eu general secretaiat of the council sc, dga cis, communication and information systems
Post on 05-Jan-2016
46 Views
Preview:
DESCRIPTION
TRANSCRIPT
Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil
11
EU General Secretaiat of the Council SC, DGA CIS, Communication and Information Systems
GS Days – 04.04.13
Mise en place d’une capacite de Defense des Reseaux au sein du Conseil de l’UE – Cyber
Securite, de la theorie a la pratique
J-L AuboinSecurity Unit, Network Defence Capability – Operational Centre
Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil
2
Introduction
• Cyber Securite, Cyber Defense, Cyber Espace,….: Nouveaux termes “buzzwords” – Nouveaux Concepts ? – Ou juste nouvelles pieces du puzzle deja complexe de la
SECURITE des Systemes d’Information et de Communication (SIC / CIS), avec les problemes de:
• Comprehension et Vision globales (au niveau Business Process et Systeme)
• Strategies de Developpement Top-Down et / ou Bottom-Up • Estimations de couts• Definitions de contrats cadre adaptes pour acquisitions rapides et
specifiques• Implementations concretes pour exploitation operationnelle• Maintien en condition operationnelle• Training approprie pour utilisation optimale des capacites installees• …
Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil
3
Introduction
• Basee sur 2 experiences importantes et reussies d’implementation de capacites de Cyber Defense (OTAN et UE), cette conference presente des logiques specialement elaborees et eprouvees:
– Concepts generiques
– Cles pour la Definition de Strategies de Developpement realisables, et la transformation de la theorie en pratique operationnelle.
Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil
4
Structure de la Presentation• 1. Definitions de Reference
• 2. Concepts generiques: definitions d’Ensemble et Structuration
du probleme
• 3. Cles pour la Definition de Strategies de Developpement – Architecture & Implementation
– Analyse Fonctionnelle – Definition detaillee des Besoins et Services de Cyber Securite a partir de:
• 1) Definition des CSIRT Services par US CERT
• 2) Cadre global des 20 Controles de Cyber Securite
• 3) Processus generique de Gestion d’Incidents
– Analyse Systeme – Strategies de Definition d’Architectures & d’Implementation, Principes essentiels
• 4. Conclusion
Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil
5
• Cyber espace: Domaine global constitue d’infrastructures interdependantes de systemes d’information et de communication, y compris leurs liaisons et les liens avec les utilisateurs (directs ou indirects)
• Cyber Securite: L’application de toutes les mesures de securite techniques et legales prises pour PROTEGER le Cyber espace en general, et plus particulierement les Infrastructures critiques, en DETECTANT et REPONDANT aux incidents de Securite
• Cyber Defense: Action pour PREVENIR, REAGIR et RECOUVRIR - RESTORER apres une Cyber Attaque
1. Definitions de Reference
Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil
66
Infrastructures Critiques
Menaces / AttaquesEvenements / Incidents
SOC / CERT:‘Security Operational Centre’‘Computer Emergency Response Team’
Cyber Espace
- PROTECTION- DETECTION- RESPONSE
2. Concept Generique (1)
Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil
7
2. Concept Generique (2)
PKIsSECRET-UE
PKIsUnclassified
PKIsUnclassified
Systemes NonClassifies
SystemesClassifies de bas niveau
PKIsSECRET-UE
Systemes Classifies de hautniveau
-
Contexte Technologique
Contexte Organisationnel (Structures , Mandats , …)
Policies&
Standards
OperationalProcedures
Contexte des Politiques de Securite
ContexteGestion DuPersonnel
Contexte d’Infrastructures a proteger
Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil
8
3. Cles pour la Definition de Strategies de Developpement
• Quels que soient les contextes specifiques, les Strategies de Developpement peuvent etre definies a partir de referentiels communs etablissant la liste exhaustive des services possibles (analyse fonctionnelle)
• Trois sont proposes ici:– 1) Definition des CSIRT (Computer Security
Incident Response Team) Services par US CERT – 2) Cadre global des 20 Controles de Cyber
Securite – 3) Processus de Gestion d’Incidents
Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil
9
1) < CSIRT (Computer Security Incident Response Team) Definition des services par US CERT Carnegie Mellon
University• 3 Categories:
– Reactive Services:• Alerts & Warnings• Incident Handling• Vulnerability Handling• Artifact Handling
– Proactive Services:• Announcements• Technology Watch• Security Audits or Assessments• Configuration & Maintenance of Security Tools / Infrastructure• Development of Security Tools• Intrusion Detection Services• Security-related Information Dissemination
– Security Quality Management Services:• Risk Analysis• Business Continuity & Disaster Recovery Planning• Security Consulting• Awareness Building• Education/Training• Product Evaluation or Certification
Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil
10
• CONTROL 1 - INVENTORY OF AUTHORISED AND UNAUTHORISED DEVICES• CONTROL 2 - INVENTORY OF AUTHORISED AND UNAUTHORISED SOFTWARE• CONTROL 3 - SECURE CONFIGURATIONS FOR HARDWARE AND SOFTWARE ON LAPTOPS,
WORKSTATIONS, AND SERVERS• CONTROL 4 - CONTINUOUS VULNERABILITY ASSESSMENT AND REMEDIATION• CONTROL 5 - MALWARE DEFENCES• CONTROL 6 - APPLICATION SOFTWARE SECURITY• CONTROL 7 - WIRELESS DEVICE CONTROL• CONTROL 8 - DATA RECOVERY CAPABILITY• CONTROL 9 - SECURITY SKILLS ASSESSMENT AND APPROPRIATE TRAINING TO FILL GAPS• CONTROL 10 - SECURE CONFIGURATIONS FOR NETWORK DEVICES SUCH AS FIREWALLS,
ROUTERS AND SWITCHES• CONTROL 11 - LIMITATION AND CONTROL OF NETWORK PORTS, PROTOCOLS, AND SERVICES• CONTROL 12 - CONTROLLED USE OF ADMINISTRATIVE PRIVILEGES• CONTROL 13 - BOUNDARY DEFENCE• CONTROL 14 - MAINTENANCE, MONITORING, AND ANALYSIS OF SECURITY AUDIT LOGS• CONTROL 15 - CONTROLLED ACCESS BASED ON THE NEED TO KNOW• CONTROL 16 - ACCOUNT MONITORING AND CONTROL• CONTROL 17 - DATA LOSS PREVENTION• CONTROL 18 - INCIDENT RESPONSE CAPABILITY• CONTROL 19 - SECURE NETWORK ENGINEERING• CONTROL 20 - PENETRATION TESTS AND RED TEAM EXERCISES
2) < 20 Critical Security Controls for Effective Cyber Defence – Shared Responsibilities
(References: US Homeland Security; UK Centre for Protection of National Infrastructure Australian Government Department of Defence)
Legend: Green: CMB; Blue: Policy; Orange: Security teams (including SOC); Red: SOC
Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil
1111
3) < Processus Generique de Gestion d’Incidents de Securite informatique
1. Detection Identification of attacks/security incidents Ante-mortem, real time, post-mortem
2. Reaction/Response a. Containmentb. Eradicationc. Recoveryd. Forensicse. Lessons learned
3. Prevention Apply the lessons
learned Vulnerability/
threat watch Patch management Pen testing Training Etc.
Permanent and recurring processes
Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil
12
Exemple: Capacites essentielles requises pour supporter le processus de Gestion d’Incidents
(NW Flow Security Monitoring;IPS, DLP, FPC,…)
Passive Forensics
HoneypotHoneynet
Active Forensics
Reverse Malware Eng.
Vulnerability Mgt(critical assets)
Penetration Testing
Threat Intelligence Mgt
Dynamic Risk Mgt
Analysis (NW & Sys levels)
Recovery
EradicationDeterrence Threats/Attacks & VulnerabilityPrevention & Detection
Logs analysis
Incident Ticketing System & Database
Cyber Security Visualization
DLP: Data Leakage PreventionIPS : Intrusion Prevention SystemFPC : Full Packet Capture
Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil
13
• Architectures– de Base – Cible – Intermediaires (Developpement Incremental
recommande)
• Analyses des Business Process / Services (< 3 Referentiels precedents)
• Technologie : Ref. Standards internationaux (y compris de facto standards avec outils Open source) & Best Practices (ex. ENISA)
3. Strategie de Developpement d’Architecture : Principes Essentiels mais generaux de SIC
Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil
14
Strategie de Developpement d’Implementation au niveau Systeme: Centraliser les Capacites Centrales de Gestion
Systemes non classifies
Systemes Classifies de bas niveau
Systemes Classifies de haut niveau
Cyber Capacite
Cyber Capacite
Cyber Capacite Cyber Capacite
Plate-forme de Tests
Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil
15
Systems Static & Dynamic Security Configs & Logs (SIEM)
NW Behaviour / Information Flow Security Analysis
1
2
4Forensics Investigation /Replay
3
Threats Analysis5
Vulnerability Assessment
++
CONTROL 14 - MAINTENANCE, MONITORING,AND ANALYSIS OF SECURITY AUDIT LOGS
CONTROL 18 - INCIDENT RESPONSE CAPABILITY
CONTROL 4 - CONTINUOUS VULNERABILITY ASSESSMENT AND REMEDIATION
CONTROL 5 - MALWARE DEFENCES
CONTROL 20 - PENETRATION TESTS AND RED TEAM EXERCISES
Strategie de Developpement d’Implementation au niveau Fonctionnelle: logique Incrementale
CONTROL 11 - LIMITATION AND CONTROL OF NETWORK PROTOCOLS AND SERVICES
CONTROL 15 - CONTROLLED ACCESS BASED ON THE NEED TO KNOW, …
Les avis exprimés n'engagent que leur auteur et ne peuvent en aucun cas être considérés comme une position officielle du Conseil
16
4. Conclusion
• Les bonnes Definitions et Strategies de developpement d’Architecture et d’Implementation de Capacites de Cyber Securite sont fondamentales pour eviter les ecueils et les fausses assurances de Securite
• Elles sont necessaires mais pas suffisantes pour des realisations reussies
• Elles permettent la mise en œuvre d’un plan de gestion de risques dynamique avec une prioritisation des besoins et un contrôle des couts associes
• Ne pas oublier les evolutions en terme de technologie ou d’organisation qui restent un facteur essentiel quant a la perennite des ‘success stories’ initiales
top related