CVE : accélérez la remédiation des vulnérabilités pour sécuriser vos systèmes

Transcript

1. CVE : Accélérez la remédiation
   des vulnérabilités pour
   sécuriser vos systèmes
   Webinaire du 09 juillet 2020
   CONTINUOUS AUDITING &
   CONFIGURATION
   Clément COUVREUR
   Sales Engineer
   [email protected]
   Clément COUVREUR
   Sales Engineer
   [email protected]
   Alexandre BRIANCEAU
   CEO
   [email protected]
   

   View Slide

2. Introduction
   Les vulnérabilités affectent toutes les entreprises.
   Quelques chiffres :
   ▪ 138 000+ vulnérabilités CVE répertoriées
   ▪ 12 174 nouvelles vulnérabilités CVE rien qu’en 2019
   Quelle est la différence entre une vulnérabilité et une CVE ?
   - page 2
   ▪ Vulnérabilité : anomalie qualifiée en tant que faille
   ▪ CVE (Common Vulnerabilities and Exposures) :
   dictionnaire des informations publiques relatives aux
   vulnérabilités de sécurité
   Source: https://cve.mitre.org
   

   View Slide

3. Processus de
   gestion des
   vulnérabilités
   1. Collecte et centralisation des vulnérabilités
   2. Inventaire et détection des vulnérabilités
   - page 3
   Le saviez-vous ?
   Au delà des bonnes pratiques, ces
   processus sont obligatoires pour
   certaines normes (SecNumCloud,
   PCI-DSS, ISO27001, etc.).
   3. Gestion et priorisation des vulnérabilités
   4. Remédiation opérationnelle des vulnérabilités
   

   View Slide

4. Gestion des
   vulnérabilités
   Deux challenges majeurs :
   - page 4
   ▪ La détection des vulnérabilités
   - Nécessite beaucoup de temps dédié
   - Difficulté de suivi
   - Priorisation complexe
   ▪ La remédiation des vulnérabilités
   - Manque de stratégie de remédiation et mise à jour
   - Catégorisation des remédiations difficiles
   - Suivi et pilotage de la remédiation
   En 2020, un fournisseur de service remédie complètement à
   une vulnérabilité au bout de 85 jours en moyenne.
   Source: Verizon Data Breach Investigations Report 2020
   

   View Slide

5. Vulnérabilités : Se connaître
   soi-même avant de
   connaître les autres
   

   View Slide

6. Collecter les
   vulnérabilités
   Plusieurs sources de vulnérabilités :
   ▪ Externes
   - CVEs depuis le MITRE/NVD/CERT
   - Editeurs / fournisseurs
   - Des outils de centralisations de vulnérabilités
   - Auditeurs externes
   ▪ Internes
   - Redteam
   - Analyse de risques
   - Outils d’analyse et de compliance interne
   - page 6
   Optimiser la collecte : avoir le soutien du management, centraliser
   les informations, et automatiser !
   Tips: Toutes les vulnérabilités ne sont pas des CVEs !
   

   View Slide

7. Inventaire et
   contexte
   Tous les systèmes sont importants, il suffit d’un système non
   sécurisé pour que tout le SI soit vulnérable.
   99%, c’est 0% (parfois)
   - page 7
   Un inventaire utile, à l’ère du Cloud et des Conteneurs, est :
   ● Complet (toutes plateformes, tous systèmes)
   ● En temps réel
   ● Détaillé (inventaire, architecture, configurations…)
   La clé d’une bonne détection des vulnérabilités,
   c’est de connaître en temps réel l’ensemble de
   son système d’information.
   Et vu nos SI aujourd’hui, il faut automatiser...
   

   View Slide

8. Gestion et
   priorisation des
   vulnérabilités
   En moyenne, environ 1000 CVEs sont publiées par mois (en 2019).
   “Impossible de gérer et remédier à toutes les vulnérabilités !”
   - page 8
   Et surtout, il faut… automatiser !
   Quelques clés :
   ▪ Gérer ses vulnérabilités, c’est remédier ou accepter le risque
   ▪ Communiquer, tracer et historiser les décisions
   ▪ Prioriser : par CVSS, par impact, par SLA, disponibilité des
   équipes...
   

   View Slide

9. La remédiation, parent
   pauvre de la gestion des
   vulnérabilités
   

   View Slide

10. Remédiation d’une
    vulnérabilité
    Rappel, pour remédier à une vulnérabilité, on peut :
    - page 10
    Mettre à jour les applications vulnérables
    ▪ En urgence via une campagne de patching
    ▪ Sur un long terme via du patch management
    Corriger la vulnérabilité
    ▪ Modification d’une configuration (changement de port, hardening du service…)
    Contourner la vulnérabilité
    ▪ Sécurisation de l’architecture (par un firewall, un WAF, séparation du réseau…)
    ▪ Arrêt du service
    

    View Slide

11. Réalité d’une
    production
    informatique
    - page 11
    Dans la réalité, un système en production c’est :
    ▪ Des processus de mise en production existants
    ▪ Des engagements de niveaux de services (SLA)
    ▪ Une relative disponibilité des équipes opérationnelles
    ▪ Des contraintes applicatives (incompatibilités)
    ▪ Souvent différent du système voisin...
    ▪ Certains patchs indisponibles
    ou disponibles trop tardivement
    ▪ Des régressions, retardant
    d’autant plus la remédiation
    ▪ Un système sur-sollicité par les équipes
    (dev, ops, sec…)
    

    View Slide

12. Remédiation en
    production
    La remédiation d’une vulnérabilité sur un système en production
    doit être effectuée par l’équipe responsable du système :
    ▪ Elle connaît les contraintes du système
    ▪ Elle connaît les opérations de maintenances du système
    ▪ Elle reconnaîtra rapidement une anomalie
    - page 12
    Les équipes de production possèdent bien souvent leur propres
    outils de gestion d’infrastructure système, adaptés aux
    processus et aux contraintes de production :
    ▪ Déploiement et orchestration
    ▪ Gestion des configurations et patch management
    ▪ Supervision et vérification de bon fonctionnement
    Il est donc recommandé de remédier aux vulnérabilités grâce
    aux outils de gestion de production et via l’automatisation.
    

    View Slide

13. Sortir du mode pompier
    - page 13
    Automatiser et remédier en continu est donc la clé de
    voûte d’une bonne gestion des vulnérabilités !
    => Culture SecOps et DevSecOps
    

    View Slide

14. Patch management Un logiciel n’est pas parfait. Il s’améliore avec le temps, petit à petit,
    et c’est tout l’intérêt des mises à jours.
    - page 14
    Le Patch Management (gestion des correctifs) est donc indispensable
    pour le maintien d’une infrastructure stable, performante et sécurisée.
    ▪ Le Patch Management est définie à travers une stratégie.
    ▪ Objectif : maintenir les applications et systèmes à jour
    régulièrement dans un processus acceptable / réaliste pour l’
    équipe de production.
    ▪ S'établit conjointement entre les équipes opérationnelles et les
    équipes de sécurité
    

    View Slide

15. Exemple d’usage
    du patch
    management pour
    une remédiation
    Stratégie de patch management :
    ▪ Mise à jour mensuels des systèmes en production
    ▪ Lancée chaque 2ème mardi de chaque mois
    ▪ S’étale sur 2 semaines
    - page 15
    Remédiation d’une vulnérabilité découverte mi-juin
    ▪ Vulnérabilité CVE-2020-11501 de CVSS 7,4 sur GnuTLS
    ▪ L’équipe sécurité demande la correction d’ici 1 mois en DMZ et
    3 mois sur le reste du système d’information
    ▪ En DMZ, nécessaire de patcher immédiatement
    ▪ Pour le reste du SI, sera intégré le mois prochain
    QUALIFICATION
    DEVELOPPEMENT PRODUCTION
    T0: serveurs de tests
    T1: serveurs de développement
    T2: serveurs de qualification restant
    T3: moitié des clusters en production
    T4: moitié des clusters en production
    

    View Slide

16. Et si ce n’est pas
    une CVE ou
    remédiable par
    mise à jour ?
    Remédiations par :
    ▪ Action unitaire (changement de zone réseau d’un équipement
    par exemple) via un outil de déploiement ou d’orchestration
    ▪ Modification d’une baseline (sécurisation du protocole SSH
    par exemple) via la gestion des configurations
    - page 16
    Intérêt de sécuriser préventivement :
    ▪ Définition et application d’une
    baseline sécurisée
    ▪ Hardening des systèmes (sur la base
    de CIS par exemple)
    ▪ Appliquer et suivre l’application d’une
    politique de sécurité
    

    View Slide

17. - page 17 17
    SINCE
    2010
    

    View Slide

18. - page 18
    Détection et remédiation des vulnérabilités dans RUDDER
    

    View Slide

19. Usages et
    bénéfices de
    RUDDER
    - page 19
    IT Automation
    IT Security & Compliance
    Scalabilité et déploiements systèmes
    Continuité et réduction des anomalies en production
    Patch management et contrôle des mises en production
    Configuration graphique et rapports en continu
    Inventaire matériel et logiciel
    Hardening et sécurisation des systèmes
    Audit et remédiation des vulnérabilités
    Contrôle de la conformité aux normes de sécurité
    

    View Slide

20. Merci !
    Des questions ?
    CONTINUOUS AUDITING &
    CONFIGURATION
    Clément COUVREUR
    Sales Engineer
    [email protected]
    Alexandre BRIANCEAU
    CEO
    [email protected]
    

    View Slide