peuvent tre le grand public), le CERT est le point dentre. En interne, il peut tre vu au contraire comme un fdrateur ou comme un offreur de services centraux vis--vis dentits qui sont dissmines dans diffrents pays. Les approches sont diffrentes et le traitement des incidents sen ressent. Dans un cas, on a une vision de partage avec lextrieur et dans lautre cas, des problmes internes quil faut rgler avec ventuellement des remontes un peu plus longues. Les quatre grands principes pour traiter un incident de scurit sont : tre prpar avant lvnement, analyser et identifier : est-ce vraiment un incident ? contenir, rsoudre, restaurer : limiter les dgts, investiguer et surtout assurer le suivi des incidents. Toutes ces tapes ncessitent organisation, rpartition des tches et communication. Pour constituer un CSIRT il faut considrer tous les lments ncessaires pour traiter ces incidents : aspect organisationnel, juridique, humain et technique. Quatre critres permettent de savoir quel CSIRT il faut sadresser : Son rle sera-t-il fonctionnel, oprationnel ou mixte ? Son positionnement sera-t-il central, CERT local ou entre les deux ? Son primtre sera-t-il trs large ou focalis sur un point particulier ? Quelle est sa vocation ? Par exemple, le CERTA qui couvre toutes les administrations et qui a aussi la vocation de reprsenter la France auprs de certaines instances a une approche diffrente des CERT orients constructeurs (grands diteurs de logiciel..). En interne le CSIRT travaille avec des acteurs scurit qui traitent la gestion de crise au sens large du terme (pas seulement informatique pure) et ventuellement des CSIRT locaux en contact avec la DSI. Mme si cest le CSIRT qui dclenche un plan de crise parce quil a eu des informations sur un incident il doit contacter et travailler avec les diffrents acteurs de la scurit. Ce qui compte, cest limpact sur le mtier : voir ce qui est tolrable ou pas en terme de dgradation de services. Gestion des incidents 5/7 CLUSIF 2011 En externe, les partenaires du CSIRT sont technologiques (les diteurs, par exemple, en relation directe avec la DSI), dautres CSIRT (franais ou non) et enfin parfois les autorits de police ou judicaires. Intgrer un CERT se fait en gnral sous forme de parrainage. Pour formaliser les changes dinformation, le Traffic Light Protocol (TLP) oblige celui qui transmet linformation utiliser une couleur qui indique le degr de confidentialit de linformation. Le Common Vulnerability Reporting Framerwork (CVRF) donne des informations sur la vulnrabilit du reporting. Un CERT, cest un aspect technique (SIEM), des quipes (les SOC) et des procdures. Sajoutent des remontes dutilisateurs, voire dautres entits de type CERT sur des cas de phishing par exemple. Ils doivent pouvoir sadresser un guichet unique qui fera le tri et traitera lurgence. En France, neuf CSIRT sont rfrencs. Les trois premiers ont t le CERT-IST, le CERTA et le CERTRENATER. Au niveau europen, le TF CSIRT regroupe 150 socits rfrences dont la moiti est accrdite . Au niveau international, le First regroupe 140 membres. Depuis une semaine, lEU-CERPCT a pour objectif de crer un EU-CERT dont la vocation serait de traiter les incidents de scurit pour les institutions europennes. Une vritable coopration entre les diffrents CERT sest instaure au plus grand bnfice de tous (remontes dalertes, correction de vulnrabilits). Certains CSIRT sont transverses et portent sur des thmatiques (DNS, Cloud). Au sein de ces structures, des socits ayant des intrts commerciaux opposs (Google, Microsoft, Amazon, etc.) travaillent conjointement la rsolution dincidents de scurit. Pour conclure : le CSIRT est-il une belle faade ou a-t-il une relle utilit ? Il peut avoir une belle faade mais il a surtout une relle utilit.
David Bizeul , CERT Socit Gnrale
David Bizeul propose de dcouvrir un CERT dentreprise. Point dentre entre lexterne et linterne, il faut structurer lorganisation qui gravite autour de lui. Il assure quatre activits phare : la gestion dincidents, la lutte contre la cybercriminalit, la gestion des vulnrabilits (activit historique dont le but est dentrevoir quelles sont les nouvelles vulnrabilits sur les activits informatiques de la Banque), enfin, une activit capitale : la veille technologique. Les membres du CERT doivent possder les cls relationnelles de lentreprise mais en cas de blocage, ils peuvent tre amens utiliser des procds plus directifs. Trois niveaux permettent dapprhender les incidents de scurit : la dtection qui provient : de composantes oprationnelles ou de composantes techniques (soit directement des machines soit dinquitudes des quipes oprationnelles), des salaris qui remontent des informations dont ils sont tmoins, des utilisateurs (les clients internautes peuvent crire directement), la raction qui exige : de rpondre immdiatement et rpondre tout le temps (lincident de scurit prime), Gestion des incidents 6/7 CLUSIF 2011 dapporter de la valeur ajoute : dvelopper des comptences pas forcment prsentes dans la banque, de ne jamais lcher et russir clore lincident, de ne pas ngliger les incidents minimes. la communication La ncessaire proximit avec le personnel de lentreprise a t voque plus haut. Le CERT peut mettre profit ce point de centralisation globale des incidents de scurit pour en faire sortir des stratgies. Cas concret : Un internaute trs intress par les dtections de vulnrabilit sur internet, dtecte une vulnrabilit XSS sur une plate-forme associe un partenaire de la Socit Gnrale. Cet internaute publie linformation sur Twitter. Il est retrouv via une veille de tous les mots cls de la marque sur Twitter. Le CERT informe linternaute que cette vulnrabilit va tre traite. Il joue son rle de traitement de lincident en ne faisant pas lui-mme les modifications du code sur le site web mais en faisant un test dintrusion pour sassurer que la correction a t bien faite. Le CERT informe alors le hacker que le problme a t rsolu et linvite faire part de ses ventuelles nouvelles dcouvertes. Les enseignements : la structure CERT en interne doit gagner la confiance en faisant ses preuves, pour les acteurs de lentreprise, lexistence dun CERT interne est trs rassurante, la structure est adapte aux interactions internes/externes. La communication du CERT avec lexterne est comprise, les incidents sont grs correctement parce quils sont anticips. Il faut pouvoir drouler une mthodologie rapidement. Les perspectives lentreprise nest plus une zone dont on matrise les frontires (tltravail, communication sur rseaux sociaux). Il faut crer un rseau des contacts externes, la communication se libre : les clients font part de leur mcontentement sur le net. Cest pareil en scurit, la rglementation pousse de plus en plus vers des notifications dincidents, une veille connecte aux valeurs de lentreprise donne beaucoup de crdit au CERT. La Socit Gnrale ayant mont le premier CERT dentreprise en France, elle met disposition de tous, des fiches de procdures oprationnelles : http://cert.societegenerale.com/fr/publicati ons.html.
Alexandre Depret-Bixio, HP ArcSight France
Une approche CERT mene conjointement avec une approche SOC permet une action plus pro active sur la scurit. Les systmes dinformation deviennent de plus en plus communicants et la matrise des personnes qui les administrent de plus en plus partielle. Les outils internes, externaliss, infogrs ainsi que les projets de transplantation (le Cloud) gnrent une perte de contrle progressive des quipes informatiques sur le systme dinformation. Le DLP est souvent cit pour assurer la protection des donnes. Une approche SOC ou SIEM permet aussi datteindre cet objectif. Lvolution des matriels rend ncessaire un renforcement de la scurit physique mais la problmatique rseau demeure (prvention, intrusion, firewall). Lentreprise est-elle capable de fournir un instant t de bons indicateurs sur Gestion des incidents 7/7 CLUSIF 2011 ltat de son systme dinformation ? Le SIEM apporte cette rponse. Les dernires attaques voques dans la presse taient prvisibles et provoquent un dficit dimage. Chaque entit a tendance utiliser son systme en suivant ses propres rgles alors que des processus standardiss ont t labors. Cela cre obligatoirement des dviances . Une approche centralise par la construction dun SOC (centre oprationnel de scurit) et la mise en place dun outil de SIEM pour comprendre ce quon va collecter sur ses quipements de scurit, est une bonne rponse. Le SOC assure la dtection des incidents et une partie de leur traitement. Lobjectif nest pas de traiter tous les incidents au mme niveau, mais plutt davoir un outil technologique qui est capable de sadapter au contexte mtier, la politique et aux processus pour ensuite dceler le bon incident critique. Le SOC aide aussi contenir les attaques : diffrents experts, conjointement avec les activits des CERT, travaillent pour mieux comprendre comment voluent ces attaques. La technologie permet aujourdhui de voir en temps rel comment une menace volue au sein du systme dinformation. Lobjectif est de ne traiter que les incidents critiques en grant les priorits et en faisant suivre lincident aux bonnes quipes et au bon moment. Cest aussi amliorer la politique de scurit en fonction des nouvelles menaces. La technologie est un lment consquent pour le choix dun SOC. Ce doit tre une plate-forme ouverte : capable dtre enrichie par des donnes externes, capable de fonctionner avec une politique de risque en haute disponibilit, accessible par diffrents types de personnes qui doivent remonter les bons vnements. Peu de projets de construction de SOC sont ltude sauf dans quelques grandes organisations qui ont les ressources ncessaires. Or, pour mettre en place une plate forme de SIEM on nest pas oblig de penser SOC tout de suite. Loutil SIEM permet : la collecte, la consolidation avec un outil qui centralise tous les vnements (on ne parle pas encore dincident) et qui permet une analyse post mortem ou lautomatisation de rapport, la corrlation qui, en plus de faire parler tous les logs dans un mme langage, les met en commun afin de dtecter une ventuelle dviance.
Questions et Rponses avec lassistance. Cette confrence comportait galement un dbat avec la salle, non retranscrit dans ce document mais disponible en vido ladresse suivante : http://www.clusif.asso.fr/fr/ production/videos/#video110616.
Retrouvez les vidos de cette confrence et les supports des interventions sur le web CLUSIF http://www.clusif.asso.fr/fr/infos/event/#conf110616.