Presentation Pfe Alyssa

Projet de fin d’études
Pour l’obtention
Diplôme National d’Ingénieur en Sciences Appliquées et en Technologie
Filière : Réseaux Informatiques et Télécommunication
Mise en place d’une solution de Cyber

Threat Intelligence
Présenté par : Alyssa BERRICHE
Responsable à l’INSAT : M. Souheib YOUSFI Président : M. Emir DAMERGI

Encadré par : M. Sami DHIFI Examinateur : M. Adlen LOUKIL
Page 1 Flow Chart Toolkit

Soutenu le : 27 Juin 2016
Plan
Introduction générale
Contexte du projet
Étude préliminaire
Conception et mise en place
Réalisation
Conclusion & Perspectives
Page 2 Mise en place d’une solution de Cyber Threat Intelligence

Contexte du Etude Conception et Conclusion &
Introduction générale Réalisation
projet préliminaire mise en place Perspectives
Threat Landscape : évolution des menaces informatiques
Attaque ciblée
Programme Trojan/ APT
auto-répliqué DDOS Backdoor / (Operation
(Creeper) Virus (Brain) (Trinoo) RAT (ProRAT) Aurora) Ransomware
Fork bomb Worm Phishing / Botnet Mobile

(Wabbit) (Melissa) scamming (Storm) malware
(DroidDream)
Les années 70 Les années 80 Les années 90 Les années 2000 Le présent

Solutions de sécurité
► Risque d’être cible potentielle d’attaques:
► Revoir la politique de sécurité
► Améliorer l’infrastructure de sécurité
► Intégrer
Détection les solutions
et prévention
D’intrusion
de
Firewall sécurité
& UTM Sécurité Cloud Anti-virus
Solutions
Chiffrement Sécurité Mobile Echanges sécurisés
d’authentification

Solutions de sécurité
Détection et prévention
Firewall & UTM Sécurité Cloud Anti-virus
D’intrusion
Solutions
Chiffrement Sécurité Mobile Echanges sécurisés
d’authentification

Toutes ces solutions

utilisées répondent-elles
totalement au besoins des
entreprises en matière de
sécurité?

74% Des organisations disent que les solutions

utilisées répondent partiellement à leur besoin.
(Source : EY Global Information Security Survey 2015)
36% des entreprises n’ont pas confiance en leur
capacité à détecter des cyberattaques sophistiquées.
(Source : EY Global Info Sec Survey 2015)
66% Des organisations ayant subi un incident de

sécurité non détecté par leur SOC. Ils n’ont pas
d’abonnement payant à des flux de Threat Intelligence.
5 grandes entreprises sur 6 ont été la cible d’une attaque
en 2014.
(Source : Symantec Internet Security Threat Report 2015)
Seules 12% des organisations pensent que leur
fonction sécurité répond à leurs besoins.

Présentation de l’organisme d’accueil
Collaborateurs : 212.000 collaborateurs (au 30 juin 2015)
Bureaux: Plus de 700 bureaux dans 151 pays.
Chiffre d'affaires global : 28.7 milliards de dollars US de chiffre d'affaires

(au 30 juin 2015).

Problématique
Hacker
Entreprise A
Entreprise B

Défis et objectifs de notre projet
Prévention des Anticipation des

menaces connues nouvelles menaces
Défense pro-
active
Prise de décisions Echange des flux de

plus efficaces données sur les
menaces
Mise en place d’une solution de Cyber Threat Intelligence

Page 10
Définition de la Cyber Threat Intelligence
“ La Cyber Threat Intelligence est définie comme étant l’information clé

définissant le contexte, les mécanismes et les indicateurs permettant
d’anticiper les menaces à l’encontre du Système d’Information et de
riposter de manière actionnable face à celles-ci.” – Gartner
Ces informations sont ce que nous appelons IOC (Indicateurs de

compromission).

Idée derrière la Cyber Threat Intelligence

Hacker
At
taq
u e
Empreinte
d’attaque
Entreprise A
Di
Entreprise B ffu
se
le
r en
se
i gn
em
en
t
Empreinte
d’attaque

Cycle de l’intelligence
La
La phase de
planification et
dissémination
direction
Cycle de
renseignements
La collecte
La phase
des données
d'analyse
brutes
La mise en
profit

Procédure de la Cyber Threat Intelligence
Collecte des Analyse des Diffusion des

Normalisation
données renseignements IOC
Extraction de
Filtrage les Exploitation
connaissances
données des IOC
(IOC)
Données Brutes Données Intelligentes

Standards et formats de présentation des données

Année de Documen-
Standard Organisation Format de sortie Indicateurs Outils
publication tation
TLP inconnu X US-CERT STIX, X-ARF -- OTX, CIF
Cybox-python,
CyBox 2012 ✓ MITRE, OASIS XML X509, SMS, email, flux réseau
Soltra
CRITs, MANTIS,
MITRE, OASIS IP, email, URL, fichiers, C2C,
STIX 2012 ✓ XML
malwares artefacts
python-stix, CIF,
OTX
TAXII 2012 ✓ MITRE, OASIS XML -- CRITs, Soltra, OTX
OS artefacts, information sur le IOC finder, IOC

OpenIOC 2011 ✓ MANDIANT XML
malware editor, OTX

Sources de données
Plateformes
Log de payantes
Firewall
Log
Sandbox d’email
gateway Web
Logs Dark web
Crawlers
Sandbox
Honeypot IDS/IPS
Sources Sources
de Honeypot externes
données Partenaires
brutes Crowd-
de
sourcing
Log d’un Log de confiance
Proxy VPN
Routeur / Editeurs
SIEM
IOCs internes switch anti- CERTs
malwares
Anti-virus

Architecture proposée
Injection d'IOC
Collecte de données brutes
Sources Solutions de
externes sécurité
commerciales périmétrique
Collecte de
Collecte d'IOC Système de données brutes
Cyber Threat Flot d'alertes
Intelligence SIEM
Collecte d'IOC Injection d'IOC
Solutions de
Sources externes sécurité des
communautaires postes /
serveurs
Collecte de données brutes
Injection d'IOC
Fournisseur de
EY Client d’EY
données

Fonctionnalités de notre système

Collecte de données Echange d’IOC
► Sources communautaires ► Entre les clients
► Sources commerciales ► Entre les filiales d’un client
► Sources internes ► Entre le client et le prestataire
► Données de clients
Solution de Cyber
Threat
Intelligence
Suivi de processus Fournir des données
de TI pertinentes
► Normalisation ► IOC de nouveaux malwares
► Extraction de connaissance ► IOC d’attaque APT
► Partage des IOCs ► IOC de ransomware
► IOC de phishing
► IOC de spam …
Visualisation des IOC
► Graphes pertinents
► Données temps réels
► Aide à la décision

Outils Payants
Contexte du Etude Conception et Outils Open-source
Conclusion &
Cyber Threat DeepSight Security
Secure Active Soltra
Threat Scape Security USM Intelligence CIF CRITs MISP Mantis OTX FIR
Works Trust Edge
Center Cloud Intelligence Platform
Etude comparative des solutions sur le marché Csirt CERT
Organisa-
Cyveillance FireEye Dell Symantec AlienVault IID LogRythm Soltra Gadget et MITRE -- Siemens AlientVault Sociéte
tion
ISAC-REN générale
$17.400/ $27.500/An
A partir de $28.000/
Prix An pour $2.000 pour les flux $5.050/An $120.000/An -- -- -- -- -- -- --
$12.000/An An
DTI de risques
Documen-
✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ X ✓
tation
Support ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ X
Scalabilité ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ X X ✓ X
mongoDB Elastic-
Stockage -- -- -- -- -- -- -- mongoDB Mysql Postgresql -- Mysql
search
CyBox, OpenIOC, IODEF, Stix,

XML, CSV et Stix, IODEF, CSV,
Stix, XML, Cybox,
Output XML XML XML CEF -- -- CSV Cybox, JSON, openIOC, --
JSON, snort, OpenIOC,
Taxii CSV STIX
Taxii CSV JSON
Collecte de
données X X ✓ ✓ ✓ ✓ ✓ ✓ ✓ X X ✓ ✓ X
brutes
Import de
X X X X ✓ ✓ X ✓ ✓ X ✓ ✓ ✓ X
flux d’IOC
Partage de
✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ ✓ X
flux d’IOC
L’outil Collective Intelligence Framework
► Système de gestion de CTI

► Open-source
► Proposé par ISAC REN et CSIRTGadgets
► Sortie de version 2 : 2014
► Utilise Elasticsearch comme entrepôt de données
► Supporte l’intégration de Kibana pour la visualisation des tableaux de bords

L’outil CIF et son fonctionnement

Autres choix techniques

► Plateforme dédiée aux tableaux de bords
► Le plugin du navigateur Chrome

Notre contribution
Collecte de données Processing Stockage Visualisation des IOCs Partage des IOCs
Alienvault
Client 1
Malc0de Querying & injection

Client 2
Base de Connaissance
Csirtg IO De CIF
….
ISC SANS EDU CIF
Client n
...
Interrogation via plugin

Phase de collecte de données

Alienvault
Malc0de
De CIF
Csirtg IO
ISC SANS EDU
...

Phase de normalisation, filtrage, extraction des IOC et stockage

Alienvault CIF
Malc0de
de CIF
Csirtg IO
ISC SANS EDU
...

Phase de Querying et exploitation des IOCs

Alienvault Client 1
Malc0de
Client 2
de CIF
Csirtg IO
...
Le Le champ Le Le La source des L’URL source
champ observable champ observables de
ISC SANS EDU champ
l’observable
TLP fiabilité Tag
Client n
...

Fonctionnement de la pateforme de tableaux de bords
Base de
Connaissance
De CIF Visualisation des
IOCs
Interrogation du
serveur
Le plugin du navigateur Chrome
Base de
Connaissance
De CIF Visualisation des
IOCs
Interrogation du
serveur
Conclusion
te des
Garantir la collec
flux d’IOC fiables
ltiple
provenant de mu
sources
Fournir une
✓ plateforme dédié
aux tableaux de
e
bords
✓ Offrir un outil sim

ur la rec
ple et
herche
intuit if po
des IOCs
✓
Perspectives
lles
Ajouter de nouve
u
fonctionnalités a Ajouter des
plugin proposé,
de capacités
l’ajouter au store
chrome et l’adap
ter analytiques pour
à d’autres la prédiction
navigateurs
S’inspirer du
Proposer une prototype AI² de
e
application mobil MIT pour
t
pour les alertes e améliorer notre
les notifications système

Merci pour votre attention
Page 31
Questions
Réponse
s

Presentation Pfe Alyssa

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Presentation Pfe Alyssa

Transféré par

Droits d'auteur :

Formats disponibles

Projet de fin d’études

Mise en place d’une solution de Cyber

Responsable à l’INSAT : M. Souheib YOUSFI Président : M. Emir DAMERGI

Page 1 Flow Chart Toolkit

Conception et mise en place

Conclusion & Perspectives

Page 2 Mise en place d’une solution de Cyber Threat Intelligence

Threat Landscape : évolution des menaces informatiques

Fork bomb Worm Phishing / Botnet Mobile

Page 3 Mise en place d’une solution de Cyber Threat Intelligence

Page 4 Mise en place d’une solution de Cyber Threat Intelligence

Page 5 Mise en place d’une solution de Cyber Threat Intelligence

Toutes ces solutions

Page 6 Mise en place d’une solution de Cyber Threat Intelligence

74% Des organisations disent que les solutions

66% Des organisations ayant subi un incident de

Page 7 Mise en place d’une solution de Cyber Threat Intelligence

Présentation de l’organisme d’accueil

Collaborateurs : 212.000 collaborateurs (au 30 juin 2015)

Bureaux: Plus de 700 bureaux dans 151 pays.

Chiffre d'affaires global : 28.7 milliards de dollars US de chiffre d'affaires

Page 8 Mise en place d’une solution de Cyber Threat Intelligence

Page 9 Mise en place d’une solution de Cyber Threat Intelligence

Défis et objectifs de notre projet

Prévention des Anticipation des

Prise de décisions Echange des flux de

Mise en place d’une solution de Cyber Threat Intelligence

Définition de la Cyber Threat Intelligence

“ La Cyber Threat Intelligence est définie comme étant l’information clé

Ces informations sont ce que nous appelons IOC (Indicateurs de

Page 11 Mise en place d’une solution de Cyber Threat Intelligence

Idée derrière la Cyber Threat Intelligence

Page 12 Mise en place d’une solution de Cyber Threat Intelligence

Page 13 Mise en place d’une solution de Cyber Threat Intelligence

Procédure de la Cyber Threat Intelligence

Collecte des Analyse des Diffusion des

Données Brutes Données Intelligentes

Page 14 Mise en place d’une solution de Cyber Threat Intelligence

Standards et formats de présentation des données

TLP inconnu X US-CERT STIX, X-ARF -- OTX, CIF

TAXII 2012 ✓ MITRE, OASIS XML -- CRITs, Soltra, OTX

OS artefacts, information sur le IOC finder, IOC

Page 15 Mise en place d’une solution de Cyber Threat Intelligence

Page 16 Mise en place d’une solution de Cyber Threat Intelligence

Cyber Threat Flot d'alertes

Page 17 Mise en place d’une solution de Cyber Threat Intelligence

Fonctionnalités de notre système

Page 18 Mise en place d’une solution de Cyber Threat Intelligence

CyBox, OpenIOC, IODEF, Stix,

L’outil Collective Intelligence Framework

► Système de gestion de CTI

Page 20 Mise en place d’une solution de Cyber Threat Intelligence

L’outil CIF et son fonctionnement

Page 21 Mise en place d’une solution de Cyber Threat Intelligence

Autres choix techniques

► Le plugin du navigateur Chrome

Page 22 Mise en place d’une solution de Cyber Threat Intelligence

Malc0de Querying & injection

Page 23 Mise en place d’une solution de Cyber Threat Intelligence

Phase de collecte de données

ISC SANS EDU

Page 24 Mise en place d’une solution de Cyber Threat Intelligence

Phase de normalisation, filtrage, extraction des IOC et stockage