Il faut trouver des solutions pour faire face à la menace de plus en plus forte que font peser les attaques, à la pénurie de talents et aux défis de l’optimisation des coûts en matière de cybersécurité. La tendance actuelle consiste à s’appuyer sur l’automatisation et l’orchestration des opérations de sécurité.
Or l’automatisation des SecOps conduit à devoir gérer des alertes de sécurité en plus grand nombre. L’inconvénient de cette approche est qu’on est potentiellement confronté chaque jour à une foule de nouvelles alertes. Et avec des centaines de vulnérabilités de gravité critique ou élevée à gérer, c’est à un sapin de Nöel tout illuminé que ressemble le rapport de sécurité quotidien. Cela peut bel et bien conduire à l’épuisement des équipes ou, pire encore, à de mauvaises décisions en matière de gestion des vulnérabilités.
Bien évidemment, il n’est pas réaliste d’espérer corriger toutes les failles. Les chefs d’entreprise doivent donc définir une limite en accord avec les équipes de sécurité. La hiérarchisation est un facteur de réussite essentiel si l’on veut renforcer l’efficacité et continuer à assurer un service approprié et de haute qualité en matière de réponse aux incidents de sécurité et de gestion des vulnérabilités. Le score CVSS ne suffit pas. Quelles sont donc les métriques pertinentes ? Comment les mesurer ? Quelle décision prendre ? Comment analyser l’efficacité de ce processus et comment l’adapter ?
Cette conférence a pour but d’échanger des idées sur une méthodologie de gestion des vulnérabilités basée sur le risque à l’aide de solutions open source comme PatrowlHears.
Cette approche est rendue possible par un juste équilibre entre automatisation des SecOps (pour être informés des vulnérabilités, failles et autres menaces) et hiérarchisation basée sur les métriques de vulnérabilité, l’actualité des menaces et la criticité des ressources. Nous verrons également des exemples d’événements qui devraient nous conduire à envisager une redéfinition des priorités en matière de vulnérabilités.
Conseils de survie pour hiérarchiser les cybermenaces
1. Réf. :
Date :
TLP: W
HITE
Prioriser les menaces !
Survival kit - 2021
#CVE #Exploits #CTI #Automation
2021 – Patrowl
Meme included - All rights reserved
Contact getsupport@patrowl.io
SIDO
- OSXP
2021
2. C’est qui ce gars ?
► Pentester / Security auditor / Dev[Ops]
► Papa x2, Mari x1, Moto x0, Vélo x0, Trotinette x-1
► Cinéma, Mario Kart, alimentation saine et planche à voile
Nicolas MATTIOCCO
CEO Patrowl.io // MaKyOtOx
Offensive Security as a Service
2008
2013
2015
2017
Limited
diffusion
9. Il était une fois dans une équipe SOC
Morning routine
Limited
diffusion
10. Identifier les vulnérabilités les plus pertinentes
► Routine matinale d’un SOC/CERT == passer en revue les vulnérabilités ‘chaudes’
Sources: Vulnerability Feeds, CTI, Bluez, Redz, ‘Private channels’ …
§ Nous avons besoin de réponses sur notre exposition et/ou des éventuelles compromissions :
ü S'agit-il d'une vulnérabilité avec un nom, un logo et un site Web dédié? @All: pas de panique!
ü Qu'est-ce que le score de base CVSS? @SOC: Dites-nous!
à Communication classique uniquement aux propriétaires de produits connus si elle est supérieure à 7,0 et
continue si elle est supérieure à 9,0.
ü Sommes-nous vulnérables ? @SOC + Redz: Confirmez les versions, les configurations et les contre-mesures en
place sur nos actifs, contactez les Product Owner !
ü Sommes-nous exposés à partir d'Internet? @SOC + CTI: Dites-nous!
ü La vulnérabilité est-elle identifiée sur des actifs critiques ? @SOC: Dites-nous!
ü Sommes-nous au courant d'un exploit fonctionnel ? @Redz + CTI: Allez les trouver et testez-le!
ü Existe-t-il un correctif ou une mesure compensatoire disponible ? Fiabilité ? @SOC + CTI: Dites-nous!
ü Existe-t-il des catalyseurs de probabilité d’occurrence : exploité dans la nature ? Niveau de battage médiatique?
Exploité par les acteurs de la menace concernés ? @CTI: Dites-nous!
ü Sommes-nous déjà p0wned? @DFIR: enquêter et rassurer-nous!
ü Sommes-nous capables de détecter l'exploitation ? @DFIR: dites-nous et / ou essayez de configurer des alertes!
ü OK les gens, avons-nous suffisamment de données gérer en mode « crise » ? @CSIRT manager: oui / non!
Limited
diffusion
11. Identifier les vulnérabilités les plus pertinentes
§ Travail d’équipe
§ Multiples expertises techniques requises
§ Pas seulement au sein de l'équipe CERT / CSIRT / SOC
§ D'autres équipes IT et Business sont à impliquer
§ Activités continues et en forte croissance
§ Métadonnées de vulnérabilités non statiques :
§ Nouveau patch disponible !?!
§ Nouvel exploit public !
§ Nouvel article sur le blog d’un chercheur en sécurité !
Limited
diffusion
12. Prioritize or die
La tendance est au Rating, ou
plutôt aux métadonnées
Limited
diffusion
14. Prioriser pour … décider
► 1/ Now+: Correction immédiate + cellule de crise
► 2/ Now: Correction immédiate
► 3/ Next: Attendre la prochaine campagne de vaccination patching
► 4/ Never: Correction si possible (non suivi)
► Exploit availability
► Exploit maturity
► Exploit ease
► Threat intensity
► Threat relevancy
► Criticality
► Vulnerable asset interface
exposure
► Distribution
Threat Asset
Suggested actions
► CVSS Impact & exposure
► Patch availability
► Age of vulnerability
► Discovery ease
► Detection ease
Vulnerability
Limited
diffusion
15. Métriques contextualisées vs. Score simple
► Question #1: You have resources for fixing 1 vulnerability only. Which one do you plan to remediate ?
Métriques Vulnérabilité #1 Vulnérabilité #2 Vulnérabilité #3
CVSS Base score 10.0 6.2 8.9
Exploitable à distance ? Yes Yes No
Exposition de l’asset Internal network Internet Internet
Criticité de l’asset
Exploit disponible ? No Yes Yes
Patch disponible ? Yes Yes No
Relayé dans les news ? No No Yes
critical medium high
► Question #2: You must manage 100 new vulnerabilities every day on average. How do you proceed at scale ?
high high unkown
Limited
diffusion
16. Monitorer les exploits et les metadonnées ?
Confiance ?
Disponibilité ?
Format ?
Sources ?
Maturité ?
Age ?
Intérêt ?
Limited
diffusion
Changes ?
17. Contributions open-source
- > Surveiller les vulnerabilités, les exploits et l’actualité
- > Partager les vulnérabilités et les métriques
PatrowlHears // AGPLv3
Limited
diffusion
19. PatrowlHears in a Nushell
Open-source application and feeds
■ Vulnerability and metadata DB
o CVE/CPE/CWE definitions from NVD
o “CVE-less” vulnerabilities
o Exploits: PoC, script, blog post, whitepaper,
slidedeck, mail, tweet, video, notes, …
o Threat news: Article, Blog post, Tweet
o Vendor security advisories / bulletins
■ Monitoring tower
o Vendor, product, packages, vulnerabilities
o Track updates
■ Collaboration
o Share monitoring lists, vulnerabilities and metadata
■ Vulnerability scoring system
■ Alerting
o Email and Slack notifications
o Daily/Weekly/Monthly reports
■ Responsive WEB + Full REST-API ready
Limited
diffusion
20. PatrowlHears global architecture
Exploits metadata
Exploit-DB, Talos, PacketStorm, Nessus DB,
HackerOne, SeeBug, TheHackerNews, …
Vulnerabilities
NVD: CVE, CWE, CPE, CAPEC
Unreferenced (pip, npmjs, nuGet,
WP, rubyGems, …)
Continuous
monitoring
WEB UI REST-API
DevOps,
SecOps/SOC,
Risk Manager
Vulnerability
scanners,
scripts,
security
tools
Vendor security advisories
Notify
Detect and
Prioritize
CI/CD
pipelines
Assets and
artefacts
inventory,
CMDB
Ticketing
systems
PatrowlHears
OSINT & PatrowlCERT feeds
Personal and research blogs, Github
repositories, Tweets, videos, ‘dark-net’
forums, …
Limited
diffusion
21. Retenons au moins 2 idées
1. Toujours contextualiser
les vulnérabilités
Limited
diffusion
2. Automatiser pour gagner
en maturité
§ Impossible de traiter toutes les
vulnérabilités
§ CVSS Base score insuffisant
§ « ressources disponible » /
« risque couvert »
§ Exploits et catalyseurs
§ Cartographie, identification de
vulnérabilités, corrections
§ Veille et Surveillance des
métriques (exploits, news, hype)
§ Détection des faux-positifs
§ Intégration avec les CMDB et
outils de ticketing
§ Reporting et KPI
22. Réf. :
Date :
29
Nicolas MATTIOCCO
✉ nicolas@patrowl.io
📱 +33 (0) 6.20.70.47.78
Contact
MERCI !
Je le savais que je n’allais pas tenir les 20 min …