© 2008 dreamlab technologies ag© 2008 soluzen itil, iso 27001, osstmm: convergence des bonnes...
TRANSCRIPT
© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN
ITIL, ISO 27001, OSSTMM:
Convergence des bonnes Pratiques, Pour un Système d‘information plus
fiable et plus sûr
30. Janvier 2008
2
© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN
Participants
2
• Didier Drapeau, Soluzen
• Philipp Egli, Dreamlab Technologies SA
• Alexandre Fernandez-Toro, HSC
3
© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN
Agenda
3
• Positionnement des Standards
• OSSTMM 3.0
– Présentation de la methode
– Complementarité et Compatibilité avec l‘ISO 27001
• Pause
• Mutualisation entre ITIL et ISO 27001
• Convergence entre ITIL, ISO 27001 et OSSTMM
4
© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN
ITIL, ISO 27001, OSSTMM
• Pour un système d’information plus fiable et plus sûr– Pourquoi ? (2001)
– Comment ? (2008)
• Avec l’ISO 20000 (ITIL)/27001– insuffisant car pas de garantie du niveau de sécurité
– Ce qu’offre l’OSSTMM
4
© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN
Positionnement des Standards
6
© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN
6
7
© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN
ISO 27001 et OSSTMM dans la démarche globale de sécurité
7
Diag./Audit initial
Plan directeur
Pare-feux
PRA
Stockage…
Mise en œuvre
Projets
CertificatISO27001
Mise en conformité
Contrôles
CertificatOSSTMM
Politiquedirectives
© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN
Sommes nous protégés?
© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN
Sommes nous protégés?
OSSTMM 3.0
10
Zur Anzeige wird der QuickTime™ Dekompressor „“
benötigt.
© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN
Sécurité parfaite...
10
11
Zur Anzeige wird der QuickTime™ Dekompressor „“
benötigt.
© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN
Sécurité parfaite... adaptée à la situation
11
12
© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN
OSSTMM signification
12
• Open Source Security Testing Methodology Manual
13
© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN
OSSTMM historique
13
• Depuis 2001 (Version actuelle 3.0)
• Edité par ISECOM (Institute for Security and Open Methodologies)
• Concept pour « mesurer » la sécurité des systèmes operationels
• Scientifique (Transparence / Reproductibilité)
• Université de La Salle (Barcelone) qui inclus les formations OPSA et OPST dans leur programme MBA (ECTS). (Berne / Bienne / Fribourg)
14
© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN
la méthode: Investigations
14
15
© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN
la méthode: Tests
15
16
© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN
OSSTMM: Une métrique de sécurité, le RAV(Risk Assessment Value)
• Le calcul du RAV est composé de trois éléments
• Operational Security (OPSEC) (Porosité de l‘asset mesuré)– Pour être operationel un système doit être ouvert aux
communications ce qui le rend vulnérable
• Controls (Mesures de sécurité)– Class A controls: 5 types de mesures qui sécurisent les interactions– Class B controls: 5 types de mesures qui sécurisent les procesus
• Limitations „Vulnérabilités“– les classes de vulnérabilités
16
17
© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN
Balance
17
18
© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN
OSSTMM: OPSEC
• OPSEC (Dependant du vecteur d‘attaque)– Visibility: Les cibles visibles dans le périmètre.
Exemple: Scan de serveurs qui donne leurs adresses IP
– Access: Toutes les possibilités pour acceder les cibles: Exemple: Le serveur a deux ports ouverts.
– Trust: Relations de confiance. Exemple: Lien sans authentification entre un Serveur de base de donne et un serveur Web.
18
19
© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN
OSSTMM: Controls A
• INTERACTIVE (Class A)– Authentication: Mot de passe
– Indemnification: Bannière „Défense d‘entrer“
– Resilience: Malgré la perte du certificat de chiffrement le disque dur reste chiffré et les données protégées.
– Subjugation (Renforcement): Redirection automatique des flux http vers https.
– Continuity: Load Balancing / Redondance
19
20
© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN
OSSTMM: Controls B
• PROCESS (Class B)– Non-repudiation: Traces utilisateur
Exemple: Log Files qui permet de déterminer l‘identité d‘un visiteur d‘un site web.
– Confidentiality: Encryption des données et des flux
– Privacy: Transactions au sein d‘une zone sécurisée sans chiffrement.
– Integrity: Checksum / Algorithme
– Alarm: IDS / Monitoring / Surveillance
20
21
© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN
OSSTMM: Limitations
• Limitations– Vulnerability: Possibilité de contourner les mesures de sécurité.
– Weakness: Vulnérabilités liées aux mesures de sécurité classe A. (Authentication, Indemnification, etc,)
– Concern: Vulnérabilités liées aux mesures de sécurité classe B. (Confidentiality, Privacy, Alarm, etc.)
– Exposure: Divulgation d‘informations
– Anomaly: Operations anormalesExemple: Serveur visible par intermittence sans raisons apparentes
21
22
© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN
Outil de calcul du RAV
22
ISECOM - RISK ASSESSMENT VALUES
OPSEC CALCULATION WORKSHEETVisibility 1 Porosity 54
Access 50 Total Controls 24
Trust 3 Class A Controls 3
Class B Controls 21
Whole Coverage 4,44%
Class A CONTROLS Missing True Coverage 4,44%
Authentication 1 53 True Coverage A 0,56%
Indemnification 0 54 True Coverage B 3,89%
Resistance 1 53 Missing Controls 516
Subjugation 0 54 Missing Controls A 267
Continuity 1 53 Missing Controls B 249
Class B Coverage Missing 95,56%
Non-Repudiation 1 53 Total # Limitations 0
Confidentiality 2 52 Limitations Value 0
Privacy 2 52
Integrity 15 39 Vulnerability 3,75587486
Alarm 1 53 Weakness 3,50650503
Concern 3,48144263
Exposure 1,00000000
LIMITATIONS Total Anomaly 3,42813479
Vulnerabilities 0 0,00000
Weaknesses 0 0,00000 RAV TOTALSConcerns 0 0,00000 OPSEC 13,93136348
Exposures 0 0,00000 CONTROLS 5,67400519
Anomalies 0 0,00000 LIMITATIONS 0,00000000
Δ -8,25735829
RAV 90,95217542
23
© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN
OSSTMM: RAV
23
• Avons nous calculé le risque avec le RAV?
24
© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN
OSSTMM: RAV
24
• Avons nous calculé le risque avec le RAV?
• Non
25
© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN
OSSTMM et gestion de risquesAvant application des mesures
25
Impact
Téléphonie
26
© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN
Matrice Impact - Probabilité
26
27
© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN
Risque après les corrections
27
Impact
Téléphonie
28
© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN
28
Pilotage
Outils de calcul automatiques du RAV
29
© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN
Certification
29
• Par qui: ISECOM et Organisme Certificateur
• Quoi: Produits, services, Personnes
• Conditions:– Maintien du RAV > 90 % – Certification annuelle – Recertification en cas de changement de périmètre
• Personnels certifiés:– Testeur (OPST)– Analyste (OPSA)– Expert (OPSE)
© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN
Complémentarités
OSSTMM / ISO 27001
31
© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN
ISO27001 : Pilotage & maîtrise des risques 31
ISO 27001Syst¸me Management Sˇcuritˇ Information
Basedoc
Planifier
Dˇployer
Contr™ler
Amˇliorer
ISO 27002Mesures (17799)
ISO 27005Gestionrisques
Activitˇ
Applications - donnˇes
Serveurs
Rˇseaux locaux - ˇtendus
Localisation - humain
Zur Anzei ge w i rd der Q ui ckTi me™ D ekompressor „“
benöti gt.
ISO 2700?MCA
ISO 27004 IndicateursIntelligence
éco
Joyaux ?
Quelle valeur / enjeux?
SOXBâle2LSF
PandémiePirate
32
© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN
ISO27001: Contrôles et mesure du niveau de sécurité32
ISO 27001Syst¸me Management Sˇcuritˇ Information
Planifier
Dˇployer
Contr™ler
Amˇliorer
ISO 27002Mesures (17799)
ISO 27005Gestionrisques
Activitˇ
Applications - donnˇes
Serveurs
Rˇseaux locaux - ˇtendus
Localisation - humain
ISO 27004 Indicateurs
Objectifs mˇtier etde sˇcuritˇ
Auditeur Testeur Analyste
OpenSourceSecurityTesting
MethodologyManual
(OSSTMM)
33
© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN
Sécurité du système d’information: certification 33
ISO
270
01S
yst¸
me
Man
agem
ent
Sˇc
uritˇ
Info
rmat
ion
Activitˇ
Applications - donnˇes
Serveurs
Rˇseaux locaux - ˇtendus
Localisation - humain
Exigencesrˇglementaires / mˇtierdes parties prenantes
certifiˇ
OSSTMM(standard)
Mˇ thode detests
techniquesde sˇ curitˇ
certifiˇ
Niveau desˇcuritˇ
Gestion de lasˇcuritˇ+
Contribution conformitˇ:SOX
BALE 2ITIL
34
© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN
OSSTMM vs ISO 27001 34
ISO 27001Exigences
OSSTMMRéponses
4.2.1.a : scope du SMSI Scope de l’audit: protection périmétrique d’un réseau (assets)
4.2.1.c: définition méthode d’analyse de risques Méthodologie OSSTMMMode de calcul du RAV (%) : feuille de calcul
4.2.1.c.2: Critères d’acceptation risques et niveau de risques acceptables (5.1.f)
% du RAV objectif défini par le propriétaire des assets> 90% alors certification possible(RAV reproductible et comparable)
4.2.1.d: identification des risques Assets testés: pare-feux…Vulnérabilités mesurées: mauvais paramétrage
4.2.1.e: analyse et évaluation des risques Résultats des tests (impacts mesurés): pénétration possible du réseauRAV détermine si risque acceptable
4.2.1.f: évaluer les options de traitement des risques
Envisager mesures de sécurité: règles du pare-feu appropriées, doubler appliances…
4.2.1.g, h, i, j: sélection des mesures annexe A (17799)& SoA (déclaration d’applicabilité)
Rapport d’audit & justification des mesures vs business
35
© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN
OSSTMM: vs ISO 27001 35
ISO 27001 Exigences
OSSTMMExigences
4.2.2 : mise en œuvre du SMSI Application des mesures issues de l’audit
4.2.3: surveillance et revues du SMSI Audits intermédiaires proactifs déterminés par valeur du RAV (décroissance niveau sécurité)
4.2.4: amélioration du SMSI Application des corrections issues de l’audit et re-calcul du RAV jusqu’à acceptable
4.3: documentations Rapport d’audit, feuille calcul RAV Logs des tests réalisés,
5.1: engagement du management Règles d’engagement, accord confidentialité, mandats (tests intrusion)
5.2: affectation des ressourcesCompétences
Testeurs, analyste identifiés (IP sources…)Certifications OPST, OPSA…
© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN
Questions / Pause
37
© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN
Convergences 37
Mutualisation
ITILISO20000
ISO27001 OSSTMM
PDCA Certifiantes et certifiˇes Amˇlioration qualitˇ du SI Ma”trise des risques
38
© 2008 DREAMLAB TECHNOLOGIES AG© 2008 SOLUZEN
Perspectives 38
mutualisation plus compl¸te ITIL / ISO 27001 Maintien accru du RAV (outils automatisˇs dˇj existants) Intˇgration des ĒŹbonnes pratiquesŹČ dans les cursusuniversitaires