Available since June 2008 in the SANS Reading Room:
http://www.sans.org/reading_room/whitepapers/pda/32823.php
ISSAF: Information Systems Security Auditing Framework
From the Open Information Systems Security Group's Web site:
"
The ISSAF is OISSG's flagship project. It is an effort to develop an end-to-end framework for security assessment. The ISSAF aims to provide a single point of reference for professionals involved in security assessment; it reflects and addresses the practical issues of security assessment. The ISSAF is an evolving framework and it will be further amended and updated."
"
The ISSAF is OISSG's flagship project. It is an effort to develop an end-to-end framework for security assessment. The ISSAF aims to provide a single point of reference for professionals involved in security assessment; it reflects and addresses the practical issues of security assessment. The ISSAF is an evolving framework and it will be further amended and updated."After a quick look at the document, my first impression is:
- it is a bible (1300 pages)
- it takes into account both Methodologies and Practical Assessment procedures and use of most known tools for auditing
- checklists and questionnaires are provided as well
- it's FREE!
- it is a bible (1300 pages)
- it takes into account both Methodologies and Practical Assessment procedures and use of most known tools for auditing
- checklists and questionnaires are provided as well
- it's FREE!
So, no reason not to download it!
L'intelligence économique, moteur de compétitivité de votre entreprise - Maîtrise et protection de l'information stratégique
Conférence du Commandant Eric Jaillet,
chargé de communication à la Direction de la Surveillance du Territoire (DST) à Lyon
chargé de cours en Sécurité des Systèmes d’Information auprès des universités et grandes écoles.
La maîtrise de l'information, enjeu de sécurité économique
Parallèlement à de ses traditionnelles missions de contre-espionnage et de contre-terrorisme, la Direction de la Surveillance du Territoire (DST) qui relève du Ministère de l'Intérieur, développe une action de protection du patrimoine industriel, commercial et scientifique.
Les enjeux de cette mission sont la compétitivité économique et la préservation de l'emploi .
Dans un contexte de globalisation et de déréglementation, les entreprises françaises (grands comptes ou PME/PMI) peuvent compter sur la DST pour les aider à faire face aux attaques déloyales de la concurrence étrangère.
Mais, dans un monde communiquant où la priorité est donnée à l'information, protéger ce patrimoine (R&D, savoir-faire, stratégie commerciale, etc.) ce n'est pas le dissimuler, le confiner, mais bien au contraire le faire fructifier par le jeu de transactions judicieuses tout en veillant à ne jamais s'en laisser déposséder.
Les systèmes destinés à l'échange et au stockage de l'information se trouvent naturellement au cœur de la problématique et de leur maîtrise dépend étroitement le niveau de sécurité économique de l'entreprise.
Dans une telle dynamique où l'ouverture se doit d'être constamment vigilante, il convient que chaque dépositaire d'une parcelle de ce patrimoine soit sensibilisé aux risques existants :
1. Actions d'ingérence économique menées par des services de renseignement étrangers ; l'espionnage industriel figurant souvent parmi leurs nouvelles missions. Or actuellement près de 80 % du renseignement est issu de sources dites « techniques » ou SIGINT (Signal Intelligence) qui peuvent aller jusqu'à des agressions informatiques ciblées.
2. Actions offensives des officines de renseignement privées dont le nombre croît régulièrement et qui parfois n'hésitent pas à profiter des faiblesses du système supportant l'information convoitée ou de l'imprudence du possesseur d'un PC portable...
3. Actions, rarement illégales mais souvent dolosives pour qui ne contrôle pas sa communication, des cellules d'Intelligence Economique et Stratégique qui utilisent de plus en plus les NTAI (nouvelles technologies d'analyse de l'information) pour capter les informations à valeur ajoutée que la concurrence laisse filtrer imprudemment.
4. Actions menées par les acteurs de la « cyberdélinquance », les pirates informatiques, dont l'essentiel du coût direct ou indirect est supporté par les entreprises. A noter que certains pirates peu scrupuleux vont jusqu'à louer ponctuellement leurs services à des officines de renseignement privées.
5. Actions liées au crime organisé, comme : vol de matériel, contrefaçon, racket, corruption, blanchiment d'argent, etc.
Une attention toute particulière sera portée aux secteurs stratégiques dans les domaines des technologies de souveraineté et au-delà, à tous les secteurs innovants et/ou particulièrement exposés à la concurrence internationale (cf. www.tc-2010.fr ).
Globalement, un progrès significatif doit être réalisé en matière de sécurité des systèmes d'information, les vulnérabilités intrinsèques de ces outils constituant une des faiblesses majeures de l'entreprise, de plus en plus dépendante à leur égard.
Ces vulnérabilités résultent de la combinaison de facteurs humains et de facteurs techniques.
Les facteurs humains reposent essentiellement sur le comportement inadapté des utilisateurs qui fragilisent le système d'information par leur ignorance, leur inconscience ou leur naïveté : mauvaise gestion et divulgation des mots de passe, défaut de vigilance vis-à-vis des PC portables, usage inapproprié de la messagerie pour échanger « en clair » des données sensibles, etc.
Les facteurs techniques reposent sur une accumulation de strates fragiles : systèmes d'exploitation présentant tous de nombreuses failles, idem concernant les protocoles les plus courants (TCP-IP / IPV4) et les logiciels applicatifs (bugs…), mauvaise administration des serveurs et pratiques dangereuses des utilisateurs finaux.
A défaut de leur prise en compte, les risques qui pèsent sur les systèmes d'information de l'entreprise vont atteindre un niveau incompatible avec une bonne gestion.
Une attention particulière doit être portée aux points suivants :
L'intégrité des données
La perte totale ou partielle de ses informations est une menace qui pèse au quotidien sur l'entreprise, que cette perte soit d'origine accidentelle ou criminelle.
Il convient de mettre en place des procédures de sauvegarde en veillant tout particulièrement à prendre en compte les données qui se trouvent stockées sur les disques durs des PC portables et des postes de travail (se sont souvent les plus pertinentes et elles échappent trop souvent au champ de la sauvegarde institutionnelle qui ne concerne que les serveurs…).
Attention également à ne pas mettre « tous ses œufs dans le même panier », c'est-à-dire à ne pas conserver les supports de sauvegarde trop près des originaux !
La disponibilité
La disponibilité est la capacité à pouvoir accéder aux informations en temps utile. L'optimisation des TIC pour améliorer la compétitivité de l'entreprise (travail collaboratif, flux tendus, accélération des échanges, etc.) a considérablement accru son niveau de dépendance et ses exigences en matière de disponibilité. Corrélativement, dans le prolongement naturel de la qualité et de la continuité de service, il convient d'accorder plus d'attention à la sécurité des systèmes d'information qui concourt naturellement à garantir un haut niveau de disponibilité.
L'authentification ou non répudiation des échanges électroniques
Les entreprises utilisent de plus en plus fréquemment les outils de messagerie électronique pour échanger des documents contractuels et commerciaux qui sont susceptibles d'engager la responsabilité de l'expéditeur et parfois du destinataire (réponse à un appel d'offres, bon de commande, bon de livraison, facture, devis, etc.). En cas de contestation, toujours possible entre tiers contractants, un document électronique standard n'a strictement aucune valeur juridique et n'ouvre droit à aucun recours…
Pour donner force probante à un document électronique, il convient de le signer électroniquement avec un certificat de signature électronique conforme à la loi française qui en régit l'usage (cf. art. 1316-4 du Code Civil).
La confidentialité des données
Les données jugées confidentielles, c'est-à-dire celles qui sont de nature à être convoitées par une tierce partie dans le contexte actuel d'hyperconcurrence, qu'elles soient de nature scientifique, technique, stratégique, financière ou commerciale, sont aujourd'hui pratiquement toujours numérisées, stockées sur des mémoires et échangées en réseau. Si l'on ne renforce pas significativement les niveaux de sécurité autour de ces données on s'expose à ce qu'elles soient compromises…
Il convient de les protéger en lecture, en copie et en modification.
La confidentialité est à prendre en compte vis-à-vis d'une menace externe à l'entreprise, mais aussi vis-à-vis d'une menace interne. N'oublions pas que 57% des actes de malveillance informatique sont d'origine interne !
Il convient donc de cloisonner l'information et de tenir compte du « besoin d'en connaître ».
La protection de l'image de l'entreprise
L'image fait aujourd'hui partie des éléments essentiels d'un fonds de commerce et les technologies de l'information et de la communication sont souvent mises à contribution pour porter une image positive et moderne : site web, portail, commerce électronique de type B to B ou B to C, etc.
Si l'on ne sécurise pas ces outils de communication, on s'expose à des actions qui peuvent les dégrader (modification de contenu ou blocage de site web, divulgation de numéros de CB de la clientèle) et venir ternir l'image de leur exploitant.
·Risques juridiques
Citons pêle-mêle quelques risques de nature juridique :
– Non respect de la protection des données à caractère personnel
– Utilisation de logiciels sans licence
– Diffusion de fichiers illicites (Warez)
---
Le déficit des sociétés françaises en matière de S.S.I. étant patent et persistant, malgré des efforts régulièrement consentis, on est en droit de s'interroger sur le bien-fondé des mesures de sécurité adoptées.
L'importance stratégique de la maîtrise de l'information mérite sans doute qu'on lui accorde plus d'attention, c'est-à-dire davantage de temps et de moyens, mais surtout que la question soit appréhendée sous un tout autre angle.
Une accumulation d'outils dédiés à la sécurité (logiciels antivirus, pare-feu et autres proxies), aussi indispensables soient-ils, n'a jamais constitué une politique de S.S.I., or c'est bien de cela qu'il s'agit.
Une telle démarche, véritable projet transversal d'entreprise, comparable à la qualité, ne peut trouver son origine et sa légitimité qu'au travers une volonté bien affirmée et constante dans le temps de la Direction Générale.
Une bonne politique de S.S.I. sera composée, pour les trois quarts, de mesures organisationnelles (procédures, règles contractuelles, sensibilisation et formation des utilisateurs, etc.) et, pour le quart restant, de mesures purement techniques.
La réussite d'un tel projet managé rial, passe par la désignation d'un responsable de la sécurité des systèmes d'information (R.S.S.I.), directement rattaché à la Direction Générale et surtout, indépendant du service informatique.
Contact DST en Rhône-Alpes : 04.78.66.67.00
-----------------------------------------------
Conférence présentée par:
Security policy for the use of handheld devices in corporate environments
The purpose of this security policy is to establish an authorized method for using handheld devices in a corporate environment.
Note that this policy does not target a defined business, and remains very general. Consequently, many points provided depend on the business environment and need to be set up according to a right balance between device and services usability, business needs and security.
Introduction: Security Challenges & Threats to handheld devices
Handhelds are subject to the same types of vulnerabilities that affect laptops. Furthermore, as handhelds are smaller and lighter, such devices are more subject to loss and theft, according to various studies from cab companies and airports; those places tend to be the preferred ones for losing devices. Hence, the most predominant weaknesses affecting handheld devices include:
While handheld devices are probably more likely to be a carrier of viruses, than the actual target of a directed attack, it is possible through automated port scans for hackers to identify mobile devices that they can attack directly. Though currently the likelihood of a directed attack may not be high, as Wi-Fi and CDMA (cellular) access becomes more available it can be expected that these types of attacks will increase. When used in standalone mode, and not connected to any types of networks, handheld devices have no vulnerability at all to direct attacks.
1. General part
2. Physical security
4. Applications security
5. Data security & Access to corporate networks
6. Bluetooth security
References
Mobile Device Management (Wikipedia)
Note that this policy does not target a defined business, and remains very general. Consequently, many points provided depend on the business environment and need to be set up according to a right balance between device and services usability, business needs and security.
Introduction: Security Challenges & Threats to handheld devices
Handhelds are subject to the same types of vulnerabilities that affect laptops. Furthermore, as handhelds are smaller and lighter, such devices are more subject to loss and theft, according to various studies from cab companies and airports; those places tend to be the preferred ones for losing devices. Hence, the most predominant weaknesses affecting handheld devices include:
- Loss or theft of the physical device
- Viruses, Trojans, and worms
- Data theft
- Mobile code exploits
- Authentication theft
- Wireless exploits
- Denial of service attacks
While handheld devices are probably more likely to be a carrier of viruses, than the actual target of a directed attack, it is possible through automated port scans for hackers to identify mobile devices that they can attack directly. Though currently the likelihood of a directed attack may not be high, as Wi-Fi and CDMA (cellular) access becomes more available it can be expected that these types of attacks will increase. When used in standalone mode, and not connected to any types of networks, handheld devices have no vulnerability at all to direct attacks.
1. General part
- 1.1. Statement of purpose
- 1.2. Scope
- 1.3. Roles & responsibilities
- Should the employees be kept responsible for their handheld?
- Should private handheld devices access corporate networks and resources?
- Unauthorized actions, such as violating the policies and their consequences.
- Should the employees be kept responsible for their handheld?
- 1.4. User awareness training
- Employees should sign the security policy.
- Employees should get trained in order to properly use both the device and the available services.
- 1.5. Policy enforcement
- Live inventory of connected devices.
- Monitoring devices configuration and be able to modify it according to policies.
- Authorized / Unauthorized services.
- Access to corporate resources according to internal data classification.
- Live inventory of connected devices.
2. Physical security
- Ownership information should be provided, if someone tries to return the lost device back.
- Procedure in case of lost device.
- Call the IT department or helpdesk, possibly to a dedicated number.
- Call the IT department or helpdesk, possibly to a dedicated number.
- Passwords policy.
- Device lockout.
- SIM card pin (reduce risk of sim cloning and issues when sim is stolen).
- Remote device management capabilities: block and/or wipe data on device.
- Firmware updating and patching.
- Device’s operating system hardening.
- Patches & updates.
- Removing unneeded services and applications.
- FTP.
- Internet file-sharing.
- Certificates management.
4. Applications security
- Authorized applications to be installed
- Prohibit installation of unsigned applications.
- Possibly allow installation of third-party signed applications.
- Allow installation of enterprise / operator signed applications.
- Antivirus policy.
- Firewall policy.
- Email policy
- Email signatures.
- Email encryption.
5. Data security & Access to corporate networks
- Information classification policy and its application to handheld devices
- Define what documents are allowed to be stored on the device
- Data storage
- Enabling / Disabling data encryption on device
- Enabling / Disabling data encryption on MMC (MultiMedia Card)
- Data backup
- Backup frequency
- Backup according to access method
- Access to corporate networks
- Allow / Refuse access to corporate networks through WLAN
- Allow access to corporate networks only using sync software
6. Bluetooth security
- Enabling / disabling Bluetooth support
- Enabling / disabling Bluetooth dial-up modem support?
- Enabling / disabling Bluetooth beam support
- Bluetooth version control
- Enabling / disabling auto-discovery function
- Possibly using a timer?
- Possibly using a password?
- Enforcing pairing
- Possibly with strong key / passphrase
- Enabling / Disabling Bluetooth traffic encryption?
- Definition of unauthorized use of Bluetooth services
- Securing OTA communications
- Push Proxy gateway filtering
- Push messages authentication
- Service Indication / Service loading policies
- Antivirus policy
- Desktop PC antivirus up-to-date (engine and virus definitions)
- Handheld antivirus up-to-date (engine and virus definitions)
- Run an antivirus scan before connecting to desktop PC
- Disable WLAN support while connected to desktop PC
References
Mobile Device Management (Wikipedia)
Cleaning your personal computer
Here is a list of applications I use frequently to scan and remove infections:
HijackThis:
This tool scans running processes, registry keys, browser helper objects (BHOs) and other stuff. You can supply your log file to the website where it can be analyzed, providing user ratings on known applications.
http://www.hijackthis.de
SmitFraudFix:
This tool removes Desktop Hijack malware.
Spybot - Search & Destroy:
Detects and removes spyware, a kind of threat not yet covered by common anti-virus applications.
http://www.safer-networking.org/
HijackThis:
This tool scans running processes, registry keys, browser helper objects (BHOs) and other stuff. You can supply your log file to the website where it can be analyzed, providing user ratings on known applications.
http://www.hijackthis.de
SmitFraudFix:
This tool removes Desktop Hijack malware.
Spybot - Search & Destroy:
Detects and removes spyware, a kind of threat not yet covered by common anti-virus applications.
http://www.safer-networking.org/
Comodo Personal Firewall
I was looking for a good firewall for Windows computers, with a granularity up to iptable rules under Linux. I formerly used protect my computers with Sygate personal firewall. But since Sygate has been acquired by Symantec, they do not provide free personal firewall anymore.
The result of the acquisition of Sygate by Symantec is this shitty Norton Internet Security, the most intrusive software I ever used.
And then, it was there: Comodo Personal Firewall
This tool is FREE, and is far more powerful than Sygate used to.
Main features (from the Web site and modified):
My advice:
- Install it if you are an experimented user
- Take time to setup options
- Disable unneeded services: Submitting suspicious to Comodo servers (privacy purposes!)
The result of the acquisition of Sygate by Symantec is this shitty Norton Internet Security, the most intrusive software I ever used.
And then, it was there: Comodo Personal Firewall
This tool is FREE, and is far more powerful than Sygate used to.
Main features (from the Web site and modified):
- Constantly monitors and defends PCs from internet attacks
- Gain complete control over which programs are allowed internet access
- Applications monitoring: exe, libraries, dependencies
- Easy port mapping
- Host Intrusion Prevention System can stop malware ever being installed
- Automatic online updates Service
- Real time traffic monitoring enables to react instantly to threats and identify bandwidth bottlenecks.
- Easy to use interface and quick setup
- No license fee - complete protection at no cost for networks and home users
My advice:
- Install it if you are an experimented user
- Take time to setup options
- Disable unneeded services: Submitting suspicious to Comodo servers (privacy purposes!)
Subscribe to:
Posts (Atom)
