Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Analyse de risques 1 MGR850 – Hiver 2013 Chamseddine Talhi École de technologie

Analyse de risques 1 MGR850 – Hiver 2013 Chamseddine Talhi École de technologie supérieure (ÉTS) Dép. Génie logiciel et des TI • Motivations & contexte • Objectif • Méthode OWASP • Autres Méthodes d’analyse de risque • Méthode NIST • Post Analyse de risques • Conclusion 2 Plan Motivation & Contexte 3 Chamseddine Talhi, ÉTS Source de la figure: http://projects.webappsec.org/w/page/13246995/Web-Hacking-Incident-Database MGR850- H12 4 Motivation & Contexte Source: http://laststandonzombieisland.com/2012/09/04/situational-awareness-get-some/ MGR850 - A12 Yosr Jarraya, ÉTS 5 Motivation & Contexte MGR850 - A12 Yosr Jarraya, ÉTS • Les technologies de l'information sont notre plus grande force et en même temps, notre plus grande faiblesse ... Dr. Ron Ross Computer Security Division Information Technology Laboratory NIST • Quels sont les actifs à protéger, leurs valeurs et leurs propriétés? • Quelles sont les menaces, leurs motivations et leurs moyens? • Quelles sont les mesures de protection en place et celles qui sont requises? • Quelle est la vraisemblance qu’une vulnérabilité soit exploitée par une source de menace? • Quel est l’impact de cette menace sur les objectifs de sécurité? 6 Analyse de Risque Les questions à se poser: MGR850 - A12 Yosr Jarraya, ÉTS Motivation & Contexte Motivation & Contexte 7 Crédibilité de l’analyse (incidents réels) Instead of being concerned about what CAN happen (theoretical scenarios), perhaps we should first be dealing with what IS happening (analysis of real-world web compromises)… Au lieu d'être préoccupés par ce qui peut arriver (scénarios théoriques), peut-être nous devrions d'abord considérer ce qui est réellement en train de se passer (analyse des compromis web dans le monde réel) ... Ryan Barnett WASC WHID Project Leader Senior Security Researcher Chamseddine Talhi, ÉTS MGR850- A12 Motivation & Contexte 8 Compiler des incidents réels - défis! Il faut d’abord les détecter!  Attaques détectées après X jours. Il faut les retracer! o Faible traçabilité OU o Aucune vérification en vue de détection d’attaques! Chamseddine Talhi, ÉTS MGR850- A12 Source: OWASP Foundation - The Web Hacking Incident Database (WHID) Report for 2010 Motivation & Contexte 9 Compiler des incidents réels - défis! Les victimes cachent les violations Les incidents les plus visibles sont les plus médiatisés Exemple : Les banques ne sont pas obligés de divulguer les vols effectués sur les comptes de leurs clients. Chamseddine Talhi, ÉTS MGR850- A12 Source: OWASP Foundation - The Web Hacking Incident Database (WHID) Report for 2010 Analyse de risques: Principes de base Actifs à protéger: o Valeurs: $$ o Importances: confidentiels, top secret , .. o Propriétés: confidentialité, intégrité, disponibilité, .. Menaces: o Attaquants potentiels : amateurs, terroristes, états, concurrents, .. o Scénarios d’attaques : déni de services, … o Vulnérabilités exploitées: débordements de tableaux, … Mesures de protection: o Déjà en place: Menaces (vulnérabilités) couvertes o Requis: Classés par priorité/urgence. Évaluation de risques: o Vraisemblance * impact Motivation & Contexte 10 Chamseddine Talhi, ÉTS MGR850- A12 Objectif • Comprendre les risques repérés lors du processus de détermination des risques • Estimer la probabilité d’occurrence de chacun des risques repérés • Déterminer l’impact d’un scénario dans lequel un risque se matérialise • Fournir une stratégie pour protéger les actifs et réduire les risques à un niveau tolérable avec des coûts raisonnables 11 MGR850 - A12 Yosr Jarraya, ÉTS Méthode OWASP • Estimer la sévérité de l'ensemble des risques pour prendre une décision éclairée sur ce qu'il faut faire à leur sujet. • Estimer l’importance du risque aide à gagner du temps et à bien définir les priorités. • Ne vous laissez pas distraire par les petits risques, tout en ignorant les plus graves qui sont moins bien compris. • Une vulnérabilité qui est « très grave » pour une organisation peut ne pas être très importante pour l'autre. 12 MGR850 - A12 Yosr Jarraya, ÉTS Risque = Vraisemblance * Impact Méthode OWASP Étape 1: Identification du risque Étape 2: Estimation de la vraisemblance Étape 3: Estimation de l'impact Étape 4: Évaluation de la gravité du risque Étape 5: Choix d’aspects à corriger 13 Source: http://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology MGR850 - A12 Yosr Jarraya, ÉTS Méthode OWASP • Entité menaçante • Attaque • Vulnérabilité • Impact Étape 1 : Identification du risque 14 Opter pour l’excès de prudence en utilisant le pire des scenarios, qui se traduira par le plus grand risque global MGR850 - A12 Yosr Jarraya, ÉTS Objectif: Identifier un risque pour la sécurité qui doit être évalué Méthode OWASP Entité menaçante = Capacités + Intentions + historique d’activités Étape 1 : Identification du risque Classification des entités menaçantes: • Sans cibles spécifiques: virus informatiques, vers • Employés • Crime organisé et criminels • Industriels (Sociétés) • Humains non-intentionnés: accidents, négligence, etc. • Humain intentionnés: interne (Insider), externe (outsider). • Naturelles: inondations, incendie, foudre, etc. Chamseddine Talhi, ÉTS 15 MGR850- H12 Méthode OWASP Étape 1 : Identification du risque Sources d’information • Agences gouvernementales ou paragouvernementales – FBI InfraGard (http://www.infragard.net/) – US Computer Emergency Readiness Team (http://www.us-cert.gov/) – CMU Software Engineering Institute CERT (www.cert.org) – Web-Hacking-Incident-Database • Organismes commerciaux – SANS (http://www.sans.org/) – SecurityFocus (http://www.securityfocus.com/) • Media Jean-Marc Robert, ÉTS 16 MGR850- A12 Source: OWASP Foundation - The Web Hacking Incident Database (WHID) Report for 2010 Chamseddine Talhi, ÉTS Méthode OWASP Étape 1 : Identification du risque 17 Cibles d’attaques MGR850- H12 Source: OWASP Foundation - The Web Hacking Incident Database (WHID) Report for 2010 Chamseddine Talhi, ÉTS Méthode OWASP Étape 1 : Identification du risque 18 Objectifs d’attaques MGR850- H12 Source: OWASP Foundation - The Web Hacking Incident Database (WHID) Report for 2010 Chamseddine Talhi, ÉTS Méthode OWASP Étape 1 : Identification du risque 19 Techniques d’attaques MGR850- H12 Source: OWASP Foundation - The Web Hacking Incident Database (WHID) Report for 2010 Chamseddine Talhi, ÉTS Méthode OWASP Étape 1 : Identification du risque 20 Vulnérabilités exploitées MGR850- H12 Méthode OWASP Objectif: Estimer la probabilité d'une attaque réussie lorsqu’effectuée par un groupe d’attaquant spossibles. Étape 2 : Estimation de la vraisemblance • Influencée par 2 types de facteurs: 1) Entités menaçantes : impact de la nature de l’attaquant sur la vraisemblance d’une attaque réussie. Pessimisme recommandé! 2) Vulnérabilités: la vraisemblance d’une découverte de la vulnérabilité et son exploitation par les entités menaçantes considérées dans 1) • Chaque facteur a un ensemble d’options notées sur 9 Chamseddine Talhi, ÉTS 21 MGR850- H12 Méthode OWASP Étape 2 : Estimation de la vraisemblance A- Facteurs en relation avec l’entité menaçante: • Niveau de compétence: Pas de compétences (1) certaines compétences (3), utilisateurs avancés de systèmes d’information (4), compétences réseaux et logiciels (6), compétences de pénétration de sécurité (9) • Motivation: Peu ou pas de récompenses (1), récompense possible (4), forte rentabilité (9) • Opportunités d’exploitation nécessitant: accès complet ou ressources très coûteuses (0), des ressources et droits d’accès spéciaux (4), quelques ressources et droits d’accès (7), aucun droit d’accès et aucune ressource (9) • Nature de la communauté menaçante: développeurs (2), administrateurs système (2), utilisateurs de l'intranet (4), partenaires (5), utilisateurs authentifiés (6), Utilisateurs Internet (9) Chamseddine Talhi, ÉTS 22 MGR850- H12 Méthode OWASP Étape 2 : Estimation de la vraisemblance B- Facteurs en relation avec la vulnérabilité: • Facilité de découverte: pratiquement impossible (1), difficile (3), facile (7), outils automatiques disponibles (9) • Facilité d'exploitation: théorique (1), difficile (3), facile (5), des outils automatiques disponibles (9) • Disponibilité de l’information: information inconnue (1), cachée (4), évidente (6), publique (9) • Détection d’intrusion: détection active dans l’application (1), audit et révision (3), audit sans révision (8), absence d’audit (9) Chamseddine Talhi, ÉTS 23 MGR850- H12 Méthode OWASP Étape 2 : Estimation de la vraisemblance Sources d’information • Agences gouvernementales ou paragouvernementales – FBI InfraGard (http://www.infragard.net/) – US Computer Emergency Readiness Team (http://www.us-cert.gov/) – CMU Software Engineering Institute CERT (www.cert.org) – US National Vulnerability Database (http://nvd.nist.gov/ ) – Mitre, Common Vulnerabilities and Exposure (http://cve.mitre.org/cve/) • Organismes commerciaux – SANS (http://www.sans.org/) – Sites des entreprises: Microsoft, Oracle, Symantec, … – SecurityFocus (http://www.securityfocus.com/) • Outils de détection – Nessus, Codenomicon, … • Media Jean-Marc Robert, ÉTS 24 MGR850- A12 Méthode OWASP Étape 3 : Estimation de l’impact Objectif: Estimer l’impact d'une attaque réussie lorsqu’effectuée par un groupe d’attaquant spossibles. • Influencée par 2 types de facteurs: 1) Impact technique : estimer l'ampleur de l'impact sur le système si la vulnérabilité est exploitée 2) Impact sur le domaine d’affaires: découle de l'impact technique, mais nécessite une compréhension approfondie des priorités de l'entreprise • Chaque facteur a un ensemble d’options notées sur 9 Chamseddine Talhi, ÉTS 25 MGR850- H12 Méthode OWASP Étape 3 : Estimation de l’impact A- Impact technique: • Perte de confidentialité: peu de données non-sensibles divulguées (2), peu de données critiques divulguées (6), nombreuses données non- sensibles divulguées (6), nombreuses données critiques divulguées (7), toutes les données divulguées (9) • Perte d'intégrité: peu de données légèrement corrompues (1), peu de données gravement corrompues (3), nombreuses données légèrement corrompues (5), nombreuses données gravement corrompues (7), toutes les données complètement corrompues (9) • Perte de disponibilité: peu de services secondaires interrompus (1), peu de services importants interrompus (5), nombreux services secondaires interrompus (5), nombreux services de base interrompus (7), tous les services complètement interrompus uploads/Management/ mgr850-h13-cours-05-analyse2risques.pdf