De nos Labs à votre programme de gestion des vulnérabilités Flavien VIVIER Sales Engineering EMEA

1. Workshop ACSS 2018
De nos labs à votre programme de gestion
des vulnérabilités
Oran, Algérie – Le 4 avril 2018
Flavien Vivier
Sales Engineering EMEA

2. #whoami
• Security Sales Engineer EMEA, Rapid7
• +7 années d’expérience ingénieur et consultant
• Spécialités : Incident Detection & Response
• Intérêts++ : Offensive Security, Intelligence
Gathering, Social Engineering, Threat Modeling,
Vulnerability Analysis, Application Security Testing
• Et + : Conseil et bonnes pratiques sécurité, retour
d’expérience terrain
Flavien Vivier

3. L’équipe Rapid7
Guillaume MASSE
Regional Sales
Manager,
Europe Du Sud
M : +33 (0)6 28 09 80 93
E : gmasse@rapid7.com
Belkacem LARBI
CHERIF
Business Account
Executive, North &
West Africa
M : +33 6 80 89 88 86
E : dchemla@rapid7.com
Flavien VIVIER
Security Sales Engineer,
EMEA
O : +33 1 73 29 33 75
M : +33 6 18 74 09 98
E : fvivier@rapid7.com

4. 6,300 clients
120 pays
39% des Fortunes 1000
Fondé en
2000
Focus sur les
questions
critiques
Sécurité & IT
Expertise de
sécurité pour
vos experts en
sécurité
Nous investissons
dans la
recherche en
sécurité
Suis-je vulnerable ?
Suis-je compromise ?
Suis-je optimisé ?
Security Advisory Services
Incident Detection & Response
Penetration Testing
Vulnérabilités
Pratique IoT
Télémétrie Internet

5. Le paradoxe de l’innovation
Innovation
Risk

6. Menace = Capacité + Opportunité + Intention
Intention
OpportunitéCapacité
Menace
négligeable
Menace
imminente
Menace
Potentielle

7. Intro: un point… techniques *
1. Intelligence gathering ou recherche recueil de renseignements
2. Threat Modeling ou recherche de failles
3. Vulnerability Analysys ou comment passer à l’attaque
4. Exploitation ou le début de l’attaque
5. Post Exploitation ou le moment de gloire POSSIBLE
* PTES: h)p://www.pentest-standard.org/

8. Rapid7 Labs
Projet
Sonar
Heisenberg
Metasploit
Community
Threat
Intelligence
3rd Par=es
E1 E2
E3 E4

9. Rapid7 Labs
Projet
Sonar
Heisenberg
Metasploit
Community
Threat
Intelligence
3rd Parties
E1 E2
E3 E4

10. Transformer des téraoctets de
données en pouvoir de
décision
Cas d’étude : WannaCry

11. Episode 1 : Sonar pour mesurer l’exposition
• 1 million de machines
connectés expose SMB
sur le port 445
• 800 000 Windows
• 30% min sont estimées
vulnérables

12. Episode 1 : Sonar pour mesurer l’exposition
Essentiellement des•
Windows Serveur mais
également des desktops
Peut être quelques•
honeypots, mais quoiqu’il
en soit ça va faire mal !

13. Episode 2 : Heisenberg pour écouter l’impact
• WNCRY scan le port 445
pour trouver des cibles.
• On écoute donc les
connections entrantes
sur 445
• Pas que des tentatives
d’exploits, mais la
majorité du trafic
provient d’hôtes
compromis

14. Episode 2 : Heisenberg pour écouter l’impact
La grande majorité des•
IPs scannant le port 445
sont des nouvelles IPs
Soutient l’idée que ce•
sont des nouveaux
hôtes compromis

15. Episode 3 : vous avez dit exploitable ?
Microsoft
SMB Patch
Shadow Brokers
Release
WannaCry MSF
Eternalblue Exploit
NotPetya
Shadow Brokers
Release
¯(°_°)/¯
SMTP Traffic
SMB Traffic
Feb 01 Mar 01 Apr 01 May 01 Jun 01 Jun 30
Feb 01 Mar 01 Apr 01 May 01 Jun 01 Jun 30
0
1,000
0
3,000
6,000
9,000
12,000
3,000
4,000

16. Episode 4 : Contextualisation par la Threat Intelligence
Zero1. to Hero Started2. at the top, now we’re here
3. Come right back to you Start, stop4.

17. Episode 4 : Qui dit Threat Intelligence, dit « intelligente »
Mettre• en lumières tous les incidents afin d’y remédier au plus vite :
Analyser l’information ET ses liaisons
Comprendre comment les attaques se déroulent
• « Profiling » :
Connaître ce qui intéresserait un attaquant
Constat par rapport à ce qui est déjà arrivé auparavant et les tendances (Sonar ? Heisenberg ?)
Simuler des attaques (Metasploit !)
Corréler cela avec le contexte client pour comprendre comment mieux se protéger
Avoir une• vue d’ensemble et non passer d’alertes en alertes non contextualisées
On travaille pour de la• Threat Intelligence :
L’apprentissage s’apprend, ne s’achète pas (notion de communauté !)
Ce n’est pas une question de QUANTITÉ mais de QUALITÉ
Ce n’est pas une liste noire (blacklist)

18. Voir les choses du bon côté
• WannaCry & autres, ont
aider à la prise de
conscience et le nombre
de service SMB exposé
diminue fortement
• La réduction ne sera
mesurable entièrement
que dans l’édition 2018 du
NEI

19. Une amélioration entre les NEI 2016 et 2017
La plupart des pays•
ont amélioré leur
exposition sur Internet
Sauf la France!•

20. IoT
Besoin d’essence?

21. Savez-vous ce que c’est?

22. On a un peu poussé la notion de « monitoring »

23. Nombre de réservoirs par station?

24. Niveau des réserves en carburant, Aout 2017

25. De la responsabilité de la démarche

26. Et concrètement, ça donne quoi pour moi sur le terrain ?
• Gestion de vulnérabilités Rapid7 Nexpose / InsightVM
Featured by

27. Et concrètement, ça donne quoi pour moi sur le terrain ?
Gestion de vulnérabilités• Rapid7 Nexpose / InsightVM
Featured by

28. Et concrètement, ça donne quoi pour moi sur le terrain ?
Gestion de vulnérabilités• Rapid7 Nexpose / InsightVM
Featured by
Risk Score Rapid7 (échelle 0 à 1000) tenant compte :
Le score CVSS
L’âge de la vulnérabilité
Sa facilité d’exploitation
Le contexte client (criticité eqt)
Données Rapid7 Labs
Priorisa'on
Visibilité

29. Et concrètement, ça donne quoi pour moi sur le terrain ?
• Test d’intrusion Rapid7 Metasploit Pro
Featured by
Et si j’allais plus loin ?

30. Juin 2016 – Référentiel SSI Algérie
GESTION DES ACTIFS1.
Inventaire des actifs•
Propriétaire de l’actif•
Utilisation adéquate des actifs•
2. SÉCURISATION DES RÉSEAUX
Séparer serveurs d'applications des serveurs de base de données•
Contrôle de la distribution et transmission des données (Confidentialité, Intégrité)•
Contrôle des transactions en ligne•
3. SÉCURITÉ DES SYSTÈMES
Maintenance et mise• à jour des logiciels
Mises• à jour de sécurité́ doivent être appliquées dès publication
Contrôler les systèmes d’information et les protéger contre les utilisations non• -autorisées
Systèmes et applications doivent être audités périodiquement•
SI doit faire l’objet d’une cartographie basée sur les actifs identifiées•
Administrateurs doivent utiliser des outils d’administration centralisés lorsque le nombre d’actifs informationnels est impor• tant
TESTER LES NOUVEAUX SYST4. ÈMES ET LOGICIELS AFIN DE GARANTIR L’INTÉGRITÉ ET LA CONFIDENTIALITÉ DES DONNÉES
Nouveaux systèmes développés doivent être testés pour démontrer qu’ils répondent aux exigences de sécurit• é́
5. DÉVELOPPEMENT ET MAINTENANCE DES SITES WEB POUR VEILLER À CE QUE LES RISQUES ACCRUS ASSOCIÉS AUX APPLICATIONS WEB SONT MINIMISÉS
Développement par un personnel qualifi• é utilisant des méthodes sécurisées et éprouvées
Modules d’authentification utilisés ne doivent pas stocker les mots de passe en clair mais sous une forme transformée par une• fonction cryptographique non réversible
Administration doit se faire via des protocoles sécurisés• à partir de postes de travail réputés fiables
Systèmes et applicatifs utilisés par le site web doivent être régulièrement tenus• à jour
Sauf nécessit• é́ de service, bloquer les transferts de zone DNS
Empêcher la fourniture de renseignements relatifs• à la configuration technique du site web (Système d’exploitation utilisé, serveur d’application utilisé...)
Être régulièrement audités•
Nouveaux systèmes développés doivent être testés pour démontrer qu’ils répondent aux exigences de sécurit• é́
6. GESTION DES INCIDENTS LIÉS À LA SÉCURITÉ DE L’INFORMATION
Identifier menaces qui peuvent conduire• à un incident de sécurité́ de l'information
Mettre en place des procédures d’audit périodique des systèmes de traitement de l’information•
Signalement et gestion des incidents de sécurit• é́ informatique pour Identifier les risques importants et les maintenir dans des limites acceptables
Préserver les données numériques à travers règles, mécanismes et bonnes pratiques à même de permettre et de garantir un seuil minimal de sécurité

31. Conclusion : De l’importance de gagner en visibilité
Se rendre la• tâche facile mais rendre la compromission di!cile. Mes « quick wins » :
Sensibilisation
Segmentation réseau
Programme de gestion de vulnérabilités et blocage de ports (SMB 445 ouvert sur Internet)
Appliquez vos patchs !
Adopter la• méthodologie de l’attaquant :
Pen tests réguliers, à minima sur le périmètre externe
Qu’est ce qui a de la valeur aux yeux des attaquants?
Regarder les vulnérabilités comme le fait un attaquant. PRIORISER
Partage• de l’information de façon anonyme et collaboration au sein d’une communauté :
Communauté de la sécurité : Metasploit (+250 000 utilisateurs), Zmap, Dap
Etudes et listes publiques: Sonar, Heisenberg, mais aussi DBIR haveibeenpwned.com etc.
Adopter le principe de• vigilance et d’ouverture
Comprendre les tendances et• prioriser ses actions (80/20) pour atténuer (maitriser) les risques plus e!cacement

33. Merci
‫ﺷ‬‫ﻛ‬‫ر‬‫ا‬
Flavien VIVIER
Security Sales Engineer,
EMEA
O : +33 1 73 29 33 75
M : +33 6 18 74 09 98
E : fvivier@rapid7.com

34. ANNEXES

35. A propos du scan d’Internet
Légal ? Illégal ? Zone d’ombre ! Interprétation par législation mais pas que• …
Respect de• bonnes pratiques :
Règles et lois en vigueur
Détailler but et contenu
Permettre de NE PAS apparaitre
Répartir et limiter les performances du scan
A condition de• bonnes intentions :
Vision défensive contre vision o!ensive
Mettre en avant risques, vulnérabilités et exposition externes
Aider les équipes IT à prioriser mesures et contre-mesures (mauvaises configurations ?)
Recherche continue (Développement de nouveaux outils, Internet plus sécurisé ?)

36. Sonar, aspects légaux
Possibilité d’exclure les adresses IP dont on est propriétaire sur simple demande à•
research@rapid7.com
Juridictions• majorité des pays prennent en compte l’objectif de la démarche
(informer et prévenir plutôt qu’exploiter)
Tout d’abord, il est clair que la prise d’empreintes de ports informatiques ne peut pas être assimilée à un accès
frauduleux à un système de traitement automatisé de données (STAD) et ne peut donc être sanctionnée au travers
de l’article 323 1 du Code pénal. Un scanner de port se contente de collecter des informations qui ne peuvent être
qualifiées de confidentielles et sans contourner de systèmes de sécurité, éléments qui conditionnent la poursuite
pénale de l’intrusion
Toutefois, le scan de port peut être une étape préliminaire à une intrusion et participer au faisceau de preuves
attestant de l’intention frauduleuse. Pour autant, l’acte de scan de ports ne semble pas pouvoir être qualifié de
tentative d’intrusion punissable par l’article 323 7. En e!et, le scan de ports ne dépasserait pas le stade des actes
préparatoires qui, selon la jurisprudence, ne saurait être sanctionné, et ne pourrait donc être qualifié de
commencement d’exécution. Jusqu'à présent, la jurisprudence n’a pas encore statué sur ce fait. (www.infond.fr)
Ces informations sont déjà à disposition des attaquants•

37. Heisenberg ou l’intérêt commun
• +120 leurres publiques hébergés sur des plateformes Cloud à traves le globe (et 1 client)
• Visibilité sur les tendances ET les techniques
• Fonctions passives (en attente de scans, 0 connexion externe)
• Les premiers constats :
Services web exposés (entre 50 et 80% des besoins clients)
Bases de données
Accès shell (Telnet et SSH)
• Type d’attaques potentielles :
Trafic Mirai internet of things (IoT) botnet (OVH, Dyn, etc.)
Juniper NSA backdoor
PHP services
RDP
Bases de données de PoS
Etc.
Rapid7 Threat Report Q1 2017 : https://www.rapid7.com/info/threat-report/