Agence Nationale de la Sécurité Informatique TunCert
Titre
Stratégie de l’ANSI pour promouvoir la sécurité de l’information
Hassen BAHRI
Hassen.bahri@ansi.tn
Statistiques Zone-H
Attack Method Year 2010
File Inclusion 634.620
Attack against the administrator/user (password stealing/sniffing) 220.521
Other Web Application bug 124.878
SQL Injection 98.250
Not available 91.402
Known vulnerability (i.e. unpatched system) 42.849
Undisclosed (new) vulnerability 25.552
Other Server intrusion 19.528
Web Server intrusion 18.976
FTP Server intrusion 15.619
SSH Server intrusion 15.214
Configuration /admin mistake 13.901
URL Poisoning 13.191
Remote administrative panel access through bruteforcing 12.132
Les malwares
Mobile malware
Vulnérabilité exploité
Les malwares
Les malwares
Les vulnérabilités
Les vulnérabilités
L’évolution des menaces
Email propagation of malicious code
“Stealth”/advanced scanning techniques
Widespread attacks using NNTP to distribute attack
Widespread attacks on DNS infrastructure
Executable code attacks (against browsers) Automated widespread attacks
GUI intruder tools Hijacking sessions Internet social engineering attacks
Packet spoofing
Automated probes/scans Widespread denial-of-service attacks
Techniques to analyze code for vulnerabilities without source code
DDoS attacks Increase in worms Sophisticated command
and control
Anti-forensic techniques Home users targeted Distributed attack tools Increase in wide-scale Trojan horse distribution Windows-based remote controllable Trojans (Back Orifice)
Skill level needed by attackers
1990
2008
Attack sophistication
BYOD
Internet en Tunisie
Année Plage IP Nombre
2000 193.95.0.0 - 193.95.127.255 32768
2002 196.203.0.0 - 196.203.255.255 98304 2005 213.150.160.0 - 213.150.191.255 106496
2007 41.224.0.0 - 41.231.255.255 630784
2010 197.0.0.0 - 197.31.255.255 2727936
60 Gbps
547598 abonnement Internet haut débit
12684 sites
0500000 1000000 1500000 2000000 2500000 3000000
2000 2002 2005 2007 2010
Les menaces les plus préoccupantes
The 2011 (ISC)2 Global Information - Security Workforce Study
National Strategy Awarness activities
National Survey National project
Wide Awareness campaigns High level decisions
Mailing-list
IS security Law
Creation of NACS
Creation of cert-Tcc
Definition of the administrative Framework
Sensitive national projects
Developping IR capabilities
Starting the monitoring activities
Budget
Recruting technicall staff
Setting up of SAHER
WSIS
Training activities (World Bank)
Setting up of the collaboration network
Associative collaboration
website
Cert-Tcc joined the FIRST Network
NACS reached its maturity
International collaboration
Setting up of the Security center facilities
NACS joined the network of center of excellence (UNCTAD)
More training
Staff : 3
Staff : 5
Staff : 6
Staff : 15
Staff : 25
Staff : 42
vue d'ensemble historique
OIC-CERT
Strong international collaboration
Staff : 19
L’ANSI en tant que coordinateur national œuvre à développer un climat de confiance dans l’usage des technologies de l’information pour rassurer les utilisateurs, l’état et les investisseurs et protéger les citoyens et les biens publics et privés contre toute menace cybernétique.
Missions de l’ANSI
Objectives:
1. Tous les tunisiens soient conscients des risques cybernétiques, soient capables de sécuriser leurs ordinateurs et de prendre des mesures nécessaires pour protéger leurs identités, leurs données privées et profiter des services en ligne en toute sécurité.
2. Les systèmes d’information des entreprises tunisiennes soient sécurisés de façon à assurer la sécurité de leurs propres données et les données privées de leurs clients.
3. Les systèmes d’information et de communication du gouvernement tunisien soient
sécurisés et disponibles.
Axes Stratégiques
1. Sécurité des Systèmes d’Information Nationaux.
2. Sécurité du Cyberespace National.
3. Consolider le “Savoir-faire” en sécurité informatique.
4. Formation & Sensibilisation en sécurité des SI.
5. Aspects Juridiques & Réglementaires .
L'agence effectue un contrôle général des systèmes informatiques et des réseaux relevant des divers organismes publics et privés , elle est chargée des missions suivantes:
• Veiller à l'exécution des orientations nationales et de la stratégie générale en systèmes de sécurité des systèmes informatiques et des réseaux
• Suivre l'exécution des plans et des programmes relatifs à la sécurité informatique dans le secteur public à l'exception des applications particulières à la défense et à la sécurité nationale et assurer la coordination entre les intervenants dans ce domaine
• Assurer la veille technologique dans le domaine de la sécurité informatique
• Etablir des normes spécifiques à la sécurité informatique et élaborer des guides techniques en l'objet et procéder à leur publication
• Œuvrer pour encourager le développement de solutions nationales dans le domaine de la sécurité informatique et à les promouvoir conformément aux priorités et aux programmes qui seront fixés par l'agence
• Participer à la consolidation de la formation et du recyclage dans le domaine de la sécurité informatique
• Veiller à l'exécution des réglementations relatives a l'obligation de l'audit périodique de la sécurité des systèmes informatiques et des réseaux
Cadre juridique Loi n° 5 - 2004 du 3 février 2004
Article 8 : L’opération d’audit est effectuée par des personnes
physiques ou mourale préalablement certifiées par l’agence nationale de la sécurité informatique.
Article 10 : tout exploit d’un système informatique ou réseau, qu’il
soit organisme public ou privé, doit informer immédiatement l’agence nationale de la sécurité infomatique de toutes attaques, intrusions ou autres perturbation susseptible d’entraver le fonctionnement d’un autre système informatique ou réseau , afin de lui permettre de prendre les mesures nécesaires pour y faire face.
Cadre juridique
Loi n° 5 - 2004 du 3 février 2004
HOW WE DO THIS
• Veille sur les risques et les menaces, détection, Alerte et avertissement.
• Traitement des incidents et investigation légale.
• Restauration des systèmes qui ont eux un incident et évaluation de leurs sécurité.
• Coordination nationale et internationale pour répondre aux incidents.
• Suivi de l’audit réglementaire des entreprises soumises à la loi d’audit.
• Sensibilisation éducation, promotion et encouragement des compétences scientifiques et
techniques.
• Conseil et assistance technique.
• Veille technique sur les nouveautés relatives à la sécurité informatique et élaboration des guides et des référentiels.
Le Comment
Les services d’un CERT
Nos services TunCERT
Alerte et avertissement
Vulnérabilités
et mise à jours exploits Hactivisme
Les malwares
Les menaces Les failles Cyber crime Les attaques
Niveau d’alerte nationale
Collaboration network
Collaboration program
Antivirus suppliers
Equipments constructors Publication of vulnerabilities,
exploits, 0days
Professional community
Watch professionals Trend
indicators
Collect information
Alerte et avertissement
Incident Handling (CSIRT)
Incident Analysis and handling
CSIRT team Collaboration network
•Information exchange
•Attack Tracking
•Assistance
•Trained Team
•Technical means (Investigation)
•Procedural means
•Platform of incident management
Reporting incident System 24/7
Watch CSIRT ISAC
•Email : incident@ansi.tn
•Web : on line forms
•Tel: : 71 846020
•Massive attack Detection
•Critical failure Detection
•Web site attack Detection
•Email : cert-tcc@ansi.tn
•Call center: 71 843200
•Green N° : 80 100 267
Top 10 des incidents
DoS & DDoS Web Defacement Infection Web
Virus Spam Identity Theft Phishing
Network problem Data lost
Identity Impersonation Sabotage
Security operation center
• Use Cyber early warning sytem SAHER
Collect, analyze, Share
Analyze
Share Collect
Information SAHER
IDS
Vius Spread SAHER
DNS, POP SMTP
Call Center
E-mail Service
SAHER Web
Attack Trends
Incident Report
SAHER Cyber EARLY
WARNING SYSTEM
Detecttion
Saher – Web: DotTN Web Sites monitoring
Saher – SRV: Internet services availability monitoring
SAHER–IDS: Massive attack detection
SAHER–HONEYNET: Malware gathering
SAHER Cyber EARLY
WARNING SYSTEM
Collect
PhishTank http://www.phishtank.com
Google: hosting malware sites
http://www.google.com/safebrowsing/diagnostic?site=AS :2345
Sans storm center http://isc.sans.org/asdetailsascii.html?as=2345
DNS abuse http://dnsbl.abuse.ch/fastfluxtracker.php?asn=2345
Stop Badware http://www.stopbadware.org/reports/asn/2345
Zeus tracker https://zeustracker.abuse.ch/monitor.php?as=2345
RBL Check (SPAM) http://www.uceprotect.net/en/rblcheck.php
CIDR report http://www.cidr-report.org/cgi-bin/as-report?as=AS2345
31
Saher-Web: Detection
Saher-IDS: Statistiques
Saher-Honeynet
Annually evolution of attacks
Saher-Honeynet Website: Online statistics
www.honeynet.tn
Saher-Honeynet Website: « Dashboard
»
www.honeynet.tn/dashboard
Investigation
numérique légale Lutte contre la
cybercriminalité
Coordination pour les cyber crime
Victime
Police
Procureur Expert
Analyse des preuves
Fraudeur
Court
Les preuves numériques
41
41Forensic Lab
Forensic Lab
Forensic Lab
Forensic Lab
Coordination nationale et internationale
regional CERTs
ISPs &
operators
National Authority
Vendors Integrators
FIRST other
CERTs
Cert-Tcc
National Reaction Plan against massive attacks
Incident Coordination
procedures
Coordination
Pourquoi?
• Les Incidents sont internationaux, nous devons coopérer ensemble.
• Nous avons besoin de partager des connaissances et de l'expertise.
• Nous avons généralement des problèmes communs.
• Nous avons besoin d'une vision globale?
Mais!
• Vous avez besoin de faire partie d'un groupe.
• Vous devez faire confiance.
• Vous devez montrer que vous savez comment.
Echanger quoi?
• Incidents:
• Phishing
• Web defacement
• Scan
• Intrusion
• Spam / Scam
• DoS / DDoS
• Malware:
• Worm spread
• Botnet / C&C
• HoneyNet detection
• Vulnerabilities
• Exploit
• Zero days
• Product vulnerability
• Expertise
• Howto
• Best practices
• news
Coordination Stakeholders
Pour assurer une meilleure coordination, de nombreuses parties doivent être impliqués dans le processus:
Premier niveau
CSIRT nationaux
Government
CSIRT privés
ISPs
•Topérateur télécome Second niveau
Universities
Health, Finance, Transport, Energy sectors
Citizens
Troisième niveau
Law enforcement
Coordination Nationale
Tunet
Hexabyte TopNet
tunCERT
Planet
CCK
Energy Health Banks
INBMI
CIMSP IRESA
Gnet
Transport
ATI
Coordination Internationale
FIRST
OIC-CERT
APCERT TF-CSIRT
CERT/CC
INTECO
CERT TF-CSIRT
CERT.BR
TR-CERT
CERT-IST
CERTA
MACERT KR-CERT
MyCERT
…
ECS-CSIRT
AusCERT
Global coordination
CSIRT CSIRT
CSIRT
CSIRT CSIRT
CSIRT
USER
ISP
USER ISP
USER
ISP
USER ISP ISP
USER ISP
USER ISP
USER
ISP
ISP USER
ISP USER ISP
USER
USER
Coordination
ISP Country 1
Country 6 Country 5
Country 4 USER
USER
USER
USER USER
USER
USER USER
USER
FIRST
CERT/CC
OIC-CERT
Plan de réaction national
TunCERT
ISPs ANSI
Administration Telecom Operators
Media
Constructors Vendors Industry
Sectors
Finance and Banks
Energy Sector Health
Sector Transport
Sector
coordination
Cas d’étude: Attaque de Anonymous
en Janvier 2011
Coordination
nationale
Coordination internationale
Neutralisation des attaques
Time Security
1- Design
2- Implementation
3- Audit 4- Improvement
Audit réglementaire de la sécurité des systèmes d’information Objectif
Evaluer périodiquement l'«immunité» des systèmes d'information nationaux contre les risques internes et externes:
- Assurer un niveau minimal de sécurité
- Améliorer progressivement le niveau de sécurité des systèmes d'information
63 Computer Security Policy
Organisational Aspects of Computer Security Assets Management Access Control
Compliance
Human Ressources Security Physical & Environmental Security Communications
and operations management
Information security incident management
Business continuity management Information systems
acquisition, development and
maintenance
Organisational Aspects Technical Aspects
Physical Aspects
Audit réglementaire de la sécurité des systèmes d’information
Méthodologie
Master Degree specialised in computer securty
Engineer + International Certification
Licence + International Certification + 2 years experince
Certification board
OR Office specializes in
computer security hold 3 certified auditors
Certified Auditor in computer security Renewal
National Information Systems Protection processus de certification
OR
CERT -TCC
Sensibilisation, éducation et formation
Public cible:
Citoyen Entreprise professionnel Administration
Canaux
Site web Mailing
Conférence et séminaire Foire et salon
Réunion
Réseaux sociaux TV
Radio
Presse écrite et électronique Workshop dédié
Marketing/Publicité
Thèmes
Sécurité du poste de travail Sécurité de navigation web Contrôle parental
Scam et Spam Vol d’identité
Piratage informatique Réseaux sociaux
Données personnelles Les menaces
Ingénierie sociale
Sécurité des réseaux sans fil
La cyber sécurité
est l’affaire de tous les tunisiens,
chacun a un rôle à jouer.
Thèmes
Vole de données PCA
SMSI
Sécurité physique
Outils de sécurité open source Sécurité des applications
Audit sécurité Réglementation
Programme national de sensibilisation sur la sécurité informatique
2012-2014
Partenaires
Sessions de formation subventionnée par l’ANSI:
– Network security (MiS Training)
– Application and database security (HSC)
– Audit and vulnerability assesment(AuditWare) – CISSP (ITS2)
– ISO 27001 (LMPS)
– Traitement d’incident (ITS2)
– CEH – ECSP – ISO27001 LI (Exécution 2012)
Sensibilisation, éducation et formation
Consulting and technical support of Citizen and entreprises
Citizen entreprises
Assister les citoyens pour utiliser les TIC et d'Internet en toute
sécurité:
Sécurité et contrôle parental
Nettoyage desVirus
Navigations sécurisé
Sécurité de la poste de travail
protection de l'identité
Protection des données personnelles
Sécurité sans fil
centre d'appels et e-mail
Assister les entreprises dans l'étude des besoins
technologiques et les
architectures en termes de sécurité informatique pour préparer une soumission:
– FIREWALL – IDS/IPS/HIDS – Solution Antivirale – Web proxy
– Web Application Firewall (WAF)
– NAC
– ….
Évaluation de la vulnérabilité et des tests de pénétration pour les systèmes sensibles
Evaluation de la sécurité des systèmes sensibles dans le cadre de projets nationaux:
• Audit technique,
• Les tests de pénétration,
• Test de conformité,
• Test de performance.
Veille technique relatives à la sécurité de l’information
Outils de sécurité
les rapports et statistiques
les articles ( Papers) les magasines et
les publications
Bonnes pratiques Et standards
HOWTO
nouvelles technologies
News
Open source
Formations
Statistiques tunCERT/Tunisie
Autre
3% Brute Force 1%
Defacement 12%
déni de service 1%
Harcèlement 0%
Intrusion 8%
phishing 2%
probleme virale 27%
ProtectionViePrivé scan
9%
Site web infecté 9%
spam 18%
Tentative d'intrusion
0%
Utilisation non autorisé
de ressources
0%
Vol d’identité 1%
Exploitation de faille 0%
Forensics légale 9%
Nombre d'incidents de 2009 jusqu‘à maintenant
Autre Brute Force Defacement déni de service Harcèlement Intrusion phishing probleme virale ProtectionViePrivé scan
Site web infecté spam
Tentative d'intrusion
Utilisation non autorisé de ressources Vol d’identité
Exploitation de faille Forensics légale
Année Nb d'incidents
2009 274
2010 774
2011 835
2012 3Q 950
Total 2833
CERT -TCC
Statistiques tunCERT/Tunisie
Stat incidents 2010
3% 0%
7% 0%
0%
5%
2%
59%
1%
7%
7%
4%0%0%0% 5% Autre
Brute Force Defacement déni de service Harcèlement Intrusion phishing
probleme virale ProtectionViePrivé scan
Site web infecté spam
Tentative d'intrusion Utilisation non autorisé de ressources
Vol d’identité
Statistiques tunCERT/Tunisie
Stat incidents 2011
3% 1%
10% 2%
0%
0%
5%
0%
2%
10%
16%
0%
40%
0%
11% Autre
brute force Defacement Deni de Service Exploitation de faille Harcelement
Intrusion
Mass Defacement Phishing
problème virale SCAN
site web infecté spam
Vol et usurpation d'identité requette judiciare