DÉCOUVERTE, COLLABORATION ET INNOVATION- Consulte les tableaux de bord - Fournit de la rétroaction...

33
DÉCOUVERTE, COLLABORATION ET INNOVATION Martin Fontaine – Développement de l’écosystème de cybersécurité

Transcript of DÉCOUVERTE, COLLABORATION ET INNOVATION- Consulte les tableaux de bord - Fournit de la rétroaction...

Page 1: DÉCOUVERTE, COLLABORATION ET INNOVATION- Consulte les tableaux de bord - Fournit de la rétroaction - Prépare les modèles de rapport - Prépare les tableaux de bord dynamiques de

DÉCOUVERTE, COLLABORATION ET INNOVATION

Martin Fontaine – Développement de l’écosystème de cybersécurité

Page 2: DÉCOUVERTE, COLLABORATION ET INNOVATION- Consulte les tableaux de bord - Fournit de la rétroaction - Prépare les modèles de rapport - Prépare les tableaux de bord dynamiques de

2

PLAN DE LA PRÉSENTATION

INTRODUCTION DÉCOUVERTE COLLABORATION INNOVATION

Page 3: DÉCOUVERTE, COLLABORATION ET INNOVATION- Consulte les tableaux de bord - Fournit de la rétroaction - Prépare les modèles de rapport - Prépare les tableaux de bord dynamiques de

3

CENTRE DE LA SÉCURITÉ DES TÉLÉCOMMUNICATIONS (CST)

MISSION : Fournir et protéger l’information d’intérêt national au moyen de techniques de pointe, en synergie avec nos partenaires.

VISION : Préserver la sécurité du Canada par

la supériorité de l’information.

Page 4: DÉCOUVERTE, COLLABORATION ET INNOVATION- Consulte les tableaux de bord - Fournit de la rétroaction - Prépare les modèles de rapport - Prépare les tableaux de bord dynamiques de

4

MANDAT DU CST PRESCRIT PAR LA LOI

Fournir des avis, des conseils et des services pour aider à protéger les renseignements électroniques et les infrastructures d’information importantes pour le gouvernement du Canada

Partie A Partie B

Partie C

Fournir une assistance technique et opérationnelle aux organismes fédéraux chargés de l’application de la loi et de la sécurité, dans l’exercice des fonctions que la loi leur confère

Fournir des renseignements étrangers, en conformité avec les priorités du gouvernement du Canada en matière de renseignement

Page 5: DÉCOUVERTE, COLLABORATION ET INNOVATION- Consulte les tableaux de bord - Fournit de la rétroaction - Prépare les modèles de rapport - Prépare les tableaux de bord dynamiques de

5

À PROPOS DE MOI… • 20 ans au CST… • Actuellement directeur du Développement de

l’écosystème de cybersécurité • 4 ans à titre de gestionnaire au sein des Opérations

de cyberdéfense • 12 ans en recherche appliquée en informatique • 4 ans en génie logiciel appliqué à la cryptanalyse • Formation : informatique et apprentissage machine

Page 6: DÉCOUVERTE, COLLABORATION ET INNOVATION- Consulte les tableaux de bord - Fournit de la rétroaction - Prépare les modèles de rapport - Prépare les tableaux de bord dynamiques de

6

PHILOSOPHIE DE PARTENARIAT EN CYBERSÉCURITÉ DU CST • Nous sommes tous dans le même bateau! • 10 secteurs essentiels au Canada

• Nous reconnaissons l’importance d’être un

contributeur de premier plan à l’échelle nationale.

Santé Sécurité

Alimentation Énergie et services publics

Finances Secteur manufacturier

Eau Gouvernement

Technologies de l’information et communications

Transports

Page 7: DÉCOUVERTE, COLLABORATION ET INNOVATION- Consulte les tableaux de bord - Fournit de la rétroaction - Prépare les modèles de rapport - Prépare les tableaux de bord dynamiques de

7

PLAN DE LA PRÉSENTATION INTRODUCTION DÉCOUVERTE COLLABORATION INNOVATION

Page 8: DÉCOUVERTE, COLLABORATION ET INNOVATION- Consulte les tableaux de bord - Fournit de la rétroaction - Prépare les modèles de rapport - Prépare les tableaux de bord dynamiques de

8

DÉCOUVERTE • Vous devez continuellement présumer qu’il y a eu une intrusion et

essayer de la découvrir • Les attaquants sérieux et sophistiqués vont toujours tester leurs

stratégies d’attaque sur une panoplie de produits de sécurité commerciaux afin d’assurer la clandestinité de leurs attaques

• La créativité et la ténacité des attaquants n’ont pas de limites • Nous devons être plus futés dans la conception des techniques de

cyberdécouverte • Les attaquants maintiennent leur présence sur le système pendant

plus de 200 jours avant d’être découverts*

*M-Trends report 2015 – FireEye

Page 9: DÉCOUVERTE, COLLABORATION ET INNOVATION- Consulte les tableaux de bord - Fournit de la rétroaction - Prépare les modèles de rapport - Prépare les tableaux de bord dynamiques de

9

ÉTUDE DE CAS : DÉCOUVERTE DE CANAUX DE COMMANDEMENT ET DE CONTRÔLE (C-C) DISSIMULÉS

DU PLUS SIMPLE AU PLUS SOPHISTIQUÉ

• Exemple 1 : Shells Web • Exemple 2 : Double utilisation d’un domaine • Exemple 3 : Utilisation d’un service d’édition infonuagique

Page 10: DÉCOUVERTE, COLLABORATION ET INNOVATION- Consulte les tableaux de bord - Fournit de la rétroaction - Prépare les modèles de rapport - Prépare les tableaux de bord dynamiques de

10

SHELLS WEB

*Certains exploits utilisent l’injection, sans jamais laisser de traces sur le système de fichier

• Un shell Web est un fichier exécutable* placé sur un serveur Web donnant accès à une console d’exécution à distance sur ce serveur

• Typiquement utilisé pour naviguer plus profondément dans le réseau et transmettre du contenu infecté à d’autres visiteurs ou extraire leurs justificatifs d’identité

Réseau cible

Serveur Web légitime de l’entreprise

Attaquant

Exploitation CVE

Page 11: DÉCOUVERTE, COLLABORATION ET INNOVATION- Consulte les tableaux de bord - Fournit de la rétroaction - Prépare les modèles de rapport - Prépare les tableaux de bord dynamiques de

11

SHELLS WEB • Le serveur Web légitime de l’entreprise est en fait le canal C-C!

Page 12: DÉCOUVERTE, COLLABORATION ET INNOVATION- Consulte les tableaux de bord - Fournit de la rétroaction - Prépare les modèles de rapport - Prépare les tableaux de bord dynamiques de

12

DOUBLE UTILISATION D’UN DOMAINE • L’attaquant a compromis un serveur Web légitime : légitime.com • L’attaquant déploie un implant « Demux » sur le serveur

légitime.com • Le canal de commandement et de contrôle est caché à même

le trafic Web normal allant au serveur légitime.com (souvent en utilisant SSL/TLS)

Page 13: DÉCOUVERTE, COLLABORATION ET INNOVATION- Consulte les tableaux de bord - Fournit de la rétroaction - Prépare les modèles de rapport - Prépare les tableaux de bord dynamiques de

13

DOUBLE UTILISATION D’UN DOMAINE

Réseau cible

Exploit initial du point d’extrémité

Ordinateur compromis

Ordinateur non touché

Attaquant Exploit shell Web

Infra. de l’attaquant

Infra. de l’attaquant

Implant Demux secondaire

Site Web légitime https://legit.com

Page 14: DÉCOUVERTE, COLLABORATION ET INNOVATION- Consulte les tableaux de bord - Fournit de la rétroaction - Prépare les modèles de rapport - Prépare les tableaux de bord dynamiques de

14

UTILISATION D’UN SERVICE D’ÉDITION INFONUAGIQUE

Réseau cible

Exploit initial du point d’extrémité

Ordinateur compromis

Attaquant

Service infonuagique https://www.MyDocs.com

Faux document

Page 15: DÉCOUVERTE, COLLABORATION ET INNOVATION- Consulte les tableaux de bord - Fournit de la rétroaction - Prépare les modèles de rapport - Prépare les tableaux de bord dynamiques de

15

PROBLÈMES COMPLEXES LIÉS AUX CANAUX DE COMMANDEMENT ET DE CONTRÔLE

• Difficile à détecter • Le simple blocage (ou redirection de domaine) n’est pas possible

sans avoir une incidence sur l’utilisation légitime du réseau • La détection nécessite ce qui suit :

• Analyse statistique des comportements anormaux • Données volumineuses (big data) • Apprentissage non supervisé (regroupement ou clustering) • Utilisation de passerelle SSL/TLS • Analyse combinée des réseaux et des points d’extrémité

Page 16: DÉCOUVERTE, COLLABORATION ET INNOVATION- Consulte les tableaux de bord - Fournit de la rétroaction - Prépare les modèles de rapport - Prépare les tableaux de bord dynamiques de

16

PLAN DE LA PRÉSENTATION INTRODUCTION DÉCOUVERTE COLLABORATION INNOVATION

Page 17: DÉCOUVERTE, COLLABORATION ET INNOVATION- Consulte les tableaux de bord - Fournit de la rétroaction - Prépare les modèles de rapport - Prépare les tableaux de bord dynamiques de

17

COLLABORATION • L’union fait la force • Plusieurs niveaux de collaboration

1. Échange d’idées 2. Échange de techniques et de procédures opérationnelles 3. Échange de rapports de renseignement et d’indicateurs actionnables 4. Intégration opérationnelle

• Accent sur les scénarios où tout le monde y gagne • Tout le monde bénéficie du partenariat

Page 18: DÉCOUVERTE, COLLABORATION ET INNOVATION- Consulte les tableaux de bord - Fournit de la rétroaction - Prépare les modèles de rapport - Prépare les tableaux de bord dynamiques de

18

ÉTUDE DE CAS : DÉCOUVERTE DES DGA ET GOUFFRE • Le CST a développé une technique pour reconnaitre l’utilisation d’algorithmes de génération de

domaine (DGA pour Domain Generation Algorithm) • Un système d’apprentissage machine utilisant les chaînes de Markov est entrainé pour reconnaitre un

domaine généré par un DGA • Exemple de domaine : x6hdlei204kdhifnengodkwehweadh.cz • Problème : La détection n’est pas en ligne Une réponse risque de passer au moins une fois…

Demande DNS :

Réponse DNS :

Gouffre Évaluation des DGA Approvisionnement

Analyse passive Détection des DGA

Course avec 3

Page 19: DÉCOUVERTE, COLLABORATION ET INNOVATION- Consulte les tableaux de bord - Fournit de la rétroaction - Prépare les modèles de rapport - Prépare les tableaux de bord dynamiques de

19

ÉTUDE DE CAS : DÉCOUVERTE DES DGA ET GOUFFRE • Scénario collaboratif améliorant le rendement de tous les partenaires

Échange avec intégration en temps réel

Course avec 3

Gouffre Gouffre Évaluation des DGA Évaluation

des DGA

Approvisionnement Approvisionnement

Analyse passive Détection des DGA

Analyse passive Détection des DGA

Demande DNS : Demande DNS :

Réponse DNS : Réponse DNS : IP du gouffre

Page 20: DÉCOUVERTE, COLLABORATION ET INNOVATION- Consulte les tableaux de bord - Fournit de la rétroaction - Prépare les modèles de rapport - Prépare les tableaux de bord dynamiques de

20

PARTENARIATS INTÉGRÉS • Partnership for the Advance of Leading edge Analytics and Defence of

Integrated Networks • Plateforme Web avancée permettant ce qui suit :

• Création de rapports et de tableaux de bord dynamiques et interactifs • Échange d’information aux niveaux TRÈS SECRET, SECRET et NON CLASSIFIÉ • Plateformes connectées au moyen de solutions de sécurité interdomaines • Fonctionnalités de communication sociale permettant au CST de rejoindre l’auditoire

approprié, d’obtenir de la rétroaction et d’améliorer ses services d’échange • Couche de service sécurisée servant à l’intégration système à système • Publication de documents d’architecture communiquant les méthodes d’intégration avec la

plateforme d’échange • Échange d’outils visant à appliquer les scénarios d’intégration opérationnelle

Page 21: DÉCOUVERTE, COLLABORATION ET INNOVATION- Consulte les tableaux de bord - Fournit de la rétroaction - Prépare les modèles de rapport - Prépare les tableaux de bord dynamiques de

21

CRÉATION DE RAPPORTS ET DE TABLEAUX DE BORD DYNAMIQUES ET INTERACTIFS

Cyberanalyste

Agent responsable de l’engagement et de l’échange

Installation de développement du savoir-faire

Acteur à l’extérieur du CST

Espace de travail de l’analyste

Sharing and Equity Board Sharing and Equity Board

Information utilisée et conservée

– Prepare Report Templates – Prepare Active and Dynamic Defence Dashboards – Share with the Cyber Security Ecosystem

– –

– Keep as used and retained

– Read Reports – Consult Dashboards – Provides Feedback

– Derives Reportable Objects

– Rapports automatiques

- Lit les rapports - Consulte les tableaux de bord - Fournit de la rétroaction

- Prépare les modèles de rapport - Prépare les tableaux de bord dynamiques de défense - Échange avec l’écosystème de cybersécurité

Conseil de gestion des actifs technologiques et de l’échange

- Détermine les règles en matière d’échange

- Conçoit le savoir-faire - Analyse, trie et raffine

- Garde l’information à titre d’information utilisée et conservée

Sélectionne les objets à signaler

Page 22: DÉCOUVERTE, COLLABORATION ET INNOVATION- Consulte les tableaux de bord - Fournit de la rétroaction - Prépare les modèles de rapport - Prépare les tableaux de bord dynamiques de

22

PLATEFORMES CONNECTÉES AU MOYEN DE SOLUTIONS DE SÉCURITÉ INTERDOMAINES

TRADECRAFT

TRÈS SECRET SECRET NON CLASSIFIÉ

Used and RetainedInformation

Modèles de rapports et de tableaux de bord

(STIX, React, Tableau, SPLUNK, etc.)

Instructions actionnables

UNCLASSIFIED Partner

SECRET Partner

Live DashboardsLive Dashboards Live DashboardsLive Dashboards

Instructions actionnables Instructions

actionnables

Rétroaction

SAVOIR-FAIRE

SYSTÈME DE GESTION DES INSTRUCTIONS

Information utilisée et conservée

Partenaire SECRET

Partenaire NON CLASSIFIÉ

BlackBerry SECRET

Tableaux de bord interactifs Tableaux de bord interactifs

Page 23: DÉCOUVERTE, COLLABORATION ET INNOVATION- Consulte les tableaux de bord - Fournit de la rétroaction - Prépare les modèles de rapport - Prépare les tableaux de bord dynamiques de

23

FONCTIONNALITÉS DE COMMUNICATION PERMETTANT AU CST DE DIFFUSER L’INFORMATION À L’AUDITOIRE APPROPRIÉ

- Actionable Instructions- Reports- Report Templates

CCTXCanadian

Cyber ThreatEXchange

- Actionable Instructions- Reports- Dashboards

Ultimate RecipientAble to Action the

Shared Information

- Actionable Instructions- Reports- Dashboards

- Feedback- Questions- Discussions- Co-creation!

- Instructions actionnables - Rapports - Modèles de rapport

- Instructions actionnables - Rapports - Tableaux de bord

- Rétroaction - Questions - Discussions - Co-création

- Instructions actionnables - Rapports - Tableaux de bord

Le destinataire est en mesure de prendre des mesures consécutives à l’échange de l’information

Page 24: DÉCOUVERTE, COLLABORATION ET INNOVATION- Consulte les tableaux de bord - Fournit de la rétroaction - Prépare les modèles de rapport - Prépare les tableaux de bord dynamiques de

24

COUCHE DE SERVICE SÉCURISÉE SERVANT À L’INTÉGRATION SYSTÈME À SYSTÈME

Service Catalogue- STIX/TAXII (e.g. Soltra Edge)- SWEAT SHOP- METRIC/FEEDBACK HANDLE- Etc.

Partner’s Automated System

STIX Document Exchange

PKI Authenticated/Encrypted WEB Service B-to-B Layer

SWEAT Shop: malware Submission

Metrics & FeedbackAssociated with Shared Information - Number of observations - Number of mitigations - Etc.

Catalogue de services (p. ex. Soltra Edge)

Système automatisé du partenaire

Échange de documents STIX

SWEAT SHOP : soumission de maliciel

Couche de service Web B-to-B chiffrée et authentifiée par ICP

Mesures et rétroaction liées à l’information échangée - Nombre d’observations - Nombre de mesures d’atténuation - Etc.

Page 25: DÉCOUVERTE, COLLABORATION ET INNOVATION- Consulte les tableaux de bord - Fournit de la rétroaction - Prépare les modèles de rapport - Prépare les tableaux de bord dynamiques de

25

PLAN DE LA PRÉSENTATION INTRODUCTION DÉCOUVERTE COLLABORATION INNOVATION

Page 26: DÉCOUVERTE, COLLABORATION ET INNOVATION- Consulte les tableaux de bord - Fournit de la rétroaction - Prépare les modèles de rapport - Prépare les tableaux de bord dynamiques de

26

INNOVATION • L’innovation est notre seule arme contre les attaquants • C’est notre responsabilité d’encourager et de stimuler l’innovation

dans nos entreprises respectives et au Canada • L’innovation au CST

• Partenariats de R-D à l’interne ainsi qu’à l’échelle nationale et internationale • Ateliers internes de R-D • Projet de recherche personnel d’une demi-journée par semaine • Participation du personnel opérationnel à la définition des problèmes et des

initiatives potentielles en matière de R-D • Participation aux incubateurs de l’innovation : Smart Cities, VENUS

Page 27: DÉCOUVERTE, COLLABORATION ET INNOVATION- Consulte les tableaux de bord - Fournit de la rétroaction - Prépare les modèles de rapport - Prépare les tableaux de bord dynamiques de

27

INNOVATION : VALIDATION AUTOMATISÉE DES MESURES D’ATTÉNUATION

• Simulation et validation automatique des effets des mesures d’atténuation

• Chacun des domaines/IP/indicateurs est étiqueté OUI, NON ou PEUT-ÊTRE

• OUI L’indicateur est automatiquement chargé dans le dispositif de blocage sans intervention humaine

• PEUT-ÊTRE Confirmation humaine nécessaire

• NON Procédure d’atténuation automatique refusée

Page 28: DÉCOUVERTE, COLLABORATION ET INNOVATION- Consulte les tableaux de bord - Fournit de la rétroaction - Prépare les modèles de rapport - Prépare les tableaux de bord dynamiques de

28

INNOVATION : ANALYSE AUTOMATISÉE ASSISTÉE PAR DES HUMAINS

Regroupement non supervisé

Raffinement supervisé

Modèles de données et de fonctionnalités

Journaux

Comportements anormaux

Fonctionnalités extraites

Télémétrie de l’hôte Trafic réseau

Métadonnées réseau

Analyse des fichiers et des maliciels

Rapports et fils sur les menaces Enrichissements

Installation de fusion des données

Page 29: DÉCOUVERTE, COLLABORATION ET INNOVATION- Consulte les tableaux de bord - Fournit de la rétroaction - Prépare les modèles de rapport - Prépare les tableaux de bord dynamiques de

29

INNOVATION : FILTRAGE COLLABORATIF • Collaboration de plusieurs équipes de triage au raffinement collectif d’un

modèle d’apprentissage machine commun (réduction des faux positifs)

Échange avec intégration en temps réel

Regroupement non supervisé

Regroupement non supervisé

Raffinement supervisé

Raffinement supervisé

Page 30: DÉCOUVERTE, COLLABORATION ET INNOVATION- Consulte les tableaux de bord - Fournit de la rétroaction - Prépare les modèles de rapport - Prépare les tableaux de bord dynamiques de

30

INNOVATION : NFV ET SDN –> RÉSILIENCE RÉSEAU • NFV et SDN Ami et ennemi • Questions

• Comment utiliser les fonctions dynamiques NFV et SDN comme mécanismes de défense réseau?

• Comment tirer avantage de cette technologie pour :

• Résister au DDoS • Rediriger les paquets vers une zone

d’analyse • Créer des pots de miel (honeypots)

COUCHE APPLICATION

COUCHE DE CONTRÔLE

COUCHE INFRASTRUCTURE

Services réseau

Applications opérationnelles

Services réseau

Flux avant

Flux après

Commutateur SDN

Commutateur SDN

Commutateur SDN

Domaine du système de réseau virtuel

Coupe-feu Coupe-feu

Page 31: DÉCOUVERTE, COLLABORATION ET INNOVATION- Consulte les tableaux de bord - Fournit de la rétroaction - Prépare les modèles de rapport - Prépare les tableaux de bord dynamiques de

31

INNOVATION : ÉTABLISSEMENT D’UN PÉRIMÈTRE VIRTUEL • Le périmètre physique s’effrite • Fortes pressions exercées pour

migrer à une infrastructure TI dématérialisée

• La sécurité est alors déléguée à une tierce partie

• Proposition Investir dans les technologies de passerelles en ligne virtualisées et dans les technologies de conteneurisation

Avenir? Solution logicielle intégrée

Solution logicielle Applications

tierces* Coupe-feu

Surveillance, coupe-feu distribué

N’importe quel CMP

N’importe quelle charge de travail N’importe quelle

topologie

Contrôleur

N’importe quel hyperviseur

MV MV MV MV Passerelle

Passerelle

Site distant *Élément de la feuille de route

Hôtes physiques

MONDE

MONDE

N’importe quel réseau Nœuds de

service

Page 32: DÉCOUVERTE, COLLABORATION ET INNOVATION- Consulte les tableaux de bord - Fournit de la rétroaction - Prépare les modèles de rapport - Prépare les tableaux de bord dynamiques de

32

CONCLUSION

• Nous voulons tous un Canada prospère et sûr

• Nous faisons tous partie de la solution • Continuons d’investir dans la découverte, la collaboration et

l’innovation!

Page 33: DÉCOUVERTE, COLLABORATION ET INNOVATION- Consulte les tableaux de bord - Fournit de la rétroaction - Prépare les modèles de rapport - Prépare les tableaux de bord dynamiques de

33

QUESTIONS