ITIL, ISO 27001, OSSTMM: Convergence des bonnes Pratiques, Pour un Système d‘information plus fiable et plus sûr 30. Janvier 2008 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG
Participants Didier Drapeau, Soluzen 2 Participants Didier Drapeau, Soluzen Philipp Egli, Dreamlab Technologies SA Alexandre Fernandez-Toro, HSC © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG
Agenda Positionnement des Standards OSSTMM 3.0 Présentation de la methode Complementarité et Compatibilité avec l‘ISO 27001 Pause Mutualisation entre ITIL et ISO 27001 Convergence entre ITIL, ISO 27001 et OSSTMM © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG
4 ITIL, ISO 27001, OSSTMM Pour un système d’information plus fiable et plus sûr Pourquoi ? (2001) Comment ? (2008) Avec l’ISO 20000 (ITIL)/27001 insuffisant car pas de garantie du niveau de sécurité Ce qu’offre l’OSSTMM © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG
Positionnement des Standards © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG
6 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG
ISO 27001 et OSSTMM dans la démarche globale de sécurité Diag./Audit initial Plan directeur Politique directives Certificat ISO27001 Projets Certificat OSSTMM Pare-feux PRA Stockage… Mise en œuvre Mise en conformité Contrôles © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG
Sommes nous protégés? © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG
Sommes nous protégés? OSSTMM 3.0 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG
10 Sécurité parfaite... © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG
Sécurité parfaite... adaptée à la situation 11 Sécurité parfaite... adaptée à la situation © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG
OSSTMM signification Open Source Security Testing Methodology Manual 12 OSSTMM signification Open Source Security Testing Methodology Manual © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG
OSSTMM historique Depuis 2001 (Version actuelle 3.0) 13 OSSTMM historique Depuis 2001 (Version actuelle 3.0) Edité par ISECOM (Institute for Security and Open Methodologies) Concept pour « mesurer » la sécurité des systèmes operationels Scientifique (Transparence / Reproductibilité) Université de La Salle (Barcelone) qui inclus les formations OPSA et OPST dans leur programme MBA (ECTS). (Berne / Bienne / Fribourg) © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG
la méthode: Investigations 14 la méthode: Investigations © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG
15 la méthode: Tests © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG
OSSTMM: Une métrique de sécurité, le RAV (Risk Assessment Value) 16 OSSTMM: Une métrique de sécurité, le RAV (Risk Assessment Value) Le calcul du RAV est composé de trois éléments Operational Security (OPSEC) (Porosité de l‘asset mesuré) Pour être operationel un système doit être ouvert aux communications ce qui le rend vulnérable Controls (Mesures de sécurité) Class A controls: 5 types de mesures qui sécurisent les interactions Class B controls: 5 types de mesures qui sécurisent les procesus Limitations „Vulnérabilités“ les classes de vulnérabilités © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG
17 Balance © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG
OSSTMM: OPSEC OPSEC (Dependant du vecteur d‘attaque) 18 OSSTMM: OPSEC OPSEC (Dependant du vecteur d‘attaque) Visibility: Les cibles visibles dans le périmètre. Exemple: Scan de serveurs qui donne leurs adresses IP Access: Toutes les possibilités pour acceder les cibles: Exemple: Le serveur a deux ports ouverts. Trust: Relations de confiance. Exemple: Lien sans authentification entre un Serveur de base de donne et un serveur Web. © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG
OSSTMM: Controls A INTERACTIVE (Class A) Authentication: Mot de passe 19 OSSTMM: Controls A INTERACTIVE (Class A) Authentication: Mot de passe Indemnification: Bannière „Défense d‘entrer“ Resilience: Malgré la perte du certificat de chiffrement le disque dur reste chiffré et les données protégées. Subjugation (Renforcement): Redirection automatique des flux http vers https. Continuity: Load Balancing / Redondance © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG
OSSTMM: Controls B PROCESS (Class B) 20 OSSTMM: Controls B PROCESS (Class B) Non-repudiation: Traces utilisateur Exemple: Log Files qui permet de déterminer l‘identité d‘un visiteur d‘un site web. Confidentiality: Encryption des données et des flux Privacy: Transactions au sein d‘une zone sécurisée sans chiffrement. Integrity: Checksum / Algorithme Alarm: IDS / Monitoring / Surveillance © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG
OSSTMM: Limitations Limitations 21 OSSTMM: Limitations Limitations Vulnerability: Possibilité de contourner les mesures de sécurité. Weakness: Vulnérabilités liées aux mesures de sécurité classe A. (Authentication, Indemnification, etc,) Concern: Vulnérabilités liées aux mesures de sécurité classe B. (Confidentiality, Privacy, Alarm, etc.) Exposure: Divulgation d‘informations Anomaly: Operations anormales Exemple: Serveur visible par intermittence sans raisons apparentes © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG
ISECOM - RISK ASSESSMENT VALUES CALCULATION WORKSHEET 22 Outil de calcul du RAV ISECOM - RISK ASSESSMENT VALUES OPSEC CALCULATION WORKSHEET Visibility 1 Porosity 54 Access 50 Total Controls 24 Trust 3 Class A Controls Class B Controls 21 Whole Coverage 4,44% Class A CONTROLS Missing True Coverage Authentication 53 True Coverage A 0,56% Indemnification True Coverage B 3,89% Resistance Missing Controls 516 Subjugation Missing Controls A 267 Continuity Missing Controls B 249 Class B Coverage Missing 95,56% Non-Repudiation Total # Limitations Confidentiality 2 52 Limitations Value Privacy Integrity 15 39 Vulnerability 3,75587486 Alarm Weakness 3,50650503 Concern 3,48144263 Exposure 1,00000000 LIMITATIONS Total Anomaly 3,42813479 Vulnerabilities 0,00000 Weaknesses RAV TOTALS Concerns 13,93136348 Exposures 5,67400519 Anomalies 0,00000000 Δ -8,25735829 RAV 90,95217542 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG
OSSTMM: RAV Avons nous calculé le risque avec le RAV? 23 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG
OSSTMM: RAV Avons nous calculé le risque avec le RAV? Non 24 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG
OSSTMM et gestion de risques Avant application des mesures 25 OSSTMM et gestion de risques Avant application des mesures Impact Téléphonie © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG
Matrice Impact - Probabilité 26 Matrice Impact - Probabilité © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG
Risque après les corrections 27 Risque après les corrections Impact Téléphonie © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG
Pilotage Outils de calcul automatiques du RAV 28 Pilotage Outils de calcul automatiques du RAV © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG
Certification Par qui: ISECOM et Organisme Certificateur 29 Certification Par qui: ISECOM et Organisme Certificateur Quoi: Produits, services, Personnes Conditions: Maintien du RAV > 90 % Certification annuelle Recertification en cas de changement de périmètre Personnels certifiés: Testeur (OPST) Analyste (OPSA) Expert (OPSE) © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG
Complémentarités OSSTMM / ISO 27001 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG
ISO27001 : Pilotage & maîtrise des risques 31 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG
ISO27001: Contrôles et mesure du niveau de sécurité 32 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG
Sécurité du système d’information: certification 33 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG
OSSTMM vs ISO 27001 ISO 27001 Exigences OSSTMM Réponses 34 ISO 27001 Exigences OSSTMM Réponses 4.2.1.a : scope du SMSI Scope de l’audit: protection périmétrique d’un réseau (assets) 4.2.1.c: définition méthode d’analyse de risques Méthodologie OSSTMM Mode de calcul du RAV (%) : feuille de calcul 4.2.1.c.2: Critères d’acceptation risques et niveau de risques acceptables (5.1.f) % du RAV objectif défini par le propriétaire des assets > 90% alors certification possible (RAV reproductible et comparable) 4.2.1.d: identification des risques Assets testés: pare-feux… Vulnérabilités mesurées: mauvais paramétrage 4.2.1.e: analyse et évaluation des risques Résultats des tests (impacts mesurés): pénétration possible du réseau RAV détermine si risque acceptable 4.2.1.f: évaluer les options de traitement des risques Envisager mesures de sécurité: règles du pare-feu appropriées, doubler appliances… 4.2.1.g, h, i, j: sélection des mesures annexe A (17799) & SoA (déclaration d’applicabilité) Rapport d’audit & justification des mesures vs business © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG
OSSTMM: vs ISO 27001 ISO 27001 Exigences OSSTMM 35 ISO 27001 Exigences OSSTMM 4.2.2 : mise en œuvre du SMSI Application des mesures issues de l’audit 4.2.3: surveillance et revues du SMSI Audits intermédiaires proactifs déterminés par valeur du RAV (décroissance niveau sécurité) 4.2.4: amélioration du SMSI Application des corrections issues de l’audit et re-calcul du RAV jusqu’à acceptable 4.3: documentations Rapport d’audit, feuille calcul RAV Logs des tests réalisés, 5.1: engagement du management Règles d’engagement, accord confidentialité, mandats (tests intrusion) 5.2: affectation des ressources Compétences Testeurs, analyste identifiés (IP sources…) Certifications OPST, OPSA… © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG
Questions / Pause © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG
Convergences 37 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG
Perspectives 38 © 2008 SOLUZEN © 2008 DREAMLAB TECHNOLOGIES AG