Auditeur en sécurité
Transcription
Auditeur en sécurité
Auditeur en sécurité Nicolas RUFF nicolas.ruff(à)eads.net EADS Innovation Works Bio • Salarié du groupe EADS • Au centre de recherches EADS Innovation Works • 10+ ans d'expérience en sécurité informatique • 5 ans en SSII • 5+ ans en audit interne • Passionné par la sécurité informatique depuis toujours La sécurité informatique, pourquoi ? • Dans un monde idéal, l'audit sécurité ne sert à rien • Dans le monde réel, "la confiance n'exclut pas le contrôle" • En pratique, la sécurité est un échec • Logiciels bogués (y compris les logiciels de sécurité) • Mauvaises habitudes des utilisateurs • Mots de passe … • Intrusions • • • • Pirates du dimanche Anonymous, LulzSec, … Advanced Persistent Threats (APT) Cyberguerre Les métiers de la sécurité informatique • Développeur de logiciels • Développeur de logiciels de sécurité • Intégrateur • SOC / NOC / réponse aux incidents / analyste • Hacker • Responsable sécurité (RSSI / RSI / CIL / …) • Consultant externe (SSII) • Auditeur interne •… Les métiers de l'audit • • • • • • • • • • Conseil (en phase de conception / spécification) Revue de projets / sélection de produits Audit de code source Audit d'architecture Audit de configuration Audit d'implémentation / audit de produits Test d'intrusion Réponse aux incidents (forensics) Red Team … Exemple #1 Test d'intrusion • Contexte • • • • Scénario du poste de travail compromis Accès local à un poste standard Aucun droit particulier Aucune information préalable • Méthodologie • Elévation de privilèges sur le poste • Exploration réseau • Identification des cibles "clés" • Contrôleurs de domaine • Postes d'administration • Accès à un compte "Domain Admin" Exemple #2 Audit de produit • Contexte • Appliance en "boite noire" • Mises à jour chiffrées • Aucune coopération de l'éditeur • Méthodologie • • • • Injection dans commandes dans l'interface Web ou le shell restreint Extraction du logiciel embarqué Découverte de backdoor Accès à l'infrastructure de l'éditeur Exemple #3 Forensics • Contexte • Une anomalie est détectée lors d'une opération de routine • L'investigation préliminaire révèle une compromission profonde de l'infrastructure • Méthodologie • Collecter toutes les données pertinentes • Analyser les données • Reverse Engineering • Big Data • Observer le comportement de l'attaquant • Reconstruire une infrastructure "saine" Nice to know • Importance de la confiance & réputation • Tout connaitre • … avant de faire de la sécurité • Apprendre vite • Importance des domaines connexes • Mathématiques, algorithmique, électronique, … • Eviter la sur-dépendance aux outils • Vous n'êtes pas bons … et peu de gens le deviendront Questions ? • Source: http://www.stachliu.com/slides/sansptsummit2010-goodbadridiculous.pdf