Upgrade to Pro — share decks privately, control downloads, hide ads and more …

CVE : accélérez la remédiation des vulnérabilités pour sécuriser vos systèmes

CVE : accélérez la remédiation des vulnérabilités pour sécuriser vos systèmes

🎥 https://cdn.ireland.production.livestorm.io/uploads/media/file/11f89895-4d5d-4331-8f22-cc5fea53f724/4a1ea187-895c-4c6d-a8cb-b9be6b853821.mp4?v=1594289702
🧑 Alexandre Brianceau
📅 Webinar du 9 juillet 2020

La gestion des vulnérabilités et leur remédiation sont des enjeux capitaux pour les entreprises.

De nombreux axes de détection et de priorisation de vulnérabilités sont proposés aujourd’hui. Mais on parle encore trop peu de la remédiation de ces failles, car il s’agit d’une étape longue et souvent manuelle. Pire encore, elle est souvent inadaptée au cycle de vie de la production informatique.

Pour nous, la remédiation est l’étape centrale du processus de gestion des vulnérabilités, car elle permet de garantir et de maintenir son infrastructure sécurisée dans le temps.

Fort de notre expérience d’automatisation de systèmes et de productions, nous vous proposons de découvrir notre approche pour être efficace sur l’ensemble du processus de gestion des vulnérabilités, et notamment sur la remédiation.

7d9785e3bdceb2d9e86dabcfb77b1686?s=128

Rudder

July 09, 2020
Tweet

Transcript

  1. CVE : Accélérez la remédiation des vulnérabilités pour sécuriser vos

    systèmes Webinaire du 09 juillet 2020 CONTINUOUS AUDITING & CONFIGURATION Clément COUVREUR Sales Engineer clement.couvreur@rudder.io Clément COUVREUR Sales Engineer clement.couvreur@rudder.io Alexandre BRIANCEAU CEO alexandre.brianceau@rudder.io
  2. Introduction Les vulnérabilités affectent toutes les entreprises. Quelques chiffres :

    ▪ 138 000+ vulnérabilités CVE répertoriées ▪ 12 174 nouvelles vulnérabilités CVE rien qu’en 2019 Quelle est la différence entre une vulnérabilité et une CVE ? - page 2 ▪ Vulnérabilité : anomalie qualifiée en tant que faille ▪ CVE (Common Vulnerabilities and Exposures) : dictionnaire des informations publiques relatives aux vulnérabilités de sécurité Source: https://cve.mitre.org
  3. Processus de gestion des vulnérabilités 1. Collecte et centralisation des

    vulnérabilités 2. Inventaire et détection des vulnérabilités - page 3 Le saviez-vous ? Au delà des bonnes pratiques, ces processus sont obligatoires pour certaines normes (SecNumCloud, PCI-DSS, ISO27001, etc.). 3. Gestion et priorisation des vulnérabilités 4. Remédiation opérationnelle des vulnérabilités
  4. Gestion des vulnérabilités Deux challenges majeurs : - page 4

    ▪ La détection des vulnérabilités - Nécessite beaucoup de temps dédié - Difficulté de suivi - Priorisation complexe ▪ La remédiation des vulnérabilités - Manque de stratégie de remédiation et mise à jour - Catégorisation des remédiations difficiles - Suivi et pilotage de la remédiation En 2020, un fournisseur de service remédie complètement à une vulnérabilité au bout de 85 jours en moyenne. Source: Verizon Data Breach Investigations Report 2020
  5. Vulnérabilités : Se connaître soi-même avant de connaître les autres

  6. Collecter les vulnérabilités Plusieurs sources de vulnérabilités : ▪ Externes

    - CVEs depuis le MITRE/NVD/CERT - Editeurs / fournisseurs - Des outils de centralisations de vulnérabilités - Auditeurs externes ▪ Internes - Redteam - Analyse de risques - Outils d’analyse et de compliance interne - page 6 Optimiser la collecte : avoir le soutien du management, centraliser les informations, et automatiser ! Tips: Toutes les vulnérabilités ne sont pas des CVEs !
  7. Inventaire et contexte Tous les systèmes sont importants, il suffit

    d’un système non sécurisé pour que tout le SI soit vulnérable. 99%, c’est 0% (parfois) - page 7 Un inventaire utile, à l’ère du Cloud et des Conteneurs, est : • Complet (toutes plateformes, tous systèmes) • En temps réel • Détaillé (inventaire, architecture, configurations…) La clé d’une bonne détection des vulnérabilités, c’est de connaître en temps réel l’ensemble de son système d’information. Et vu nos SI aujourd’hui, il faut automatiser...
  8. Gestion et priorisation des vulnérabilités En moyenne, environ 1000 CVEs

    sont publiées par mois (en 2019). “Impossible de gérer et remédier à toutes les vulnérabilités !” - page 8 Et surtout, il faut… automatiser ! Quelques clés : ▪ Gérer ses vulnérabilités, c’est remédier ou accepter le risque ▪ Communiquer, tracer et historiser les décisions ▪ Prioriser : par CVSS, par impact, par SLA, disponibilité des équipes...
  9. La remédiation, parent pauvre de la gestion des vulnérabilités

  10. Remédiation d’une vulnérabilité Rappel, pour remédier à une vulnérabilité, on

    peut : - page 10 Mettre à jour les applications vulnérables ▪ En urgence via une campagne de patching ▪ Sur un long terme via du patch management Corriger la vulnérabilité ▪ Modification d’une configuration (changement de port, hardening du service…) Contourner la vulnérabilité ▪ Sécurisation de l’architecture (par un firewall, un WAF, séparation du réseau…) ▪ Arrêt du service
  11. Réalité d’une production informatique - page 11 Dans la réalité,

    un système en production c’est : ▪ Des processus de mise en production existants ▪ Des engagements de niveaux de services (SLA) ▪ Une relative disponibilité des équipes opérationnelles ▪ Des contraintes applicatives (incompatibilités) ▪ Souvent différent du système voisin... ▪ Certains patchs indisponibles ou disponibles trop tardivement ▪ Des régressions, retardant d’autant plus la remédiation ▪ Un système sur-sollicité par les équipes (dev, ops, sec…)
  12. Remédiation en production La remédiation d’une vulnérabilité sur un système

    en production doit être effectuée par l’équipe responsable du système : ▪ Elle connaît les contraintes du système ▪ Elle connaît les opérations de maintenances du système ▪ Elle reconnaîtra rapidement une anomalie - page 12 Les équipes de production possèdent bien souvent leur propres outils de gestion d’infrastructure système, adaptés aux processus et aux contraintes de production : ▪ Déploiement et orchestration ▪ Gestion des configurations et patch management ▪ Supervision et vérification de bon fonctionnement Il est donc recommandé de remédier aux vulnérabilités grâce aux outils de gestion de production et via l’automatisation.
  13. Sortir du mode pompier - page 13 Automatiser et remédier

    en continu est donc la clé de voûte d’une bonne gestion des vulnérabilités ! => Culture SecOps et DevSecOps
  14. Patch management Un logiciel n’est pas parfait. Il s’améliore avec

    le temps, petit à petit, et c’est tout l’intérêt des mises à jours. - page 14 Le Patch Management (gestion des correctifs) est donc indispensable pour le maintien d’une infrastructure stable, performante et sécurisée. ▪ Le Patch Management est définie à travers une stratégie. ▪ Objectif : maintenir les applications et systèmes à jour régulièrement dans un processus acceptable / réaliste pour l’ équipe de production. ▪ S'établit conjointement entre les équipes opérationnelles et les équipes de sécurité
  15. Exemple d’usage du patch management pour une remédiation Stratégie de

    patch management : ▪ Mise à jour mensuels des systèmes en production ▪ Lancée chaque 2ème mardi de chaque mois ▪ S’étale sur 2 semaines - page 15 Remédiation d’une vulnérabilité découverte mi-juin ▪ Vulnérabilité CVE-2020-11501 de CVSS 7,4 sur GnuTLS ▪ L’équipe sécurité demande la correction d’ici 1 mois en DMZ et 3 mois sur le reste du système d’information ▪ En DMZ, nécessaire de patcher immédiatement ▪ Pour le reste du SI, sera intégré le mois prochain QUALIFICATION DEVELOPPEMENT PRODUCTION T0: serveurs de tests T1: serveurs de développement T2: serveurs de qualification restant T3: moitié des clusters en production T4: moitié des clusters en production
  16. Et si ce n’est pas une CVE ou remédiable par

    mise à jour ? Remédiations par : ▪ Action unitaire (changement de zone réseau d’un équipement par exemple) via un outil de déploiement ou d’orchestration ▪ Modification d’une baseline (sécurisation du protocole SSH par exemple) via la gestion des configurations - page 16 Intérêt de sécuriser préventivement : ▪ Définition et application d’une baseline sécurisée ▪ Hardening des systèmes (sur la base de CIS par exemple) ▪ Appliquer et suivre l’application d’une politique de sécurité
  17. - page 17 17 SINCE 2010

  18. - page 18 Détection et remédiation des vulnérabilités dans RUDDER

  19. Usages et bénéfices de RUDDER - page 19 IT Automation

    IT Security & Compliance Scalabilité et déploiements systèmes Continuité et réduction des anomalies en production Patch management et contrôle des mises en production Configuration graphique et rapports en continu Inventaire matériel et logiciel Hardening et sécurisation des systèmes Audit et remédiation des vulnérabilités Contrôle de la conformité aux normes de sécurité
  20. Merci ! Des questions ? CONTINUOUS AUDITING & CONFIGURATION Clément

    COUVREUR Sales Engineer clement.couvreur@rudder.io Alexandre BRIANCEAU CEO alexandre.brianceau@rudder.io