EBIOS4 Maîtriser la complexité des kill chains : modèles appliqués - Un spectacle de - CONIX Cybersécurité
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
EBIOS4
Maîtriser la complexité des kill chains :
modèles appliqués
Un spectacle de
Sylvain CONCHON (CONIX)
et Jean CAIRE (RATP)
Club EBIOS
Rappel des épisodes précédents
Episode précédent : Préalables à la constitution de KDB pour élaborer les kill chains
(disponible sur le site du Club EBIOS)
La kill chain n’existe pas : c’est une succession de séquences « action effet »
Chaque séquence est conditionnée par des pré-conditions
Chaque séquence provoque des post-conditions (une transformation de l’espace)
PRE A E POST
Club des
EBIOS4 – Maîtriser la complexité EBIOS
kill chains : modèles appliqués 14/05/2019 2
Rappel des épisodes précédents
Episode précédent : Préalables à la constitution de KDB pour élaborer les kill chains
(disponible sur le site du Club EBIOS)
Une approche topologique permet de limiter le champ des possibles
Club des
EBIOS4 – Maîtriser la complexité EBIOS
kill chains : modèles appliqués 14/05/2019 3
Rappel de la cible
On a besoin :
D’une rigueur logique
De principes pour limiter l’explosion combinatoire
On veut modéliser les possibilités de progression spatio-temporelle de l’attaquant
Etape suivante : construire les outils méthodologiques pour…
Donner du sens aux pré-conditions et aux post-conditions
Introduire les KDB interdépendantes : CPE / CVE / CWE / CAR / CAPEC […]
Spécifier les règles qui permettent d’utiliser ces KDB
Club des
EBIOS4 – Maîtriser la complexité EBIOS
kill chains : modèles appliqués 14/05/2019 4
Carte d’entité
APPLE IPHONE
IPHONE 6
IOS 11.0.2 O3/10/2017
2 RUE HARTMANN
PROCESSEUR APPLE A8 1 GO RAM
ATTRIBUÉ À
S•••••N C•••••N
02/05/2020
02/05/2017
CONIX
Club des
EBIOS4 – Maîtriser la complexité EBIOS
kill chains : modèles appliqués 14/05/2019 5
Carte d’entité
APPLE IPHONE
IPHONE 6
IOS 11.0.2 O3/10/2017
51 BLD DE LA TOUR-MAUBOURG
PROCESSEUR APPLE A8 1 GO RAM
ATTRIBUÉ À
S•••••N C•••••N
02/05/2020
02/05/2017
CONIX
Club des
EBIOS4 – Maîtriser la complexité EBIOS
kill chains : modèles appliqués 14/05/2019 6
Carte d’entité
CPE:2.3:O:APPLE:IPHONE_OS:11.0.2
51 BLD DE LA TOUR-MAUBOURG
ATTRIBUÉ À
S•••••N C•••••N
02/05/2020
02/05/2017
CONIX
Club des
EBIOS4 – Maîtriser la complexité EBIOS
kill chains : modèles appliqués 14/05/2019 7
Carte d’entité (augmentée)
CPE:2.3:O:APPLE:IPHONE_OS:11.0.2
51 BLD DE LA TOUR-MAUBOURG
ATTRIBUÉ À
S•••••N C•••••N
02/05/2020
02/05/2017
CONIX
CVE-2018-4465
CVE-2018-4464
CVE-2018-4461
[…]
Club des
EBIOS4 – Maîtriser la complexité EBIOS
kill chains : modèles appliqués 14/05/2019 8
Carte d’entité (augmentée)
Club des
EBIOS4 – Maîtriser la complexité EBIOS
kill chains : modèles appliqués 14/05/2019 9
Carte d’entité (augmentée)
topologie
CAPEC / CWE
topologie
CAPEC / CWE
Club des
EBIOS4 – Maîtriser la complexité EBIOS
kill chains : modèles appliqués 14/05/2019 10Topologie d’entités
Mission
Programme
VUE STRATÉGIE
Objectif Missions & Objectifs
raffinement abstraction
Processus
Activité VUE MÉTIER
Organisation
Acteur Processus & Organisation
raffinement abstraction
Mission
Programme
VUE FONCTIONNELLE
Objectif Système & information
raffinement abstraction
Application
Message VUE APPLICATIVE
Composant logiciel
Socle Implémentation logicielle
raffinement abstraction
Site
Exécution VUE INFRASTRUCTURE
Stockage
Communication Implémentation et déploiement physique
Club des
EBIOS4 – Maîtriser la complexité EBIOS
kill chains : modèles appliqués 14/05/2019 11Topologie d’entités
Source :
Science of Security:
Cyber Intelligence Analysis
Shawn Riley (2014)
Club des
EBIOS4 – Maîtriser la complexité EBIOS
kill chains : modèles appliqués 14/05/2019 12Pourquoi utiliser CAPEC ?
Club des
EBIOS4 – Maîtriser la complexité EBIOS
kill chains : modèles appliqués 14/05/2019 13Pourquoi utiliser CAPEC ?
Host Based Security System (HBSS)
It consists of a central management server/console, Host Based
Security System repositories/scanners, Host Based Security System
agents, and an authorized external knowledge base/repository.
It brings today's firewall, host intrusion prevention, Anti-Virus, and
Anti-Spy-ware software under a single agent’s and central console’s
control.
The central console baselines and subsequently scans platforms
reconnecting or remotely accessing the network to block/remove
hidden software (e.g., hackers’ root kits/spyware) and other
unauthorized modifications. Host Based Security System also has
optional Network and Data Access Control extensions to enable
remote updates and prevent unauthorized data release/leakages.
Its' signature-based defenses against known attacks , coupled with
generic unauthorized-behavior-based defenses against unknown
(zero-day) threats, substantially reduces Computer Network Attack
threats, while giving time to develop, test and field security patches.
It enables tailored defenses and data access controls for critical
(non-Commercial-off-the-Shelf) War-fighting and Business
applications
Club des
EBIOS4 – Maîtriser la complexité EBIOS
kill chains : modèles appliqués 14/05/2019 14Pourquoi utiliser CAPEC ?
Club des
EBIOS4 – Maîtriser la complexité EBIOS
kill chains : modèles appliqués 14/05/2019 15Comment utiliser CAPEC ?
Club des
EBIOS4 – Maîtriser la complexité EBIOS
kill chains : modèles appliqués 14/05/2019 16Comment utiliser CAPEC ? Travaux du MIT
Club des
EBIOS4 – Maîtriser la complexité EBIOS
kill chains : modèles appliqués 14/05/2019 17Comment utiliser CAPEC ?
Principes (tempo)-logiques : PRECONDITIONS POSTCONDITIONS
règles d’inférence qui Connaissances ACTION EFFET Connaissances
régissent l’évolution d’une Aptitudes Aptitudes
Opportunités Opportunités
entité soumise à des
actions.
Action élémentaire Superposition d’actions Propagation d’effet Synchronisation d’action Diffusion d’effet Séquencement d’action
Club des
EBIOS4 – Maîtriser la complexité EBIOS
kill chains : modèles appliqués 14/05/2019 18Comment utiliser CAPEC ?
Principes (topo)-logiques :
règles structurelles qui
définissent les opportunités
d’action en fonction des
positions relatives des
acteurs (Hostile, Cible,
Neutres) dans le système
Accès physique Accès applicatif Split tunnelling Target in the Middle
Accès réseau Man in the Middle Man on the Side
Club des
EBIOS4 – Maîtriser la complexité EBIOS
kill chains : modèles appliqués 14/05/2019 19Comment utiliser CAPEC ?
IDEE : interpréter les
attaques du modèle CAPEC
comme étant l’application
mise en œuvre d’un certain
Principe d’action dans une
configuration donnée
(Forme topologique). CAPEC
Les Pré et Post-conditions
permettront d’enchaîner les
CAPEC pour construire le
scénario d’attaque complet
Club des
EBIOS4 – Maîtriser la complexité EBIOS
kill chains : modèles appliqués 14/05/2019 20Comment utiliser CAPEC ? Concrètement…
Stratégie 2019 - Matthieu GRALL - Club EBIOS
contact[at]club-ebios.org 13/01/2019 21Comment utiliser CAPEC ? Concrètement…
CAPEC-abc CAPEC-hlo CAPEC-bmu
CAPEC-efg CAPEC-afc CAPEC-ijk CAPEC-afc CAPEC-afc
CAPEC-ltv CAPEC-lpq
CAPEC-yhw CAPEC-lst
CAPEC-xyz
CAPEC-xhz CAPEC-ygu
CAPEC-xgu
Stratégie 2019 - Matthieu GRALL - Club EBIOS
contact[at]club-ebios.org 13/01/2019 22Comment utiliser CAPEC ?
Comprendre les mécanismes
Une cyber-attaque se produit lorsqu’un signal modifie le flot de contrôle ou le flot
d’information dans un cyber-nœud. La modification de l’état du processus peut faire
exécuter des instructions non prévues par le processeur, opérer sur des données
différentes ou forcer l’exécution d’un chemin alternatif.
Pour cela, il faut exploiter une vulnérabilité du processeur ciblé et il existe quatre
façons de le faire :
- Exploitation
- Attrition
- Déception
- Dysfonction
Club des
EBIOS4 – Maîtriser la complexité EBIOS
kill chains : modèles appliqués 14/05/2019 23Comment utiliser CAPEC ?
Comprendre les mécanismes
Une cyber-attaque se produit lorsqu’un signal modifie le flot de contrôle ou le flot
d’information dans un cyber-nœud. La modification de l’état du processus peut faire
exécuter des instructions non prévues par le processeur, opérer sur des données
différentes ou forcer l’exécution d’un chemin alternatif.
Pour cela, il faut exploiter une vulnérabilité du processeur ciblé et il existe quatre
façons de le faire :
- Déception
- Exploitation
- Attrition
- Dysfonction
Club des
EBIOS4 – Maîtriser la complexité EBIOS
kill chains : modèles appliqués 14/05/2019 24
.Comprendre les mécanismes :
Modèle semi-formel d’un Processeur
PROG. INTER- DONNEES
C2 FACE CONFIG
DONNEES
TRANSMISES
PROCESSEUR RESULTAT
DONNEES
STOCKEES BIBLIO- CACHES LOGICIELS RESSOURCES
THEQUES de BASE PHYSIQUES
Club des
EBIOS4 – Maîtriser la complexité EBIOS
kill chains : modèles appliqués 14/05/2019 25Comprendre les mécanismes :
Attaques générique du modèle semi-formel
PROG. PROG. INTER- INTER- DONNEES DONNEES
C2 C2 FACE FACE CONFIG CONFIG
Exécuter des Instructions
DONNEES non prévues
TRANSMISES Données erronées
Instructions illicites
Données impropres
DONNEES
Opérer sur des Données
TRANSMISES PROCESSEUR
Données erronées
Instructions illicites
différentes
Données impropres
Forcer l’exécution d’un
Chemin alternatif
DONNEES DONNEES
STOCKEES STOCKEES BIBLIO- CACHES LOGICIELS RESSOURCES
THEQUES de BASE PHYSIQUES
BIBLIO- CACHES LOGICIELS ABC Corruption ou Usurpation d’une ressource licite
RESSOURCES
THEQUES de BASE PHYSIQUES ABC Fourniture d’une ressource illicite
Club des
EBIOS4 – Maîtriser la complexité EBIOS
kill chains : modèles appliqués 14/05/2019 26Comprendre les mécanismes :
Dérivation de CAPEC sur le modèle semi-formel
153 21 248
186PROG. 175 176 194
PROG. INTER- INTER- DONNEES DONNEES
C2 C2 FACE FACE CONFIG CONFIG132
549 151 122 536
242 212
Modify Application Data
100 Modify Files / Directories
148
DONNEES Modify Memory
TRANSMISES Données erronées173
248 illicites
Instructions 137 175 30 Read Application Data
Données impropres 242 Read Files / Directories
DONNEES 153 Read Memory
TRANSMISES
22
PROCESSEUR
242 erronées
Données
26 Gain Privileges / Assume Identiry
100 Instructions illicites
Execute Unauthorized Code or Commands
137 Données impropres 248 642 276 Alter Logic Execution
100
DoS : Resources Consumption
113 DoS Unreliable Execution
Unexpectected State
DONNEES 17
DONNEES 29 186
STOCKEES STOCKEES BIBLIO-
175 CACHES LOGICIELS 401
RESSOURCES
148 23 THEQUES 141 de BASE PHYSIQUES
538 532
549
BIBLIO- 523 531
CACHES LOGICIELS RESSOURCES
THEQUES154 262 549
de BASE PHYSIQUES
522
Club des
EBIOS4 – Maîtriser la complexité EBIOS
kill chains : modèles appliqués 14/05/2019 27Notes pour plus tard…
Pour proposer un produit fini :
(finir de) spécifier les règles logiques
(finir de) les peupler avec les KDB
Développer l’outillage
Et après ?
Lobbyer la CN SSI ? Déposer un brevet ?
Club des
EBIOS4 – Maîtriser la complexité EBIOS
kill chains : modèles appliqués 14/05/2019 28Merci de votre attention
Site : https://club-ebios.org
Twitter : @club_ebios
LinkedIn : https://fr.linkedin.com/company/club-ebios
Club des
EBIOS4 – Maîtriser la complexité EBIOS
kill chains : modèles appliqués 14/05/2019Vous pouvez aussi lire
