Modélisation des menaces

Slides:



Advertisements
Présentations similaires
Sécurité informatique
Advertisements

L’Essentiel sur… La sécurité de la VoIP
Vue d'ensemble Présentation multimédia : Administration d’un environnement Microsoft Windows Server 2003 Ouverture de session sur Windows Server 2003 Installation.
Module 3 : Administration des groupes
Hygiène de la messagerie chez Microsoft
Botnet, défense en profondeur
SDL Trustworthy Computing Security Development Lifecycle Synthèse E. Mittelette, E Vernié
É criture de code s é curis é – M é thodes Eric Mittelette Jean Gautier )
SDL Trustworthy Computing Security Development Lifecycle
« Les Mercredis du développement » Introduction Office « 12 » Présenté par Bernard Fedotoff Microsoft Regional Director Agilcom.
Open Days 2006 Le Web 2.0 demain: produits, technologies, outils.
DUDIN Aymeric MARINO Andrès
Conception de la sécurité pour un réseau Microsoft
Module 10 : Gestion et analyse de l'accès réseau
Vue d'ensemble Vue d'ensemble de la sécurité dans Windows Server 2003
Vue d'ensemble Présentation multimédia : Rôle du routage dans l'infrastructure réseau Activation et configuration du service Routage et accès distant Configuration.
Vue d'ensemble Implémentation de la sécurité IPSec
Module 6 : Gestion et analyse du système DNS
Module 2 : Allocation de l'adressage IP à l'aide du protocole DHCP
Vue d'ensemble Création de comptes d'utilisateurs
La politique de Sécurité
Le web classeur Guide à l'usage des élèves. un support de classement et de conservation de vos informations en matière dorientation un outil permettant.
TP 3-4 BD21.
Utilisation Pédagogique de lENT 1.Envoyer un à ses élèves ou une autre personne de la communauté éducative 2.Créer des listes de diffusion 3. Remplir.
Découvrez… 30/03/2017 © Agarik.
Configuration de Windows Server 2008 Active Directory
Sécurité Informatique
LES OUTILS POUR LA GOUVERNANCE DES DONNÉES LA PASSION DES DONNÉES LA PRÉCISION DES RÉSULTATS.
SECURITE DU SYSTEME D’INFORMATION (SSI)
Efficience Industrie – 30 rue de la république LYON RCS LYON - Développez le potentiel de votre entreprise.
Module 1 : Préparation de l'administration d'un serveur
Un regard sur les bonnes pratiques d'implémentation Eric Mittelette Eric Vernié Microsoft France - DPE.
Amélioration de la sécurité des données à l'aide de SQL Server 2005
Journée du 22 février 2010 Université virtuelle de Tunis Dhafer Mezghanni THEME 2: Compétences du référentiel et profils des équipes pédagogiques.
1 Sécurité Informatique : Proxy Présenter par : Mounir GRARI.
Module 16 : Implémentation de serveurs Windows 2000
Le filtrage IP Ahmed Serhrouchni ENST’Paris CNRS.
Le Travail Collaboratif ...
1. SITE WEB DU SERVICE INFORMATIQUE DU RECTORAT
Module 8 : Maintenance des logiciels à l'aide des services SUS
Module 2 : Préparation de l'analyse des performances du serveur
Module 3 : Création d'un domaine Windows 2000
Service Informatique du Rectorat
Module 1 : Installation de Microsoft Windows XP Professionnel
SDL en une slide Modélisation des menaces Démo…interactive!
Evaluations nationales 2009 Pas à pas destiné aux directeurs Aide à la saisie et à la remontée des résultats Réalisé à partir du travail de l’académie.
La sécurité dans les réseaux mobiles Ad hoc
Module 8 : Surveillance des performances de SQL Server
Introduction à la Sécurité Informatique
Paramètres significatifs dans le processus de modélisation de la disponibilité Rennes le 24 mars 2004 Ahmed Bouabdallah, Nora Cuppens-Boulahia et Frédéric.
Lyda tourisme Process en PHP. Objectif Il s’agit de construire un segment de process dans un système d’information touristique.
Erreurs commises couramment dans le domaine de la sécurité 1.Sensibilisation aux questions de sécurité 2.Suivi des incidents 3.Gestion déficiente des.
Jean-Luc Archimbaud CNRS/UREC
Application de gestion des retards
Windows 2003 Server Modification du mode de domaine
Institut Supérieur d’Informatique
Développement d’application Web.  Internet  WWW  Client/Serveur  HTTP.
FTP : File Transfer Protocol (protocole de transfert de fichier ) est un protocole de communication destiné à l'échange informatique de fichiers sur.
Module 3 : Création d'un domaine Windows 2000
Sécurité et Internet Formation.
Clifton Hughes Développeur Global Support Automation Microsoft Corporation Présentation du pare-feu de connexion Internet Microsoft Windows XP Clifton.
Module 1 : Vue d'ensemble de Microsoft SQL Server
Installation Chapitre 2.
Atteindre l’excellence avec l’expertise d’Efficience Industrie
1 Démo SoftGrid. Le Séquenceur SoftGrid Utilisation d’un « packageur » SoftGrid Possibilité de “séquencer” en ligne de commande (CLI) Existence d’outils.
LES BASES DE DONNEES PRÉSENTÉ PAR CATHY ET THIBAULT.
Sécurité des Web Services
Mieux comprendre son ENT e-lyco et savoir s’en servir Collège Saint-Joseph Ernée.
Chapitre 8 Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats Module S43.
Chapitre8 Configuration de l'adressage TCP/IP et de la résolution de noms Module S41.
Transcription de la présentation:

Modélisation des menaces Eric Mittelette Eric Vernié Microsoft France - DPE

Types d'attaques courants Échec de la connexion Attaques d'entreprise Données confidentielles Violations accidentelles de la sécurité automatisées Pirates Virus, chevaux de Troie et vers Déni de service (DoS) DoS

Qu'est-ce que la modélisation des menaces ? La modélisation des menaces est une analyse basée sur la sécurité dont les objectifs sont les suivants : Aider l'équipe produit à identifier les vulnérabilités du produit Évaluer les menaces relatives à une application Réduire les risques globaux à l'égard de la sécurité Identifier les ressources Découvrir les vulnérabilités Identifier les menaces Permettre d'établir la base des spécifications de conception en matière de sécurité

Avantages de la modélisation des menaces Permet de mieux comprendre votre application Permet de rechercher les erreurs Permet d'identifier les erreurs de conception complexes Permet d'intégrer de nouveaux membres à l'équipe Permet d'établir des programmes de test de sécurité bien conçus Risque Vulnérabilité Ressource

Processus de modélisation des menaces Identifier les ressources 1 Créer une vue d'ensemble de l'architecture 2 Décomposer l'application 3 Identifier les menaces 4 Documenter les menaces 5 Évaluer les menaces 6

Établissez la liste des ressources devant être protégées : Processus de modélisation des menaces Étape 1 : Identifier les ressources Établissez la liste des ressources devant être protégées : Données confidentielles, telles que les bases de données des clients Pages Web Disponibilité système Tous les autres éléments qui, s'ils étaient endommagés, pourraient empêcher le bon fonctionnement de votre application

Processus de modélisation des menaces Étape 2 : Créer une vue d'ensemble de l'architecture Identifier ce que fait l'application Créer un diagramme de l'architecture Identifier les technologies Autorisations NTFS (authentification) Autorisation de fichier Autorisation d'URL Rôles .NET Rôle défini par l'utilisateur SSL (Confidentialité/ Intégrité) Frontière sécurisée Alice Mirwault Laura Bartoli Victor Nahas IIS Authentification anonyme par formulaires IPSec (Privé/Intégrité) ASPNET (identité du processus) Microsoft ASP.NET Authentification de Microsoft® Windows SQL Server

Processus de modélisation des menaces Étape 3 : Décomposer l'application Identifier les frontières sécurisées Décomposez l'application Créez un profil de sécurité basé sur les domaines de vulnérabilité classiques Examinez les interactions entre les différents sous-systèmes Utilisez les diagrammes UML ou de flux de données Identifier le flux de données Identifier les points d'entrée Identifier le code privilégié Documenter le profil de sécurité

Processus de modélisation des menaces Étape 4 : Identifier les menaces Constituez une équipe Identifiez les menaces Menaces liées au réseau Menaces liées aux hôtes Menaces liées à l'application

Processus de modélisation des menaces Identifier les menaces à l'aide de STRIDE Types de menaces Exemples USurpation Falsification de messages électroniques Rediffusion de paquets d'authentification FalsificaTion Modification des données lors d'une transmission Changement des données dans des fichiers Répudiation Suppression d'un fichier important et déni de l'action Achat d'un produit et déni de l'action Divulgation d'Informations Exposition d'informations dans des messages d'erreur Exposition de code sur des sites Web Deni de service Submersion d'un réseau avec des paquets SYN Submersion d'un réseau avec des paquets ICMP falsifiés Elévation de privilèges Exploitation du débordement de mémoire tampon pour obtenir des privilèges système Obtention illégale des privilèges d'administrateur

Voir les informations relatives aux salaires Processus de modélisation des menaces Identifier les menaces à l'aide d'organigrammes des menaces 1.0 Voir les informations relatives aux salaires (I) 1.1 Le trafic n'est pas protégé (ET) 1.2 L'intrus voit le trafic 1.2.1 Espionner le trafic avec un analyseur de protocole 1.2.2 Écouter le trafic du routeur 1.2.2.1 Routeur non équipé d'un correctif (ET) 1.2.2.2 Endommager le routeur 1.2.2.3 Deviner le mot de passe du routeur Menace n°1 (I) Voir les informations relatives aux salaires 1.1 Le trafic n'est pas protégé 1.2 L'intrus voit le trafic 1.2.1 Espionner le trafic avec un analyseur de protocole 1.2.2 Écouter le trafic du routeur 1.2.2.1 Routeur non équipé d'un correctif 1.2.2.2 Endommager le routeur 1.2.2.3 Deviner le mot de passe du routeur

Processus de modélisation des menaces Étape 5 : Documenter les menaces Documenter les menaces à l'aide d'un modèle : Ne pas renseigner le champ Risque (pour l'instant) Description de la menace Injection de commandes SQL Cible de la menace Composant de l'accès aux données Risque Techniques d'attaque L'intrus ajoute des commandes SQL au nom d'utilisateur utilisé pour former une requête SQL Contre-mesures Utiliser une expression régulière pour valider le nom d'utilisateur et une procédure stockée avec des paramètres pour accéder à la base de données

Processus de modélisation des menaces Étape 6 : Évaluer les menaces Utilisez la formule suivante : Risque = Probabilité * Dommage potentiel Utilisez le modèle DREAD pour noter les menaces Dommage potentiel  Reproductibilité  Exploitation   Utilisateurs Affectés  Découverte 

Processus de modélisation des menaces Exemple : Évaluer les menaces Dommage potentiel Utilisateurs affectés Ou Dommage Menace n°1 (I) Voir les informations relatives aux salaires 1.1 Le trafic n'est pas protégé 1.2 L'intrus voit le trafic Reproductibilité Exploitation Découverte Ou Probabilité 1.2.1 Espionner le trafic avec un analyseur de protocole 1.2.2 Écouter le trafic du routeur 1.2.2.1 Routeur non équipé d'un correctif 1.2.2.2 Endommager le routeur 1.2.2.3 Deviner le mot de passe du routeur

Sur MSDN, retrouvez tout un ensemble de ressources liées à la sécurité pour les développeurs Les meilleures articles techniques en français Les Webcasts (vidéos de formation) enregistrées lors des Rencontres Sécurité de décembre 2005, et ceux, à venir, des Journées Microsoft de la Sécurité Des cours en ligne, en français et gratuits Les derniers bulletins de sécurité Et le jeu concours « Sale bug ! » Chaque mois, un bug caché dans une portion de code Le mois suivant, la solution sur le site avec des liens vers des articles pour en savoir plus Et des lots à gagner, tout au long de l’année