La gestion des vulnérabilités par des simulations d'attaques Philippe Oechslin, Objectif Sécurité Eric Choffat, Serono Cette présentation est disponible sur inforum.biz
Introduction o Objectif Sécurité Audit Conseil Formation Laboratoire o Serono 450 serveurs 3000 desktops 26 octobre 2005 Philippe Oechslin, Objecitf Sécurité 2
La course au patchs o Il devient de plus en plus critique de corriger les vulnérabilités dès qu'elles sont connues: o Patch Tuesday 9 Aout 2005 Le 13 Aout le ver ZOTOB attaque CNN o Patch Tuesday 11 Octobre Des exploit pour MS05-051 circulent dès le 14 Octobre Un correctif pour le patch est publié le 15 Octobre Le patch peut empêcher un système de fonctionner 26 octobre 2005 Philippe Oechslin, Objecitf Sécurité 3
Patcher ne suffit pas o Certaines vulnérabilités sont connues avant qu'un patch n'existe o La vulnérabilité peut être due à une configuration ou une utilisation particulière o Il peut ne pas être possible de patcher à cause d'impératifs d'exploitation 26 octobre 2005 Philippe Oechslin, Objecitf Sécurité 4
Pas de gestion de vulnérabilité sans: o 1. Inventaire, topologie du réseau o 2. Connaissance de vulnérabilités et patches o 3. Business model (a quoi servent les machines) o 4. Analyse de la criticité des vulnérabilités 26 octobre 2005 Philippe Oechslin, Objecitf Sécurité 5
1. Inventaire o Machines, OS, niveau de patch o Configuration des routeurs et firewalls o Manuel: Inventaire à la main o Proactif: Processus de change management qui alimente un base de données Agent sur chaque machine qui vérifie le niveau de patch o Réactif: Scan régulier de vulnérabilité 26 octobre 2005 Philippe Oechslin, Objecitf Sécurité 6
Scanner ou Agent? o Scanner de vulnérabilité ISS, Nessus, FoundScan, Retina Découvre des machines non répertoriées Faux positifs Donne une vue extérieure du niveau de toutes les machines o Installation d'agents sur toutes les machines CA etrust, IBM Tivoli, MS-BSA Exact, peu de faux positifs Rapide Permet le déploiement automatique de patchs o L'un n'empêche pas l'autre! 26 octobre 2005 Philippe Oechslin, Objecitf Sécurité 7
2. Info vulnérabilités et patchs o Manuel: Lecture des mailing-lists et des informations des constructeurs (outsourcing possible) o Automatique Flux d'information de mise à jour des systèmes de scanners ou agents Corrélation automatique entre les infos et l'inventaire 26 octobre 2005 Philippe Oechslin, Objecitf Sécurité 8
3. Modèle des système d'information o Valeur des information o Valeur de la disponibilité o Cout de remise en état o Un système est souvent composé de plusieurs machines: front-end, back-end, base de données 26 octobre 2005 Philippe Oechslin, Objecitf Sécurité 9
4. Criticité des vulnérabilité o Selon type DOS, remote execution, data disclosure o Selon localisation DMZ, desktop, serveurs, firewall o Selon impact Permet d'attaquer les applications métier 26 octobre 2005 Philippe Oechslin, Objecitf Sécurité 10
Solutions types o CA etrust Vulnerability Manager: Inventaire par scanner réseau Agents déployés pour connaître l'état des patchs Analyse avec une appliance nourrie par un flux d'informations de CA Priorité d'après criticité des vulnérabilités Déploiement automatisé des patchs 26 octobre 2005 Philippe Oechslin, Objecitf Sécurité 11
Solutions types o Skybox View Inventaire: config firewalls + routeurs, scanners Vulnérabilités: Scanner ISS, Nessus, Retina Analyse à l'aide d'un flux d'informations de Skybox Criticité évaluée par simulation d'attaque sur le business model Système de ticketing pour déléguer les tâches 26 octobre 2005 Philippe Oechslin, Objecitf Sécurité 12
Simulations d'attaques o Un système expert construit à l'aide des vulnérabilités découvertes de la configuration des routeurs et firewalls du business model de l'entreprise o Des scénarios d'attaques possibles depuis l'internet ou le réseau interne vers vos systèmes critiques o Permet d'identifier le chemin critique et les actions les plus urgentes o Découvre les mauvaise configurations des firewalls o Permet des scénarios "what-if" 26 octobre 2005 Philippe Oechslin, Objecitf Sécurité 13
IT Department Key figures! 14
Motiviation: The security auditing funnel Automation Opportunity 15
The needs Accurately and efficiently pinpoint the risks in due time Reduce the window of exposure Affordable monitoring and review tools for ISO 17799 / BS 7799:2 compliance Intelligent mitigation system to provide the more efficient solution When the flaws cannot be corrected: Track the risks Process the case Register the defect 16
BASTION BASTION Skybox View ' Scope Broad Assessment of Security and Technology Infrastructure Operating on Network Chosen software (! "#$ % 450 servers! &$ 12 firewalls ) 16 routers & switches. "*+$% "-$% ",$% 17
BASTION Iterative approach 1. Business Model Identification of business Assets Interview of Business Account Managers (C-I-A) Configuration of assets 2. Network model Identification of routers and firewalls Creation of read-only accounts Configuration collection Network discovery (NMAP) Manual connections 3. Vulnerability Scan 4. Dictionary Update 5. Early Warning Analysis 6. Configuration Collection 7. False Positive reduction 8. Attack Simulation 9. Generate Reports (opt) 10. Generate Tickets 11. Handle tickets (Ticket Handling Process) 18
BASTION - Modeling & Attack Simulation 19
BASTION - Modeling & Attack Simulation Threats Internal External Program (worm) Human ( script kiddie ) Human (hacker) Patch THREAT Business impact in CIA Remediation planning & optimisation Patch Patch Attack scenarios link threats to potential business impacts Mitigation through scenarios BUSINESS IMPACT 20
Figures About 15.000 vulnerabilities reduced to : 3 directly exposed with high risk 30 indirect with high risk (2nd step attacks), 15 directly exposed with low risk Long term benefits : 1 hour per week for the Security Officer to manage vulnerabilities => time to validate new vulnerabilities and create tickets 1 month of personal work to conduct Business interviews and work on the model, define ticketing workflows, Less than one day response time on Bugs 21
Outcomes Impact Existing SOPs : Questionnaire added to SDLC process checkpoints to identify : Business critical applications Their sensibility to Confidentiality, Integrity and Availability loss The hosts implied in the Business application New SOP : Ticketing workflow with the following actors : Security officer System Administrators Application Administrators Business Owner No modifications to the infrastructure Minor modifications to firewall configurations and routers (allow scanning, update configuration) 22
Conclusions o Pas de bonne gestion des risques sans un bonne connaissance de son réseau et de ses applications o Les outils sophistiqués existent pour analyser les vulnérabilités et automatiser une grande partie du travail de l'équipe sécurité o La simulation d'attaque permet d'identifier clairement les vulnérabilités les plus critiques o C'est bien d'éliminer les vulnérabilités critiques, c'est mieux d'éliminer toutes les vulnérabilités! 26 octobre 2005 Philippe Oechslin, Objecitf Sécurité 23