CVE : accélérez la remédiation des vulnérabilités pour sécuriser vos systèmes

Transcript

1. CVE : Accélérez la remédiation des vulnérabilités pour sécuriser vos

   systèmes Webinaire du 09 juillet 2020 CONTINUOUS AUDITING & CONFIGURATION Clément COUVREUR Sales Engineer [email protected] Clément COUVREUR Sales Engineer [email protected] Alexandre BRIANCEAU CEO [email protected]

2. Introduction Les vulnérabilités affectent toutes les entreprises. Quelques chiffres :

   ▪ 138 000+ vulnérabilités CVE répertoriées ▪ 12 174 nouvelles vulnérabilités CVE rien qu’en 2019 Quelle est la différence entre une vulnérabilité et une CVE ? - page 2 ▪ Vulnérabilité : anomalie qualifiée en tant que faille ▪ CVE (Common Vulnerabilities and Exposures) : dictionnaire des informations publiques relatives aux vulnérabilités de sécurité Source: https://cve.mitre.org

3. Processus de gestion des vulnérabilités 1. Collecte et centralisation des

   vulnérabilités 2. Inventaire et détection des vulnérabilités - page 3 Le saviez-vous ? Au delà des bonnes pratiques, ces processus sont obligatoires pour certaines normes (SecNumCloud, PCI-DSS, ISO27001, etc.). 3. Gestion et priorisation des vulnérabilités 4. Remédiation opérationnelle des vulnérabilités

4. Gestion des vulnérabilités Deux challenges majeurs : - page 4

   ▪ La détection des vulnérabilités - Nécessite beaucoup de temps dédié - Difficulté de suivi - Priorisation complexe ▪ La remédiation des vulnérabilités - Manque de stratégie de remédiation et mise à jour - Catégorisation des remédiations difficiles - Suivi et pilotage de la remédiation En 2020, un fournisseur de service remédie complètement à une vulnérabilité au bout de 85 jours en moyenne. Source: Verizon Data Breach Investigations Report 2020

5. Vulnérabilités : Se connaître soi-même avant de connaître les autres

6. Collecter les vulnérabilités Plusieurs sources de vulnérabilités : ▪ Externes

   - CVEs depuis le MITRE/NVD/CERT - Editeurs / fournisseurs - Des outils de centralisations de vulnérabilités - Auditeurs externes ▪ Internes - Redteam - Analyse de risques - Outils d’analyse et de compliance interne - page 6 Optimiser la collecte : avoir le soutien du management, centraliser les informations, et automatiser ! Tips: Toutes les vulnérabilités ne sont pas des CVEs !

7. Inventaire et contexte Tous les systèmes sont importants, il suffit

   d’un système non sécurisé pour que tout le SI soit vulnérable. 99%, c’est 0% (parfois) - page 7 Un inventaire utile, à l’ère du Cloud et des Conteneurs, est : • Complet (toutes plateformes, tous systèmes) • En temps réel • Détaillé (inventaire, architecture, configurations…) La clé d’une bonne détection des vulnérabilités, c’est de connaître en temps réel l’ensemble de son système d’information. Et vu nos SI aujourd’hui, il faut automatiser...

8. Gestion et priorisation des vulnérabilités En moyenne, environ 1000 CVEs

   sont publiées par mois (en 2019). “Impossible de gérer et remédier à toutes les vulnérabilités !” - page 8 Et surtout, il faut… automatiser ! Quelques clés : ▪ Gérer ses vulnérabilités, c’est remédier ou accepter le risque ▪ Communiquer, tracer et historiser les décisions ▪ Prioriser : par CVSS, par impact, par SLA, disponibilité des équipes...

9. La remédiation, parent pauvre de la gestion des vulnérabilités

10. Remédiation d’une vulnérabilité Rappel, pour remédier à une vulnérabilité, on

    peut : - page 10 Mettre à jour les applications vulnérables ▪ En urgence via une campagne de patching ▪ Sur un long terme via du patch management Corriger la vulnérabilité ▪ Modification d’une configuration (changement de port, hardening du service…) Contourner la vulnérabilité ▪ Sécurisation de l’architecture (par un firewall, un WAF, séparation du réseau…) ▪ Arrêt du service

11. Réalité d’une production informatique - page 11 Dans la réalité,

    un système en production c’est : ▪ Des processus de mise en production existants ▪ Des engagements de niveaux de services (SLA) ▪ Une relative disponibilité des équipes opérationnelles ▪ Des contraintes applicatives (incompatibilités) ▪ Souvent différent du système voisin... ▪ Certains patchs indisponibles ou disponibles trop tardivement ▪ Des régressions, retardant d’autant plus la remédiation ▪ Un système sur-sollicité par les équipes (dev, ops, sec…)

12. Remédiation en production La remédiation d’une vulnérabilité sur un système

    en production doit être effectuée par l’équipe responsable du système : ▪ Elle connaît les contraintes du système ▪ Elle connaît les opérations de maintenances du système ▪ Elle reconnaîtra rapidement une anomalie - page 12 Les équipes de production possèdent bien souvent leur propres outils de gestion d’infrastructure système, adaptés aux processus et aux contraintes de production : ▪ Déploiement et orchestration ▪ Gestion des configurations et patch management ▪ Supervision et vérification de bon fonctionnement Il est donc recommandé de remédier aux vulnérabilités grâce aux outils de gestion de production et via l’automatisation.

13. Sortir du mode pompier - page 13 Automatiser et remédier

    en continu est donc la clé de voûte d’une bonne gestion des vulnérabilités ! => Culture SecOps et DevSecOps

14. Patch management Un logiciel n’est pas parfait. Il s’améliore avec

    le temps, petit à petit, et c’est tout l’intérêt des mises à jours. - page 14 Le Patch Management (gestion des correctifs) est donc indispensable pour le maintien d’une infrastructure stable, performante et sécurisée. ▪ Le Patch Management est définie à travers une stratégie. ▪ Objectif : maintenir les applications et systèmes à jour régulièrement dans un processus acceptable / réaliste pour l’ équipe de production. ▪ S'établit conjointement entre les équipes opérationnelles et les équipes de sécurité

15. Exemple d’usage du patch management pour une remédiation Stratégie de

    patch management : ▪ Mise à jour mensuels des systèmes en production ▪ Lancée chaque 2ème mardi de chaque mois ▪ S’étale sur 2 semaines - page 15 Remédiation d’une vulnérabilité découverte mi-juin ▪ Vulnérabilité CVE-2020-11501 de CVSS 7,4 sur GnuTLS ▪ L’équipe sécurité demande la correction d’ici 1 mois en DMZ et 3 mois sur le reste du système d’information ▪ En DMZ, nécessaire de patcher immédiatement ▪ Pour le reste du SI, sera intégré le mois prochain QUALIFICATION DEVELOPPEMENT PRODUCTION T0: serveurs de tests T1: serveurs de développement T2: serveurs de qualification restant T3: moitié des clusters en production T4: moitié des clusters en production

16. Et si ce n’est pas une CVE ou remédiable par

    mise à jour ? Remédiations par : ▪ Action unitaire (changement de zone réseau d’un équipement par exemple) via un outil de déploiement ou d’orchestration ▪ Modification d’une baseline (sécurisation du protocole SSH par exemple) via la gestion des configurations - page 16 Intérêt de sécuriser préventivement : ▪ Définition et application d’une baseline sécurisée ▪ Hardening des systèmes (sur la base de CIS par exemple) ▪ Appliquer et suivre l’application d’une politique de sécurité

17. - page 17 17 SINCE 2010

18. - page 18 Détection et remédiation des vulnérabilités dans RUDDER

19. Usages et bénéfices de RUDDER - page 19 IT Automation

    IT Security & Compliance Scalabilité et déploiements systèmes Continuité et réduction des anomalies en production Patch management et contrôle des mises en production Configuration graphique et rapports en continu Inventaire matériel et logiciel Hardening et sécurisation des systèmes Audit et remédiation des vulnérabilités Contrôle de la conformité aux normes de sécurité

20. Merci ! Des questions ? CONTINUOUS AUDITING & CONFIGURATION Clément

    COUVREUR Sales Engineer [email protected] Alexandre BRIANCEAU CEO [email protected]