Scénarios d'attaques et Détection...
Transcript of Scénarios d'attaques et Détection...
![Page 1: Scénarios d'attaques et Détection d'Intrusionsquack1.me/upload/presentation_memoire_stage.pdfScénarios d'attaques et Détection d'Intrusions Soutenance de stage de Master Quack1](https://reader030.fdocument.pub/reader030/viewer/2022040603/5e9ec6f44bce220ef819503b/html5/thumbnails/1.jpg)
Scénarios d'attaques et Détection d'Intrusions
Soutenance de stage de Master
Quack1
Master CRYPTIS Limoges, le 12 Septembre 2013
Julien IGUCHY-CARTIGNY Adrien VERNOIS
![Page 2: Scénarios d'attaques et Détection d'Intrusionsquack1.me/upload/presentation_memoire_stage.pdfScénarios d'attaques et Détection d'Intrusions Soutenance de stage de Master Quack1](https://reader030.fdocument.pub/reader030/viewer/2022040603/5e9ec6f44bce220ef819503b/html5/thumbnails/2.jpg)
2 / 23
Introduction
Sécurité informatique
→ Recrudescence des intrusions
→ Importance de la détection
Objectifs du stage :
→ Compétences en détection d'intrusions et amélioration des scénarios
→ « Peut-on détecter efficacement des intrusions ? »
![Page 3: Scénarios d'attaques et Détection d'Intrusionsquack1.me/upload/presentation_memoire_stage.pdfScénarios d'attaques et Détection d'Intrusions Soutenance de stage de Master Quack1](https://reader030.fdocument.pub/reader030/viewer/2022040603/5e9ec6f44bce220ef819503b/html5/thumbnails/3.jpg)
3 / 23
Plan
→ L'entreprise : Conix Security
→ La détection d'intrusions
→ Détection d'attaques Web
→ Certaines limites
→ Aller plus loin : la corrélation d’évènements
![Page 4: Scénarios d'attaques et Détection d'Intrusionsquack1.me/upload/presentation_memoire_stage.pdfScénarios d'attaques et Détection d'Intrusions Soutenance de stage de Master Quack1](https://reader030.fdocument.pub/reader030/viewer/2022040603/5e9ec6f44bce220ef819503b/html5/thumbnails/4.jpg)
4 / 23
Conix
SSII créée en 1997
Paris
Plusieurs activités
Conix Security
Audit
Forensique
Conseil
Détection d'intrusions
![Page 5: Scénarios d'attaques et Détection d'Intrusionsquack1.me/upload/presentation_memoire_stage.pdfScénarios d'attaques et Détection d'Intrusions Soutenance de stage de Master Quack1](https://reader030.fdocument.pub/reader030/viewer/2022040603/5e9ec6f44bce220ef819503b/html5/thumbnails/5.jpg)
5 / 23
La détection d'intrusions
Sécurité Informatique :
« Conserver, rétablir, et garantir la sécurité des systèmes d'information » *
Principaux enjeux de la détection
Détecter les intrusions en « temps réel »
Obtenir le niveau de sécurité du SI
Résoudre rapidement les intrusions
Plusieurs types d'IDS
Réseau (NIDS) – Snort, Bro, Suricata
Système (HIDS) – OSSEC, GNU/Linux Audit, Windows Audit
Données brutes – Logs d'applications, d'équipements réseaux
* https://fr.wikipedia.org/w/index.php?title=Portail:S%C3%A9curit%C3%A9_informatique
![Page 6: Scénarios d'attaques et Détection d'Intrusionsquack1.me/upload/presentation_memoire_stage.pdfScénarios d'attaques et Détection d'Intrusions Soutenance de stage de Master Quack1](https://reader030.fdocument.pub/reader030/viewer/2022040603/5e9ec6f44bce220ef819503b/html5/thumbnails/6.jpg)
6 / 23
Fonctionnement d'un IDS
Vulnéra
bilité
Attaque
Source de données
Capteur
Moteur dedétection
Activité
Données
Évènements
![Page 7: Scénarios d'attaques et Détection d'Intrusionsquack1.me/upload/presentation_memoire_stage.pdfScénarios d'attaques et Détection d'Intrusions Soutenance de stage de Master Quack1](https://reader030.fdocument.pub/reader030/viewer/2022040603/5e9ec6f44bce220ef819503b/html5/thumbnails/7.jpg)
7 / 23
Détection d'attaques Web
Pourquoi ?
Répandues – Facilité d'exploitation
Facilité de détection
Analyse réseau
Observation du comportement dans Wireshark
Empreinte « unique » de l'outil
Écriture d'une règle IDS
![Page 8: Scénarios d'attaques et Détection d'Intrusionsquack1.me/upload/presentation_memoire_stage.pdfScénarios d'attaques et Détection d'Intrusions Soutenance de stage de Master Quack1](https://reader030.fdocument.pub/reader030/viewer/2022040603/5e9ec6f44bce220ef819503b/html5/thumbnails/8.jpg)
8 / 23
Exemple : Détection d'une attaque Web simple
« Local File Inclusion »
/index.php?file=/etc/passwd /etc/passwd
Dét
ecti
on
NID
S
![Page 9: Scénarios d'attaques et Détection d'Intrusionsquack1.me/upload/presentation_memoire_stage.pdfScénarios d'attaques et Détection d'Intrusions Soutenance de stage de Master Quack1](https://reader030.fdocument.pub/reader030/viewer/2022040603/5e9ec6f44bce220ef819503b/html5/thumbnails/9.jpg)
9 / 23
Limites de la détection : fiabilité vs pertinence
Actions légales
Actions illégales
Approche comportementale
Approche par signatures
Modèle de comportements
Modèle de signatures
Faux négatif
Faux négatif
Faux positif
Faux positif
![Page 10: Scénarios d'attaques et Détection d'Intrusionsquack1.me/upload/presentation_memoire_stage.pdfScénarios d'attaques et Détection d'Intrusions Soutenance de stage de Master Quack1](https://reader030.fdocument.pub/reader030/viewer/2022040603/5e9ec6f44bce220ef819503b/html5/thumbnails/10.jpg)
10 / 23
Limites de la détection : contournement
Détection d'un outil
Règle spécifique à l'outil
1 outil Plusieurs règles→
Contournement d'IDS
Modification du User-Agent
Modification du payload
Encodage des caractères
Délai entre chaque tentative
Solutions
Expression régulières
Corrélation d'évènements
![Page 11: Scénarios d'attaques et Détection d'Intrusionsquack1.me/upload/presentation_memoire_stage.pdfScénarios d'attaques et Détection d'Intrusions Soutenance de stage de Master Quack1](https://reader030.fdocument.pub/reader030/viewer/2022040603/5e9ec6f44bce220ef819503b/html5/thumbnails/11.jpg)
11 / 23
Aller plus loin : La corrélation d'évènements
Règle IDS unique Peu utile mais précise→
Plusieurs règles Plus d'informations→
→ Nécéssité de corréler
Qualifier les incidents avec plus de critères
Supprimer les faux-positifs
Mieux apprécier la criticité des évènements
⇒ SIEM OSSIM→
⇒ Scénarios d'attaques évolués
![Page 12: Scénarios d'attaques et Détection d'Intrusionsquack1.me/upload/presentation_memoire_stage.pdfScénarios d'attaques et Détection d'Intrusions Soutenance de stage de Master Quack1](https://reader030.fdocument.pub/reader030/viewer/2022040603/5e9ec6f44bce220ef819503b/html5/thumbnails/12.jpg)
16 / 23
Fonctionnement d'un SIEM
Activité
Source de Données : IDS
Sonde
Moteur decorrélation
Évènements
Alertes
Format unique
![Page 13: Scénarios d'attaques et Détection d'Intrusionsquack1.me/upload/presentation_memoire_stage.pdfScénarios d'attaques et Détection d'Intrusions Soutenance de stage de Master Quack1](https://reader030.fdocument.pub/reader030/viewer/2022040603/5e9ec6f44bce220ef819503b/html5/thumbnails/13.jpg)
17 / 23
Corrélation : Attaques par un outil automatique
![Page 14: Scénarios d'attaques et Détection d'Intrusionsquack1.me/upload/presentation_memoire_stage.pdfScénarios d'attaques et Détection d'Intrusions Soutenance de stage de Master Quack1](https://reader030.fdocument.pub/reader030/viewer/2022040603/5e9ec6f44bce220ef819503b/html5/thumbnails/14.jpg)
18 / 23
Corrélation : Attaques par un outil automatique
![Page 15: Scénarios d'attaques et Détection d'Intrusionsquack1.me/upload/presentation_memoire_stage.pdfScénarios d'attaques et Détection d'Intrusions Soutenance de stage de Master Quack1](https://reader030.fdocument.pub/reader030/viewer/2022040603/5e9ec6f44bce220ef819503b/html5/thumbnails/15.jpg)
19 / 23
Cross-Corrélation : Attaque par « Local File Inclusion »
/index.php?file=/etc/passwd&op=fileviewer /etc/passwd
Dét
ecti
on
NID
S
Dé
tect
ion
HID
S
![Page 16: Scénarios d'attaques et Détection d'Intrusionsquack1.me/upload/presentation_memoire_stage.pdfScénarios d'attaques et Détection d'Intrusions Soutenance de stage de Master Quack1](https://reader030.fdocument.pub/reader030/viewer/2022040603/5e9ec6f44bce220ef819503b/html5/thumbnails/16.jpg)
20 / 23
Cross-Corrélation : Attaque par « Local File Inclusion »
![Page 17: Scénarios d'attaques et Détection d'Intrusionsquack1.me/upload/presentation_memoire_stage.pdfScénarios d'attaques et Détection d'Intrusions Soutenance de stage de Master Quack1](https://reader030.fdocument.pub/reader030/viewer/2022040603/5e9ec6f44bce220ef819503b/html5/thumbnails/17.jpg)
21 / 23
IDS / SIEM : Solution à toute épreuve ?
Solution IDS seule ?
Règles précises
Difficulté de traitement
Solution SIEM ?
Sources illimitées
Corrélation efficace
Mais …
Difficulté de modélisation des scénarios
Faux-positifs
Attaques inconnues
Flux chiffrés
Traitement humain nécéssaire
« Catch the vulnerability, not the exploit »
![Page 18: Scénarios d'attaques et Détection d'Intrusionsquack1.me/upload/presentation_memoire_stage.pdfScénarios d'attaques et Détection d'Intrusions Soutenance de stage de Master Quack1](https://reader030.fdocument.pub/reader030/viewer/2022040603/5e9ec6f44bce220ef819503b/html5/thumbnails/18.jpg)
22 / 23
Conclusion
→ Détection universelle
Détection complexe
Ressources supplémentaires nécéssaires
→ D'autres approches ?
→ Stage très intéressant
Forte montée en compétences
Rédaction d'un article dans le MISC #69
CDI dès septembre
![Page 19: Scénarios d'attaques et Détection d'Intrusionsquack1.me/upload/presentation_memoire_stage.pdfScénarios d'attaques et Détection d'Intrusions Soutenance de stage de Master Quack1](https://reader030.fdocument.pub/reader030/viewer/2022040603/5e9ec6f44bce220ef819503b/html5/thumbnails/19.jpg)
23 / 23
Merci
@_Quack1 – http://quack1.me