C&ESAR 2014 - J1

L’édition de cette année est axée sur une vaste problématique: la détection d’intrusion et la réponse sur incident.

Vaste problématique aux nombreux enjeux. La détection d’intrusion moderne doit lutter auprès de la communauté technique du préjugé qu’elle a acquise lors de ses premières moutures des années 2000 : peu efficace, pas très précis et facile à éviter et complexe à mettre en oeuvre. On en est bien loin, les enjeux désormais ne sont plus vraiment sur quoi détecter et comment, mais plutôt  comment gérer la masse d’information générée par nos systèmes (big data). Et détecter est loin d’être une finalité, comment traiter l’incident de sécurité, dont la complexité n’a cessé d’évoluer. Les techniques de réponse sur incident ont donc évolué en conséquence (ioc, live forensic/fast forensic, etc…).

Je vous passe la retranscription des discours d’introduction qui annoncent le programme 😉 comme à l’habitude, on essayera de se concentrer sur le fond.

Table Ronde – Formation

Une vaste problématique que la formation et son adéquation avec les besoins des recruteurs. La formation continue traditionnelle n’est pas adaptée. Il est difficile pour les recruteurs d’identifier et d’attirer des profils techniques très compétents (reverseurs, pentesteur, forensic…). La façon dont est enseigné la sécurité. Pour répondre à ses besoins la formation en interne et l’accompagnement pour l’apprentissage « sur le tas » est privilégié. La fidélisation est compliqué pour une grosse structure qui a du mal à fournir un renouvellement des challenges techniques à relever. Ce qui vient peser sur les besoins en recrutement du fait du turnover. Il faut ajouter à ça le problème d’habilitation pour les entités du monde de la défense. Du coup les filières de formation doivent former suffisamment d’étudiants employables pour ces secteurs sur la proportion totale du nombre d’étudiants qu’ils forment. L’équation se complique lorsqu’il s’agit de répondre à des postes type RSSI dont l’expérience professionnelle doit s’allier à un certain niveau d’expertise technique pour répondre au défis que pose un tel poste. +40% de personnes formés en cybersécurité en 2015 pour répondre au besoin, c’est l’objectif du club formation du pôle d’excellence cyber. L’aspect formation continue est aussi prise en compte dans cette réflexion pour permettre de sensibiliser ou d’adapter des profils de managers aux problématiques SSI (aka cyber). L’initiative cyber-EDU à pour objectif d’apporter des guideline de formation orienté sécu à disséminer dans les multiples formations en informatique existantes.

En attendant, il existe pour les plus motivés toute une offre de formation en ligne gratuite en « cybersécurité » avec des communautés qui partagent ce savoir (un rebranding politiquement correct du hacking).

De la cyberveille à la prévision des agressions

IRIS – Chaire Cybersécurité & Cyberdéfense.

A l’origine, ces travaux sont parties d’une étude réalisée sur la Syrian Electronic Army (SEA) et le aspect OSINT permettant l’anticipation des attaques. (oulah, l’APT est lâchée) L’orateur nous dresse un tableau noir d’un nombre croissant d’attaques et l’échec des solutions anti-virales quand à leur détection. Du coup la veille vas s’orienter sur les « cellules de hacking » et leurs canaux d’échange et de revendication. Notamment des sites comme zone-h qui recensent les « cyber-agressions » (bon j’vais arrêter de transcrire littéralement le vocable employé, mais vous voyez le ton donné par la présentation…). Du coup après analyse statistique on voit que la loi de pareto (80-20) est dépassée, et que 10% des attaquants sont à l’origine de 90% des revendications de défacement. Le passage vers la prévision des attaques est impossible pour les attaques de type opportunistes. Celui qui vise une cible par intérêt (APT ?) reste toujours furtif, et donc est difficilement prédictible. Les « cellules de hacking » mélangent un peu des deux points précédents avec des actions de piratage idéologique qui elle sont potentiellement predictibles. Après cartographie des cellules pirates, de leurs liens entre eux (coopérations etc..) et de leur thématique idéologique, on vient observer leur activité et identifier les synchronisations temporelles comme les dates anniversaires etc… La fréquence de certains mots clefs pouvant indiquer d’éventuelles cibles futures.

Behavioral detection of internet Frauds against online service platforms

Retour sur experience sur l’analyse comportementale des utilisateurs au niveau des log de plateformes web afin de détecter des attaques et des fraudes. Du coup est-ce que par data-mining, on peut détecter par agrégation des logs de multiples plateformes de services des fraudes ayant lieu sur un site qui s’appuie sur cette plateforme. L’approche ce heurte aux limites techniques du data-mining et à la possibilité d’obtenir des logs caractéristiques de cas de fraude. Ce qui caractérise la fraude au niveau financier est difficilement percevable au niveau des logs. Du coup l’étude s’est orienté sur le parcours du client dans l’application, l’identification de ce comportement sans pattern pré-établit. Du coup qui dit comportemental, dit apprentissage. Cet apprentissage c’est fait à l’aide de logs anonymisés collectés auprès d’une plateforme de service. Comme une action utilisateur implique des logs sur N services, il à fallu agréger ces logs pour obtenir un graph représentatif du service en lien avec les actions utilisateurs. Ce graph comportemental est pondéré avec les proba de transition d’un noeud vers l’autre. En mode monitoring (une fois l’apprentissage du graph fait), on analyse les proba de transition par rapport au comportement de l’utilisateur, et si le comportement parait peu probable, on lève une alerte.

Advanced Threat Report – FireEye

Rapport semestriel 2014 sur l’Europe & moyen-orient. Sans surprise, DarkComet et XtremeRAT sont très populaires dans les APT visant particulièrement les secteurs gouvernementaux et financiers. (buzzword overflow….).

Réseaux de capteurs & détection d’intrusion

Quand on utilise des réseaux de capteurs pour la détection d’intrusion, on n’emploie pas une architecture centralisée traditionnelle, mais plutôt une approche complètement distribuée ou hiérarchique, plus économes en énergie. L’objectif étant de détecter si un noeud dans le réseau est malveillant, soit par consensus local (vote entre les noeuds proches) ou par réputation.

Cyber attacks in the guided transport domain

guided transport domain=train, bus & metro
Problématique d’une attaque physique avec un attaquant qui n’est pas dans le réseau. Plusieurs normes définissent des méthodes de communication basé sur le GSM ou le Wifi. Du coup le brouillage est une attaque possible sur ces réseaux. Le brouillage en plus d’effectuer un déni de service, ne laisse pas de traces ou de preuves (pas de logs). Par contre la contrainte pour l’attaquant c’est qu’il soit proche de sa cible pour le brouiller. Le brouilleur peut être soit à bord du train, soit à proximité d’une station de base (BTS). Du coup comment détecter une telle attaque par brouillage ? Pour pouvoir réagir à l’attaque en augmentant par exemple la puissance d’émission. Pour se faire on calcule le décalage entre un signal de référence et un signal brouillé.