4. C’est quoi une vulnérabilité ?
De manière générale
Dans le cas des SI
Pourquoi les gérer ?
Réduire l’exposition
Volume
( depuis 2017 en moyenne 16000 vulnérabilités/an )
INTRODUCTION
https://www.cvedetails.com/browse-by-date.php
5. Couche de vulnerabilités
Physique
Réseaux & Systèmes
Applications & data
Personnes & procédures
Management des Vulnérabilités
6. Management des Vulnérabilités
Le processus (VMP)
Le management des vulnérabilités est la pratique cyclique
d'identification, de classification, de correction et
d'atténuation des vulnérabilités
7. Organisation de l’ activité
Management des Vulnérabilités
Les personnes Les outils
Les procedures
Constitution d’une équipe
Définition des rôles et responsabilités
Mise en place des procédures de gestion
Formation à leurs usage
Déploiement et
configuration des outils
destinés à supporter
l’application des
procédures de gestion.
8. Organisation de l’ activité
Management des Vulnérabilités
Les personnes
Constitution d’une équipe
Définition des rôles et responsabilités
CTO / Directeur Technique
Resp des vulnérabilités découvertes
CISO / RSSI –
Resp du process de management des vulnérabilité (plan,
design, vérifie …)
Security Engineer/ Ing Sécurité
Resp du fonctionnement de l’outils de détections et des
corrections en coop avec les autres équipes Tech
Security analyst/ analyste sécurité
Resp du monitoring 24h/24 de la sécurité et de la réponse
aux incidents
9. Organisation de l’ activité
Management des Vulnérabilités
Les procedures
Eléments clés de la gestion des
vulnérabilités: DARC
• Detect
• Assess
• Remediate
• Confirm
10. Eléments à prendre en compte :
Pour les scans engine
Niveau d’accès
Unauthenticated scan
Authenticated scan
Vulnérabilités à vérifier
Safe
Not safe (NO FOR PROD)
Timing
Quand & Comment (éviter d ’avoir un impact négatif sur l’activité métier)
Management des Vulnérabilités
11. Suivi des vulnérabilités
Prioriser
Responsabiliser
Date limite
Date de Résolution
Status
Ces éléments traqués peuvent servir de métrique pour
mesurer la performance (KPI)
Eléments à prendre en compte :
Management des Vulnérabilités
12. Reporting
Rapport exécutif
Utiliser pour communiquer sur les vulnérabilités. Il est digeste
Rapport Technique
Utiliser par la technique pour corriger les vulnérabilité. Il est détaillé
Eléments à prendre en compte :
Management des Vulnérabilités
13. Patch & config management
Mise à jour automatique
Avantages : Rapidité, efficacité, réactivité
Inconvénients: Contrôle limité, maj non testées
Platform
SCCM
IBM Bigfix
Action1
Chocolatey
ManageEngine
PDQDeploy
…
Eléments à prendre en compte :
Management des Vulnérabilités
14. Organisation de l’ activité
Management des Vulnérabilités
Outils de Detection des vulnerabilités
Qualys
Nexpose de Rapid7
Nessus de Tenable
Greenbone OpenVAS (opensource)
…
15. Objectif
Uniformiser le langage autour de l’activité et créer une
base commune des échanges d'outil de mesure des
outils de sécurité et de référence
Common standards
16. Common standards
Platform 02
Impact 01
CVSS
CAPEC
09
Impact 02
Config
Platform 01
CPE
CCE
Attack
Vulnerability 01
Vulnerability 02
CVE
CWE
Config
Weakness
https://cwe.mitre.org/
CWE : Common Weakness Enumeration.
Provide a structured list of clearly defined
software and hardware weaknesses. A weakness
isn’t a vulnerability by all means; however,
weaknesses may result in vulnerabilities. Unlike
CVE identifiers, CWE entries are fixed.
CAPEC: Common Attack Pattern Enumeration and
Classification.
Define typical attack patterns of attackers, Related
CWE entries, Potential mitigation
For example, CAPEC-245 describes an XSS attack using
doubled characters. The related software weakness is
“CWE-85: Doubled Character XSS Manipulations.”
http://capec.mitre.org
03
17. Common standards
CVE: Common Vulnerability and exposures
Attribute unique identifiers for vulnerabilities,
Platform 02
Impact 01
CVSS
CAPEC
Impact 02
Config
Platform 01
CPE
CCE
Attack
Vulnerability 01
Vulnerability 02
CVE
CWE
Config
Weakness
CPE : Common platform enumeration.
It’s a structured naming scheme for IT systems, Platforms
and packages.
An example is the following name representing Microsoft
Internet Explorer 8.0.6001 Beta:
cpe:/a:microsoft:internet_explorer:8.0.6001:beta
https://cpe.mitre.org/specification/
CVSS : CommonVulnerability Scoring System
Rate severity of vulnerabilities
18. Registre de Vulnérabilités
CVE (common vulnerability & exposure )
NVD (national vulnerability database – by NIST)
-> take CVE & add analysis (CPE, CWE, CVSS)
Avant CVE, les fabricants avaient leurs propre nomenclature. CVE vient harmoniser
le tout et fournie une source unique d’information, De nos jour c’est le standard
international par excellence.
CVE adresse uniquement (Network, system et Applications )
Common standards
19. SCAP
Config
Vulns
test
Checklist
impact
CVE : Common Vulnerability and exposures
OVAL : Open Vulnerability Assessment language (language
for security testing procedures)
XCCDF : Extensible Configuration Checklist Description
Platform
Testeur
XCCDF
CVE
CVSS
CPE
CCE
OVAL
Security Content Automation Protocol (SCAP)
SCAP
https://www.cvedetails.com/
SCAP (by NIST) Create a consistent language and format for
discussing security issue
- CVSS, CPE, CCE, CVE, CCCDF, OVAL
20. Common Vulnerability Scoring System Calculator (CVSS)
CVSS Metrics:
• Base (never change)
- Exploit code maturity
- Remediation level
- Report confidence
- Confidentiality requirements
- Integrity requirements
- Availability requirements
• Temporal (may change over time)
• Environnemental (Depend on business requirements)
27. Configuration des tâches
de détection ( scanning task)
• Cibles & ports
• Scans Authentifiés ou NON
• Format des rapports
LAB TIME
28. Configuration des tâches
de détection ( scanning task)
• Allez plus loin :
Configurez des scans taillés sur mesure
LAB TIME
29. Exécution de la détection ( scanning)
Analyse des résultats
LAB TIME
30. Prioriser les résultats
LAB TIME
• Remediation workflow
https://community.greenbone.net/t/integrated-remediation-workflow/1474
One Result per Ticket: A ticket is linked only to a single
results. However, for the same result, multiple tickets
could be created.
In order get email notification about Tickets, a user
creates Alerts with method “Email”. For the email alert
three events can be distinguished: “Ticket Received”,
“Assigned Ticket Changed” and “Owned Ticket
Changed”.
31. Prioriser les résultats
LAB TIME
• Ticketing
(results -> + -> create new ticket)
https://community.greenbone.net/t/integrated-remediation-workflow/1474
32. Vérifier
- Eliminer les faux-positif ( false positive)
- Comprendre les impactes
LAB TIME db_import file.XML
Hosts
Services IP_target
Vulns IP_target
Search cve:xxxx-xxxx
33. • Amélioration continue
• Planification & Alertes
• Compliance audits
• Comparer les scans (reports -> delta )
• Evaluer les indices de performances ( KPI )
• Leçon apprises et Documentation
LAB TIME
34. Amélioration continue
• Comparer les scans (reports -> delta )
• Evaluer les indices de performances ( KPI )
• Leçon apprises et Documentation
LAB TIME