Agence Nationale de la Sécurité Informatique TunCert. Titre Stratégie de l ANSI pour promouvoir la sécurité de l information

(1)

Agence Nationale de la Sécurité Informatique TunCert

Titre

Stratégie de l’ANSI pour promouvoir la sécurité de l’information

Hassen BAHRI

Hassen.bahri@ansi.tn

(2)

Statistiques Zone-H

(3)

Attack Method Year 2010

File Inclusion 634.620

Attack against the administrator/user (password stealing/sniffing) 220.521

Other Web Application bug 124.878

SQL Injection 98.250

Not available 91.402

Known vulnerability (i.e. unpatched system) 42.849

Undisclosed (new) vulnerability 25.552

Other Server intrusion 19.528

Web Server intrusion 18.976

FTP Server intrusion 15.619

SSH Server intrusion 15.214

Configuration /admin mistake 13.901

URL Poisoning 13.191

Remote administrative panel access through bruteforcing 12.132

(4)

Les malwares

Mobile malware

Vulnérabilité exploité

(5)

Les malwares

(6)

Les malwares

(7)

Les vulnérabilités

(8)

Les vulnérabilités

(9)

L’évolution des menaces

Email propagation of malicious code

“Stealth”/advanced scanning techniques

Widespread attacks using NNTP to distribute attack

Widespread attacks on DNS infrastructure

Executable code attacks (against browsers) Automated widespread attacks

GUI intruder tools Hijacking sessions Internet social engineering attacks

Packet spoofing

Automated probes/scans Widespread denial-of-service attacks

Techniques to analyze code for vulnerabilities without source code

DDoS attacks Increase in worms Sophisticated command

and control

Anti-forensic techniques Home users targeted Distributed attack tools Increase in wide-scale Trojan horse distribution Windows-based remote controllable Trojans (Back Orifice)

Skill level needed by attackers

1990

2008

Attack sophistication

(10)

BYOD

(11)

Internet en Tunisie

Année Plage IP Nombre

2000 193.95.0.0 - 193.95.127.255 32768

2002 196.203.0.0 - 196.203.255.255 98304 2005 213.150.160.0 - 213.150.191.255 106496

2007 41.224.0.0 - 41.231.255.255 630784

2010 197.0.0.0 - 197.31.255.255 2727936

60 Gbps

547598 abonnement Internet haut débit

12684 sites

⁰

500000 1000000 1500000 2000000 2500000 3000000

2000 2002 2005 2007 2010

(12)

Les menaces les plus préoccupantes

The 2011 (ISC)2 Global Information - Security Workforce Study

(13)

(14)

National Strategy Awarness activities

National Survey National project

Wide Awareness campaigns High level decisions

Mailing-list

IS security Law

Creation of NACS

Creation of cert-Tcc

Definition of the administrative Framework

Sensitive national projects

Developping IR capabilities

Starting the monitoring activities

Budget

Recruting technicall staff

Setting up of SAHER

WSIS

Training activities (World Bank)

Setting up of the collaboration network

Associative collaboration

website

Cert-Tcc joined the FIRST Network

NACS reached its maturity

International collaboration

Setting up of the Security center facilities

NACS joined the network of center of excellence (UNCTAD)

More training

Staff : 3

Staff : 5

Staff : 6

Staff : 15

Staff : 25

Staff : 42

vue d'ensemble historique

OIC-CERT

Strong international collaboration

Staff : 19

(15)

(16)

L’ANSI en tant que coordinateur national œuvre à développer un climat de confiance dans l’usage des technologies de l’information pour rassurer les utilisateurs, l’état et les investisseurs et protéger les citoyens et les biens publics et privés contre toute menace cybernétique.

Missions de l’ANSI

Objectives:

1. Tous les tunisiens soient conscients des risques cybernétiques, soient capables de sécuriser leurs ordinateurs et de prendre des mesures nécessaires pour protéger leurs identités, leurs données privées et profiter des services en ligne en toute sécurité.

2. Les systèmes d’information des entreprises tunisiennes soient sécurisés de façon à assurer la sécurité de leurs propres données et les données privées de leurs clients.

3. Les systèmes d’information et de communication du gouvernement tunisien soient

sécurisés et disponibles.

(17)

Axes Stratégiques

1. Sécurité des Systèmes d’Information Nationaux.

2. Sécurité du Cyberespace National.

3. Consolider le “Savoir-faire” en sécurité informatique.

4. Formation & Sensibilisation en sécurité des SI.

5. Aspects Juridiques & Réglementaires .

(18)

L'agence effectue un contrôle général des systèmes informatiques et des réseaux relevant des divers organismes publics et privés , elle est chargée des missions suivantes:

• Veiller à l'exécution des orientations nationales et de la stratégie générale en systèmes de sécurité des systèmes informatiques et des réseaux

• Suivre l'exécution des plans et des programmes relatifs à la sécurité informatique dans le secteur public à l'exception des applications particulières à la défense et à la sécurité nationale et assurer la coordination entre les intervenants dans ce domaine

• Assurer la veille technologique dans le domaine de la sécurité informatique

• Etablir des normes spécifiques à la sécurité informatique et élaborer des guides techniques en l'objet et procéder à leur publication

• Œuvrer pour encourager le développement de solutions nationales dans le domaine de la sécurité informatique et à les promouvoir conformément aux priorités et aux programmes qui seront fixés par l'agence

• Participer à la consolidation de la formation et du recyclage dans le domaine de la sécurité informatique

• Veiller à l'exécution des réglementations relatives a l'obligation de l'audit périodique de la sécurité des systèmes informatiques et des réseaux

Cadre juridique Loi n° 5 - 2004 du 3 février 2004

(19)

Article 8 : L’opération d’audit est effectuée par des personnes

physiques ou mourale préalablement certifiées par l’agence nationale de la sécurité informatique.

Article 10 : tout exploit d’un système informatique ou réseau, qu’il

soit organisme public ou privé, doit informer immédiatement l’agence nationale de la sécurité infomatique de toutes attaques, intrusions ou autres perturbation susseptible d’entraver le fonctionnement d’un autre système informatique ou réseau , afin de lui permettre de prendre les mesures nécesaires pour y faire face.

Cadre juridique

Loi n° 5 - 2004 du 3 février 2004

(20)

HOW WE DO THIS

• Veille sur les risques et les menaces, détection, Alerte et avertissement.

• Traitement des incidents et investigation légale.

• Restauration des systèmes qui ont eux un incident et évaluation de leurs sécurité.

• Coordination nationale et internationale pour répondre aux incidents.

• Suivi de l’audit réglementaire des entreprises soumises à la loi d’audit.

• Sensibilisation éducation, promotion et encouragement des compétences scientifiques et

techniques.

• Conseil et assistance technique.

• Veille technique sur les nouveautés relatives à la sécurité informatique et élaboration des guides et des référentiels.

Le Comment

(21)

Les services d’un CERT

(22)

Nos services TunCERT

(23)

Alerte et avertissement

Vulnérabilités

et mise à jours exploits Hactivisme

Les malwares

Les menaces Les failles Cyber crime Les attaques

Niveau d’alerte nationale

(24)

Collaboration network

Collaboration program

Antivirus suppliers

Equipments constructors Publication of vulnerabilities,

exploits, 0days

Professional community

Watch professionals Trend

indicators

Collect information

Alerte et avertissement

(25)

Incident Handling (CSIRT)

Incident Analysis and handling

CSIRT team Collaboration network

•Information exchange

•Attack Tracking

•Assistance

•Trained Team

•Technical means (Investigation)

•Procedural means

•Platform of incident management

Reporting incident System 24/7

Watch CSIRT ISAC

•Email : incident@ansi.tn

•Web : on line forms

•Tel: : 71 846020

•Massive attack Detection

•Critical failure Detection

•Web site attack Detection

•Email : cert-tcc@ansi.tn

•Call center: 71 843200

•Green N° : 80 100 267

(26)

Top 10 des incidents

DoS & DDoS Web Defacement Infection Web

Virus Spam Identity Theft Phishing

Network problem Data lost

Identity Impersonation Sabotage

(27)

Security operation center

• Use Cyber early warning sytem SAHER

(28)

Collect, analyze, Share

Analyze

Share Collect

Information SAHER

IDS

Vius Spread SAHER

DNS, POP SMTP

Call Center

E-mail Service

SAHER Web

Attack Trends

Incident Report

SAHER Cyber ^EARLY

WARNING SYSTEM

(29)

Detecttion

Saher – Web: DotTN Web Sites monitoring

Saher – SRV: Internet services availability monitoring

SAHER–IDS: Massive attack detection

SAHER–HONEYNET: Malware gathering

SAHER Cyber ^EARLY

WARNING SYSTEM

(30)

Collect

PhishTank http://www.phishtank.com

Google: hosting malware sites

http://www.google.com/safebrowsing/diagnostic?site=AS :2345

Sans storm center http://isc.sans.org/asdetailsascii.html?as=2345

DNS abuse http://dnsbl.abuse.ch/fastfluxtracker.php?asn=2345

Stop Badware http://www.stopbadware.org/reports/asn/2345

Zeus tracker https://zeustracker.abuse.ch/monitor.php?as=2345

RBL Check (SPAM) http://www.uceprotect.net/en/rblcheck.php

CIDR report http://www.cidr-report.org/cgi-bin/as-report?as=AS2345

(31)

31

(32)

(33)

Saher-Web: Detection

(34)

Saher-IDS: Statistiques

(35)

Saher-Honeynet

Annually evolution of attacks

(36)

Saher-Honeynet Website: Online statistics

www.honeynet.tn

(37)

Saher-Honeynet Website: « Dashboard

»

www.honeynet.tn/dashboard

(38)

Investigation

numérique légale Lutte contre la

cybercriminalité

(39)

Coordination pour les cyber crime

Victime

Police

Procureur Expert

Analyse des preuves

Fraudeur

Court

(40)

Les preuves numériques

(41)

41

⁴¹

Forensic Lab

(42)

Forensic Lab

(43)

Forensic Lab

(44)

Forensic Lab

(45)

Coordination nationale et internationale

regional CERTs

ISPs &

operators

National Authority

Vendors Integrators

FIRST other

CERTs

Cert-Tcc

National Reaction Plan against massive attacks

Incident Coordination

procedures

(46)

Coordination

Pourquoi?

• Les Incidents sont internationaux, nous devons coopérer ensemble.

• Nous avons besoin de partager des connaissances et de l'expertise.

• Nous avons généralement des problèmes communs.

• Nous avons besoin d'une vision globale?

Mais!

• Vous avez besoin de faire partie d'un groupe.

• Vous devez faire confiance.

• Vous devez montrer que vous savez comment.

(47)

Echanger quoi?

• Incidents:

• Phishing

• Web defacement

• Scan

• Intrusion

• Spam / Scam

• DoS / DDoS

• Malware:

• Worm spread

• Botnet / C&C

• HoneyNet detection

• Vulnerabilities

• Exploit

• Zero days

• Product vulnerability

• Expertise

• Howto

• Best practices

• news

(48)

Coordination Stakeholders

Pour assurer une meilleure coordination, de nombreuses parties doivent être impliqués dans le processus:

Premier niveau

 CSIRT nationaux

 Government

 CSIRT privés

 ISPs

•Topérateur télécome Second niveau

 Universities

 Health, Finance, Transport, Energy sectors

 Citizens

Troisième niveau

 Law enforcement

(49)

Coordination Nationale

Tunet

Hexabyte TopNet

tunCERT

Planet

CCK

Energy Health Banks

INBMI

CIMSP IRESA

Gnet

Transport

ATI

(50)

Coordination Internationale

FIRST

OIC-CERT

APCERT TF-CSIRT

CERT/CC

INTECO

CERT TF-CSIRT

CERT.BR

TR-CERT

CERT-IST

CERTA

MACERT KR-CERT

MyCERT

…

ECS-CSIRT

AusCERT

(51)

(52)

Global coordination

CSIRT CSIRT

CSIRT

CSIRT CSIRT

CSIRT

USER

ISP

USER ISP

USER

ISP

USER ISP ISP

USER ISP

USER

ISP

ISP USER

ISP USER ISP

USER

Coordination

ISP Country 1

Country 6 Country 5

Country 4 USER

USER

USER USER

USER

USER USER

USER

(53)

FIRST

(54)

CERT/CC

(55)

OIC-CERT

(56)

Plan de réaction national

TunCERT

ISPs ANSI

Administration Telecom Operators

Media

Constructors Vendors Industry

Sectors

Finance and Banks

Energy Sector Health

Sector Transport

Sector

coordination

(57)

Cas d’étude: Attaque de Anonymous

en Janvier 2011

(58)

(59)

Coordination

nationale

(60)

Coordination internationale

(61)

Neutralisation des attaques

(62)

Time Security

1- Design

2- Implementation

3- Audit 4- Improvement

Audit réglementaire de la sécurité des systèmes d’information Objectif

Evaluer périodiquement l'«immunité» des systèmes d'information nationaux contre les risques internes et externes:

- Assurer un niveau minimal de sécurité

- Améliorer progressivement le niveau de sécurité des systèmes d'information

(63)

63 Computer Security Policy

Organisational Aspects of Computer Security Assets Management Access Control

Compliance

Human Ressources Security Physical & Environmental Security Communications

and operations management

Information security incident management

Business continuity management Information systems

acquisition, development and

maintenance

Organisational Aspects Technical Aspects

Physical Aspects

Audit réglementaire de la sécurité des systèmes d’information

Méthodologie

(64)

Master Degree specialised in computer securty

Engineer + International Certification

Licence + International Certification + 2 years experince

Certification board

OR Office specializes in

computer security hold 3 certified auditors

Certified Auditor in computer security Renewal

National Information Systems Protection processus de certification

OR

(65)

CERT -TCC

Sensibilisation, éducation et formation

Public cible:

Citoyen Entreprise professionnel Administration

Canaux

Site web Mailing

Conférence et séminaire Foire et salon

Réunion

Réseaux sociaux TV

Radio

Presse écrite et électronique Workshop dédié

Marketing/Publicité

Thèmes

Sécurité du poste de travail Sécurité de navigation web Contrôle parental

Scam et Spam Vol d’identité

Piratage informatique Réseaux sociaux

Données personnelles Les menaces

Ingénierie sociale

Sécurité des réseaux sans fil

La cyber sécurité

est l’affaire de tous les tunisiens,

chacun a un rôle à jouer.

Thèmes

Vole de données PCA

SMSI

Sécurité physique

Outils de sécurité open source Sécurité des applications

Audit sécurité Réglementation

Programme national de sensibilisation sur la sécurité informatique

2012-2014

Partenaires

(66)

Sessions de formation subventionnée par l’ANSI:

– Network security (MiS Training)

– Application and database security (HSC)

– Audit and vulnerability assesment(AuditWare) – CISSP (ITS2)

– ISO 27001 (LMPS)

– Traitement d’incident (ITS2)

– CEH – ECSP – ISO27001 LI (Exécution 2012)

Sensibilisation, éducation et formation

(67)

Consulting and technical support of Citizen and entreprises

Citizen entreprises

Assister les citoyens pour utiliser les TIC et d'Internet en toute

sécurité:

Sécurité et contrôle parental

Nettoyage desVirus

Navigations sécurisé

Sécurité de la poste de travail

protection de l'identité

Protection des données personnelles

Sécurité sans fil

centre d'appels et e-mail

Assister les entreprises dans l'étude des besoins

technologiques et les

architectures en termes de sécurité informatique pour préparer une soumission:

– FIREWALL – IDS/IPS/HIDS – Solution Antivirale – Web proxy

– Web Application Firewall (WAF)

– NAC

– ….

(68)

Évaluation de la vulnérabilité et des tests de pénétration pour les systèmes sensibles

Evaluation de la sécurité des systèmes sensibles dans le cadre de projets nationaux:

• Audit technique,

• Les tests de pénétration,

• Test de conformité,

• Test de performance.

(69)

Veille technique relatives à la sécurité de l’information

Outils de sécurité

les rapports et statistiques

les articles ( Papers) les magasines et

les publications

Bonnes pratiques Et standards

HOWTO

nouvelles technologies

News

Open source

Formations

(70)

Statistiques tunCERT/Tunisie

Autre

3% Brute Force 1%

Defacement 12%

déni de service 1%

Harcèlement 0%

Intrusion 8%

phishing 2%

probleme virale 27%

ProtectionViePrivé scan

9%

Site web infecté 9%

spam 18%

Tentative d'intrusion

0%

Utilisation non autorisé

de ressources

0%

Vol d’identité 1%

Exploitation de faille 0%

Forensics légale 9%

Nombre d'incidents de 2009 jusqu‘à maintenant

Autre Brute Force Defacement déni de service Harcèlement Intrusion phishing probleme virale ProtectionViePrivé scan

Site web infecté spam

Tentative d'intrusion

Utilisation non autorisé de ressources Vol d’identité

Exploitation de faille Forensics légale

Année Nb d'incidents

2009 274

2010 774

2011 835

2012 3Q 950

Total 2833

(71)

CERT -TCC

Statistiques tunCERT/Tunisie

Stat incidents 2010

3% 0%

7% 0%

0%

5%

2%

59%

1%

7%

4%0%0%0% 5% Autre

Brute Force Defacement déni de service Harcèlement Intrusion phishing

probleme virale ProtectionViePrivé scan

Site web infecté spam

Tentative d'intrusion Utilisation non autorisé de ressources

Vol d’identité

(72)

Statistiques tunCERT/Tunisie

Stat incidents 2011

3% 1%

10% 2%

0%

5%

0%

2%

10%

16%

0%

40%

0%

11% Autre

brute force Defacement Deni de Service Exploitation de faille Harcelement

Intrusion

Mass Defacement Phishing

problème virale SCAN

site web infecté spam

Vol et usurpation d'identité requette judiciare

(73)