SlideShare une entreprise Scribd logo

Conseils de survie pour hiérarchiser les cybermenaces

Open Source Experience
Open Source Experience

Il faut trouver des solutions pour faire face à la menace de plus en plus forte que font peser les attaques, à la pénurie de talents et aux défis de l’optimisation des coûts en matière de cybersécurité. La tendance actuelle consiste à s’appuyer sur l’automatisation et l’orchestration des opérations de sécurité. Or l’automatisation des SecOps conduit à devoir gérer des alertes de sécurité en plus grand nombre. L’inconvénient de cette approche est qu’on est potentiellement confronté chaque jour à une foule de nouvelles alertes. Et avec des centaines de vulnérabilités de gravité critique ou élevée à gérer, c’est à un sapin de Nöel tout illuminé que ressemble le rapport de sécurité quotidien. Cela peut bel et bien conduire à l’épuisement des équipes ou, pire encore, à de mauvaises décisions en matière de gestion des vulnérabilités. Bien évidemment, il n’est pas réaliste d’espérer corriger toutes les failles. Les chefs d’entreprise doivent donc définir une limite en accord avec les équipes de sécurité. La hiérarchisation est un facteur de réussite essentiel si l’on veut renforcer l’efficacité et continuer à assurer un service approprié et de haute qualité en matière de réponse aux incidents de sécurité et de gestion des vulnérabilités. Le score CVSS ne suffit pas. Quelles sont donc les métriques pertinentes ? Comment les mesurer ? Quelle décision prendre ? Comment analyser l’efficacité de ce processus et comment l’adapter ? Cette conférence a pour but d’échanger des idées sur une méthodologie de gestion des vulnérabilités basée sur le risque à l’aide de solutions open source comme PatrowlHears. Cette approche est rendue possible par un juste équilibre entre automatisation des SecOps (pour être informés des vulnérabilités, failles et autres menaces) et hiérarchisation basée sur les métriques de vulnérabilité, l’actualité des menaces et la criticité des ressources. Nous verrons également des exemples d’événements qui devraient nous conduire à envisager une redéfinition des priorités en matière de vulnérabilités.

Logiciels
1  sur  22
Télécharger pour lire hors ligne
Réf. : Date : TLP: W HITE Prioriser les menaces ! Survival kit - 2021 #CVE #Exploits #CTI #Automation 2021 – Patrowl Meme included - All rights reserved Contact getsupport@patrowl.io SIDO - OSXP 2021
C’est qui ce gars ? ► Pentester / Security auditor / Dev[Ops] ► Papa x2, Mari x1, Moto x0, Vélo x0, Trotinette x-1 ► Cinéma, Mario Kart, alimentation saine et planche à voile Nicolas MATTIOCCO CEO Patrowl.io // MaKyOtOx Offensive Security as a Service 2008 2013 2015 2017 Limited diffusion
Comment gérer les vulnérabilités ? Limited diffusion
La gestion des vulnérabilités du RSSI en 1 slide Limited diffusion Identifier Prioriser Remédier Contrôler Périmètre Cartographie Cotation Exposition Couches SI Technologies Veille Vulnérabilités Attaques et exploits CTI Contrôles actifs Scans de vulnérabilités Tests d’intrusion Bug bounty Threat hunting Audits de configuration Audit de code Cyber scoring Reporting Suivi KPI Activités continues
(Hyper-)Automatiser les contrôles Plus de contrôles Plus de conformité Plus souvent Plus efficacement Limited diffusion
(Hyper-)Automatiser les contrôles Plus de contrôles + Fréquence augmentée = Plus de résultats = Plus d’alertes Limited diffusion
Comment gérer les vulnérabilités plus efficacement ? Limited diffusion
Prioriser. Limited diffusion
Il était une fois dans une équipe SOC Morning routine Limited diffusion
Identifier les vulnérabilités les plus pertinentes ► Routine matinale d’un SOC/CERT == passer en revue les vulnérabilités ‘chaudes’ Sources: Vulnerability Feeds, CTI, Bluez, Redz, ‘Private channels’ … § Nous avons besoin de réponses sur notre exposition et/ou des éventuelles compromissions : ü S'agit-il d'une vulnérabilité avec un nom, un logo et un site Web dédié? @All: pas de panique! ü Qu'est-ce que le score de base CVSS? @SOC: Dites-nous! à Communication classique uniquement aux propriétaires de produits connus si elle est supérieure à 7,0 et continue si elle est supérieure à 9,0. ü Sommes-nous vulnérables ? @SOC + Redz: Confirmez les versions, les configurations et les contre-mesures en place sur nos actifs, contactez les Product Owner ! ü Sommes-nous exposés à partir d'Internet? @SOC + CTI: Dites-nous! ü La vulnérabilité est-elle identifiée sur des actifs critiques ? @SOC: Dites-nous! ü Sommes-nous au courant d'un exploit fonctionnel ? @Redz + CTI: Allez les trouver et testez-le! ü Existe-t-il un correctif ou une mesure compensatoire disponible ? Fiabilité ? @SOC + CTI: Dites-nous! ü Existe-t-il des catalyseurs de probabilité d’occurrence : exploité dans la nature ? Niveau de battage médiatique? Exploité par les acteurs de la menace concernés ? @CTI: Dites-nous! ü Sommes-nous déjà p0wned? @DFIR: enquêter et rassurer-nous! ü Sommes-nous capables de détecter l'exploitation ? @DFIR: dites-nous et / ou essayez de configurer des alertes! ü OK les gens, avons-nous suffisamment de données gérer en mode « crise » ? @CSIRT manager: oui / non! Limited diffusion
Identifier les vulnérabilités les plus pertinentes § Travail d’équipe § Multiples expertises techniques requises § Pas seulement au sein de l'équipe CERT / CSIRT / SOC § D'autres équipes IT et Business sont à impliquer § Activités continues et en forte croissance § Métadonnées de vulnérabilités non statiques : § Nouveau patch disponible !?! § Nouvel exploit public ! § Nouvel article sur le blog d’un chercheur en sécurité ! Limited diffusion
Prioritize or die La tendance est au Rating, ou plutôt aux métadonnées Limited diffusion
Métriques de priorisation Vulnerability Threat Asset ~CVSS Base Score ~CVSS Temporal Score ~CVSS Environmental Score Limited diffusion
Prioriser pour … décider ► 1/ Now+: Correction immédiate + cellule de crise ► 2/ Now: Correction immédiate ► 3/ Next: Attendre la prochaine campagne de vaccination patching ► 4/ Never: Correction si possible (non suivi) ► Exploit availability ► Exploit maturity ► Exploit ease ► Threat intensity ► Threat relevancy ► Criticality ► Vulnerable asset interface exposure ► Distribution Threat Asset Suggested actions ► CVSS Impact & exposure ► Patch availability ► Age of vulnerability ► Discovery ease ► Detection ease Vulnerability Limited diffusion
Métriques contextualisées vs. Score simple ► Question #1: You have resources for fixing 1 vulnerability only. Which one do you plan to remediate ? Métriques Vulnérabilité #1 Vulnérabilité #2 Vulnérabilité #3 CVSS Base score 10.0 6.2 8.9 Exploitable à distance ? Yes Yes No Exposition de l’asset Internal network Internet Internet Criticité de l’asset Exploit disponible ? No Yes Yes Patch disponible ? Yes Yes No Relayé dans les news ? No No Yes critical medium high ► Question #2: You must manage 100 new vulnerabilities every day on average. How do you proceed at scale ? high high unkown Limited diffusion
Monitorer les exploits et les metadonnées ? Confiance ? Disponibilité ? Format ? Sources ? Maturité ? Age ? Intérêt ? Limited diffusion Changes ?
Contributions open-source - > Surveiller les vulnerabilités, les exploits et l’actualité - > Partager les vulnérabilités et les métriques PatrowlHears // AGPLv3 Limited diffusion
Limited diffusion
PatrowlHears in a Nushell Open-source application and feeds ■ Vulnerability and metadata DB o CVE/CPE/CWE definitions from NVD o “CVE-less” vulnerabilities o Exploits: PoC, script, blog post, whitepaper, slidedeck, mail, tweet, video, notes, … o Threat news: Article, Blog post, Tweet o Vendor security advisories / bulletins ■ Monitoring tower o Vendor, product, packages, vulnerabilities o Track updates ■ Collaboration o Share monitoring lists, vulnerabilities and metadata ■ Vulnerability scoring system ■ Alerting o Email and Slack notifications o Daily/Weekly/Monthly reports ■ Responsive WEB + Full REST-API ready Limited diffusion
PatrowlHears global architecture Exploits metadata Exploit-DB, Talos, PacketStorm, Nessus DB, HackerOne, SeeBug, TheHackerNews, … Vulnerabilities NVD: CVE, CWE, CPE, CAPEC Unreferenced (pip, npmjs, nuGet, WP, rubyGems, …) Continuous monitoring WEB UI REST-API DevOps, SecOps/SOC, Risk Manager Vulnerability scanners, scripts, security tools Vendor security advisories Notify Detect and Prioritize CI/CD pipelines Assets and artefacts inventory, CMDB Ticketing systems PatrowlHears OSINT & PatrowlCERT feeds Personal and research blogs, Github repositories, Tweets, videos, ‘dark-net’ forums, … Limited diffusion
Retenons au moins 2 idées 1. Toujours contextualiser les vulnérabilités Limited diffusion 2. Automatiser pour gagner en maturité § Impossible de traiter toutes les vulnérabilités § CVSS Base score insuffisant § « ressources disponible » / « risque couvert » § Exploits et catalyseurs § Cartographie, identification de vulnérabilités, corrections § Veille et Surveillance des métriques (exploits, news, hype) § Détection des faux-positifs § Intégration avec les CMDB et outils de ticketing § Reporting et KPI
Réf. : Date : 29 Nicolas MATTIOCCO ✉ nicolas@patrowl.io 📱 +33 (0) 6.20.70.47.78 Contact MERCI ! Je le savais que je n’allais pas tenir les 20 min …

Recommandé

Un écosystème collaboratif open source et zerotrust dans le cloud public, est...
Un écosystème collaboratif open source et zerotrust dans le cloud public, est...Un écosystème collaboratif open source et zerotrust dans le cloud public, est...
Un écosystème collaboratif open source et zerotrust dans le cloud public, est...Open Source Experience
 
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...Witekio
 
politique de sécurité a mettre en place
politique de sécurité a mettre en place politique de sécurité a mettre en place
politique de sécurité a mettre en place Manuel Cédric EBODE MBALLA
 
Sophia conf securite microservices - 2017
Sophia conf securite microservices - 2017Sophia conf securite microservices - 2017
Sophia conf securite microservices - 2017SecludIT
 
Top 10 des meilleures pratiques de sécurité AWS - 2017-06-08
Top 10 des meilleures pratiques de sécurité AWS - 2017-06-08Top 10 des meilleures pratiques de sécurité AWS - 2017-06-08
Top 10 des meilleures pratiques de sécurité AWS - 2017-06-08SecludIT
 
Fortinet mathieu nantel
Fortinet mathieu nantelFortinet mathieu nantel
Fortinet mathieu nantelColloqueRISQ
 
Développement des Architectures Distribuée type SDN pour l'Internet des Objets.
Développement des Architectures Distribuée type SDN pour l'Internet des Objets.Développement des Architectures Distribuée type SDN pour l'Internet des Objets.
Développement des Architectures Distribuée type SDN pour l'Internet des Objets.krlos7
 
Deployer son propre SOC !
Deployer son propre SOC ! Deployer son propre SOC !
Deployer son propre SOC ! SecludIT
 

Recommandé

Un écosystème collaboratif open source et zerotrust dans le cloud public, est...
Un écosystème collaboratif open source et zerotrust dans le cloud public, est...Un écosystème collaboratif open source et zerotrust dans le cloud public, est...
Un écosystème collaboratif open source et zerotrust dans le cloud public, est...Open Source Experience
 
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...
Conference Security by Design - Lacroix Electronics - Comment conçoit on un o...Witekio
 
politique de sécurité a mettre en place
politique de sécurité a mettre en place politique de sécurité a mettre en place
politique de sécurité a mettre en place Manuel Cédric EBODE MBALLA
 
Sophia conf securite microservices - 2017
Sophia conf securite microservices - 2017Sophia conf securite microservices - 2017
Sophia conf securite microservices - 2017SecludIT
 
Top 10 des meilleures pratiques de sécurité AWS - 2017-06-08
Top 10 des meilleures pratiques de sécurité AWS - 2017-06-08Top 10 des meilleures pratiques de sécurité AWS - 2017-06-08
Top 10 des meilleures pratiques de sécurité AWS - 2017-06-08SecludIT
 
Fortinet mathieu nantel
Fortinet mathieu nantelFortinet mathieu nantel
Fortinet mathieu nantelColloqueRISQ
 
Développement des Architectures Distribuée type SDN pour l'Internet des Objets.
Développement des Architectures Distribuée type SDN pour l'Internet des Objets.Développement des Architectures Distribuée type SDN pour l'Internet des Objets.
Développement des Architectures Distribuée type SDN pour l'Internet des Objets.krlos7
 
Deployer son propre SOC !
Deployer son propre SOC ! Deployer son propre SOC !
Deployer son propre SOC ! SecludIT
 
Sandboxing, une nouvelle défense contre les menaces intelligentes
Sandboxing, une nouvelle défense contre les menaces intelligentesSandboxing, une nouvelle défense contre les menaces intelligentes
Sandboxing, une nouvelle défense contre les menaces intelligentese-Xpert Solutions SA
 
Livret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & FortinetLivret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & FortinetExaprobe
 
Elastic Detector vu par un Ethical Hacker
Elastic Detector vu par un Ethical HackerElastic Detector vu par un Ethical Hacker
Elastic Detector vu par un Ethical HackerSecludIT
 
Ibm sécurité marcel labelle 16 9 pdf
Ibm sécurité marcel labelle 16 9 pdfIbm sécurité marcel labelle 16 9 pdf
Ibm sécurité marcel labelle 16 9 pdfColloqueRISQ
 
Cloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud itCloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud itSecludIT
 
Quantum computing & cyber securite
Quantum computing & cyber securiteQuantum computing & cyber securite
Quantum computing & cyber securiteEstelle Auberix
 
APT (menaces avancées) : peut on toutes les attraper ?
APT (menaces avancées) : peut on toutes les attraper ?APT (menaces avancées) : peut on toutes les attraper ?
APT (menaces avancées) : peut on toutes les attraper ?ITrust - Cybersecurity as a Service
 
Ucsec formation-mettre-en-oeuvre-la-securite-de-cisco-unified-communications
Ucsec formation-mettre-en-oeuvre-la-securite-de-cisco-unified-communicationsUcsec formation-mettre-en-oeuvre-la-securite-de-cisco-unified-communications
Ucsec formation-mettre-en-oeuvre-la-securite-de-cisco-unified-communicationsCERTyou Formation
 
Innovations dans la cybersecurite
Innovations dans la cybersecuriteInnovations dans la cybersecurite
Innovations dans la cybersecuriteSecludIT
 
Offre entreprise
Offre entrepriseOffre entreprise
Offre entrepriseJulien Cayssol
 
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorLa seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorSecludIT
 
Simplifiez la sécurisation de vos données par chiffrement transparent
Simplifiez la sécurisation de vos données par chiffrement transparentSimplifiez la sécurisation de vos données par chiffrement transparent
Simplifiez la sécurisation de vos données par chiffrement transparentKyos
 
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, KyosTest d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, KyosNet4All
 
Ensemble fortifions la chaîne de défense
Ensemble fortifions la chaîne de défenseEnsemble fortifions la chaîne de défense
Ensemble fortifions la chaîne de défenseKyos
 
sécurité du cloud... un nuage à multiples facettes
sécurité du cloud... un nuage à multiples facettes sécurité du cloud... un nuage à multiples facettes
sécurité du cloud... un nuage à multiples facettes Orange Business Services
 
Rgpd : le principe d'accountability et les outils de mise en conformité
Rgpd : le principe d'accountability et les outils de mise en conformitéRgpd : le principe d'accountability et les outils de mise en conformité
Rgpd : le principe d'accountability et les outils de mise en conformitéBernard LAMON
 
La sécurité du Cloud Computing
La sécurité du Cloud ComputingLa sécurité du Cloud Computing
La sécurité du Cloud ComputingOumaima Karim
 
De la Securité Informatique a l’Identite Numerique 2.0
De la Securité Informatique a l’Identite Numerique 2.0De la Securité Informatique a l’Identite Numerique 2.0
De la Securité Informatique a l’Identite Numerique 2.0Eric Herschkorn
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02Sébastien GIORIA
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTMaxime ALAY-EDDINE
 
Comment se protéger contre les menaces de CTB Locker (ransomware)?
Comment se protéger contre les menaces de CTB Locker (ransomware)?Comment se protéger contre les menaces de CTB Locker (ransomware)?
Comment se protéger contre les menaces de CTB Locker (ransomware)?ATN Groupe
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesMaxime ALAY-EDDINE
 

Contenu connexe

Tendances

Sandboxing, une nouvelle défense contre les menaces intelligentes
Sandboxing, une nouvelle défense contre les menaces intelligentesSandboxing, une nouvelle défense contre les menaces intelligentes
Sandboxing, une nouvelle défense contre les menaces intelligentese-Xpert Solutions SA
 
Livret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & FortinetLivret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & FortinetExaprobe
 
Elastic Detector vu par un Ethical Hacker
Elastic Detector vu par un Ethical HackerElastic Detector vu par un Ethical Hacker
Elastic Detector vu par un Ethical HackerSecludIT
 
Ibm sécurité marcel labelle 16 9 pdf
Ibm sécurité marcel labelle 16 9 pdfIbm sécurité marcel labelle 16 9 pdf
Ibm sécurité marcel labelle 16 9 pdfColloqueRISQ
 
Cloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud itCloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud itSecludIT
 
Quantum computing & cyber securite
Quantum computing & cyber securiteQuantum computing & cyber securite
Quantum computing & cyber securiteEstelle Auberix
 
Ucsec formation-mettre-en-oeuvre-la-securite-de-cisco-unified-communications
Ucsec formation-mettre-en-oeuvre-la-securite-de-cisco-unified-communicationsUcsec formation-mettre-en-oeuvre-la-securite-de-cisco-unified-communications
Ucsec formation-mettre-en-oeuvre-la-securite-de-cisco-unified-communicationsCERTyou Formation
 
Innovations dans la cybersecurite
Innovations dans la cybersecuriteInnovations dans la cybersecurite
Innovations dans la cybersecuriteSecludIT
 
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorLa seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorSecludIT
 
Simplifiez la sécurisation de vos données par chiffrement transparent
Simplifiez la sécurisation de vos données par chiffrement transparentSimplifiez la sécurisation de vos données par chiffrement transparent
Simplifiez la sécurisation de vos données par chiffrement transparentKyos
 
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, KyosTest d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, KyosNet4All
 
Ensemble fortifions la chaîne de défense
Ensemble fortifions la chaîne de défenseEnsemble fortifions la chaîne de défense
Ensemble fortifions la chaîne de défenseKyos
 
sécurité du cloud... un nuage à multiples facettes
sécurité du cloud... un nuage à multiples facettes sécurité du cloud... un nuage à multiples facettes
sécurité du cloud... un nuage à multiples facettes Orange Business Services
 
Rgpd : le principe d'accountability et les outils de mise en conformité
Rgpd : le principe d'accountability et les outils de mise en conformitéRgpd : le principe d'accountability et les outils de mise en conformité
Rgpd : le principe d'accountability et les outils de mise en conformitéBernard LAMON
 
La sécurité du Cloud Computing
La sécurité du Cloud ComputingLa sécurité du Cloud Computing
La sécurité du Cloud ComputingOumaima Karim
 
De la Securité Informatique a l’Identite Numerique 2.0
De la Securité Informatique a l’Identite Numerique 2.0De la Securité Informatique a l’Identite Numerique 2.0
De la Securité Informatique a l’Identite Numerique 2.0Eric Herschkorn
 

Tendances (18)

Sandboxing, une nouvelle défense contre les menaces intelligentes
Sandboxing, une nouvelle défense contre les menaces intelligentesSandboxing, une nouvelle défense contre les menaces intelligentes
Sandboxing, une nouvelle défense contre les menaces intelligentes
 
Livret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & FortinetLivret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & Fortinet
 
Elastic Detector vu par un Ethical Hacker
Elastic Detector vu par un Ethical HackerElastic Detector vu par un Ethical Hacker
Elastic Detector vu par un Ethical Hacker
 
Ibm sécurité marcel labelle 16 9 pdf
Ibm sécurité marcel labelle 16 9 pdfIbm sécurité marcel labelle 16 9 pdf
Ibm sécurité marcel labelle 16 9 pdf
 
Cloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud itCloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud it
 
Quantum computing & cyber securite
Quantum computing & cyber securiteQuantum computing & cyber securite
Quantum computing & cyber securite
 
APT (menaces avancées) : peut on toutes les attraper ?
APT (menaces avancées) : peut on toutes les attraper ?APT (menaces avancées) : peut on toutes les attraper ?
APT (menaces avancées) : peut on toutes les attraper ?
 
Ucsec formation-mettre-en-oeuvre-la-securite-de-cisco-unified-communications
Ucsec formation-mettre-en-oeuvre-la-securite-de-cisco-unified-communicationsUcsec formation-mettre-en-oeuvre-la-securite-de-cisco-unified-communications
Ucsec formation-mettre-en-oeuvre-la-securite-de-cisco-unified-communications
 
Innovations dans la cybersecurite
Innovations dans la cybersecuriteInnovations dans la cybersecurite
Innovations dans la cybersecurite
 
Offre entreprise
Offre entrepriseOffre entreprise
Offre entreprise
 
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorLa seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic Detector
 
Simplifiez la sécurisation de vos données par chiffrement transparent
Simplifiez la sécurisation de vos données par chiffrement transparentSimplifiez la sécurisation de vos données par chiffrement transparent
Simplifiez la sécurisation de vos données par chiffrement transparent
 
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, KyosTest d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
 
Ensemble fortifions la chaîne de défense
Ensemble fortifions la chaîne de défenseEnsemble fortifions la chaîne de défense
Ensemble fortifions la chaîne de défense
 
sécurité du cloud... un nuage à multiples facettes
sécurité du cloud... un nuage à multiples facettes sécurité du cloud... un nuage à multiples facettes
sécurité du cloud... un nuage à multiples facettes
 
Rgpd : le principe d'accountability et les outils de mise en conformité
Rgpd : le principe d'accountability et les outils de mise en conformitéRgpd : le principe d'accountability et les outils de mise en conformité
Rgpd : le principe d'accountability et les outils de mise en conformité
 
La sécurité du Cloud Computing
La sécurité du Cloud ComputingLa sécurité du Cloud Computing
La sécurité du Cloud Computing
 
De la Securité Informatique a l’Identite Numerique 2.0
De la Securité Informatique a l’Identite Numerique 2.0De la Securité Informatique a l’Identite Numerique 2.0
De la Securité Informatique a l’Identite Numerique 2.0
 

Similaire à Conseils de survie pour hiérarchiser les cybermenaces

2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02Sébastien GIORIA
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTMaxime ALAY-EDDINE
 
Comment se protéger contre les menaces de CTB Locker (ransomware)?
Comment se protéger contre les menaces de CTB Locker (ransomware)?Comment se protéger contre les menaces de CTB Locker (ransomware)?
Comment se protéger contre les menaces de CTB Locker (ransomware)?ATN Groupe
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesMaxime ALAY-EDDINE
 
Gestion d'incidents pour développeurs
Gestion d'incidents pour développeursGestion d'incidents pour développeurs
Gestion d'incidents pour développeursHarvey Francois
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internetwaggaland
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 
Baromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdfBaromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdfssuser384b72
 
Meetup aws user group lille 2018 chaos engineering
Meetup aws user group lille 2018 chaos engineeringMeetup aws user group lille 2018 chaos engineering
Meetup aws user group lille 2018 chaos engineeringBenjamin Gakic
 
Slides du meetup devops aix-marseille d'ocotbre 2023
Slides du meetup devops aix-marseille d'ocotbre 2023Slides du meetup devops aix-marseille d'ocotbre 2023
Slides du meetup devops aix-marseille d'ocotbre 2023Frederic Leger
 
Management des vulnérabilités - Greenbone OpenVas
Management des vulnérabilités - Greenbone OpenVasManagement des vulnérabilités - Greenbone OpenVas
Management des vulnérabilités - Greenbone OpenVasEyesOpen Association
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...PMI-Montréal
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Vumetric
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informationsNetSecure Day
 
SEGURET_presentation_secur_Lyon_seguret.pdf
SEGURET_presentation_secur_Lyon_seguret.pdfSEGURET_presentation_secur_Lyon_seguret.pdf
SEGURET_presentation_secur_Lyon_seguret.pdfAssociationAF
 
Matinée Cybercriminalité
Matinée CybercriminalitéMatinée Cybercriminalité
Matinée CybercriminalitéEvenements01
 

Similaire à Conseils de survie pour hiérarchiser les cybermenaces (20)

2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoT
 
Comment se protéger contre les menaces de CTB Locker (ransomware)?
Comment se protéger contre les menaces de CTB Locker (ransomware)?Comment se protéger contre les menaces de CTB Locker (ransomware)?
Comment se protéger contre les menaces de CTB Locker (ransomware)?
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
 
Gestion d'incidents pour développeurs
Gestion d'incidents pour développeursGestion d'incidents pour développeurs
Gestion d'incidents pour développeurs
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
 
Baromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdfBaromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdf
 
Paris Chaos Engineering Meetup #6
Paris Chaos Engineering Meetup #6Paris Chaos Engineering Meetup #6
Paris Chaos Engineering Meetup #6
 
Meetup aws user group lille 2018 chaos engineering
Meetup aws user group lille 2018 chaos engineeringMeetup aws user group lille 2018 chaos engineering
Meetup aws user group lille 2018 chaos engineering
 
Slides du meetup devops aix-marseille d'ocotbre 2023
Slides du meetup devops aix-marseille d'ocotbre 2023Slides du meetup devops aix-marseille d'ocotbre 2023
Slides du meetup devops aix-marseille d'ocotbre 2023
 
Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018
 
Management des vulnérabilités - Greenbone OpenVas
Management des vulnérabilités - Greenbone OpenVasManagement des vulnérabilités - Greenbone OpenVas
Management des vulnérabilités - Greenbone OpenVas
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations
 
SEGURET_presentation_secur_Lyon_seguret.pdf
SEGURET_presentation_secur_Lyon_seguret.pdfSEGURET_presentation_secur_Lyon_seguret.pdf
SEGURET_presentation_secur_Lyon_seguret.pdf
 
Matinée Cybercriminalité
Matinée CybercriminalitéMatinée Cybercriminalité
Matinée Cybercriminalité
 

Plus de Open Source Experience

GAFAM or not GAFAM dans les collectivités
GAFAM or not GAFAM dans les collectivitésGAFAM or not GAFAM dans les collectivités
GAFAM or not GAFAM dans les collectivitésOpen Source Experience
 
API != REST - procmail à la rescousse
API != REST - procmail à la rescousseAPI != REST - procmail à la rescousse
API != REST - procmail à la rescousseOpen Source Experience
 
Vous souhaitez passer votre projet en open source ?
Vous souhaitez passer votre projet en open source ?Vous souhaitez passer votre projet en open source ?
Vous souhaitez passer votre projet en open source ?Open Source Experience
 
Évolutions de la gouvernance des projets libres
Évolutions de la gouvernance des projets libresÉvolutions de la gouvernance des projets libres
Évolutions de la gouvernance des projets libresOpen Source Experience
 
Data in Motion : un enjeu pour la modernisation des systèmes d'information
Data in Motion : un enjeu pour la modernisation des systèmes d'informationData in Motion : un enjeu pour la modernisation des systèmes d'information
Data in Motion : un enjeu pour la modernisation des systèmes d'informationOpen Source Experience
 
Gérer vos clusters Kubernetes avec Flux 2 et la méthode GitOps
Gérer vos clusters Kubernetes avec Flux 2 et la méthode GitOpsGérer vos clusters Kubernetes avec Flux 2 et la méthode GitOps
Gérer vos clusters Kubernetes avec Flux 2 et la méthode GitOpsOpen Source Experience
 
Quelle est la valeur de l’open source ? Étude de l’UE sur l’impact de l’open ...
Quelle est la valeur de l’open source ? Étude de l’UE sur l’impact de l’open ...Quelle est la valeur de l’open source ? Étude de l’UE sur l’impact de l’open ...
Quelle est la valeur de l’open source ? Étude de l’UE sur l’impact de l’open ...Open Source Experience
 
La montée en puissance de l’infrastructure ouverte
La montée en puissance de l’infrastructure ouverteLa montée en puissance de l’infrastructure ouverte
La montée en puissance de l’infrastructure ouverteOpen Source Experience
 
L’Open Science au service des personnes atteintes d’épilepsie
L’Open Science au service des personnes atteintes d’épilepsieL’Open Science au service des personnes atteintes d’épilepsie
L’Open Science au service des personnes atteintes d’épilepsieOpen Source Experience
 
Une infrastructure Cloud et une solution IDaaS 100% libres
Une infrastructure Cloud et une solution IDaaS 100% libresUne infrastructure Cloud et une solution IDaaS 100% libres
Une infrastructure Cloud et une solution IDaaS 100% libresOpen Source Experience
 
Impliquer des contributeurs externes dans son projet open source
Impliquer des contributeurs externes dans son projet open sourceImpliquer des contributeurs externes dans son projet open source
Impliquer des contributeurs externes dans son projet open sourceOpen Source Experience
 
AliceVision : pipeline de reconstruction 3D open source
AliceVision : pipeline de reconstruction 3D open sourceAliceVision : pipeline de reconstruction 3D open source
AliceVision : pipeline de reconstruction 3D open sourceOpen Source Experience
 
Analyse de la composition logicielle à l’aide d’outils open source
Analyse de la composition logicielle à l’aide d’outils open sourceAnalyse de la composition logicielle à l’aide d’outils open source
Analyse de la composition logicielle à l’aide d’outils open sourceOpen Source Experience
 
E-commerce en 2021 : grandes tendances technologiques dans le développement d...
E-commerce en 2021 : grandes tendances technologiques dans le développement d...E-commerce en 2021 : grandes tendances technologiques dans le développement d...
E-commerce en 2021 : grandes tendances technologiques dans le développement d...Open Source Experience
 
Démo : comment sécuriser des milliers de serveurs gratuitement
Démo : comment sécuriser des milliers de serveurs gratuitementDémo : comment sécuriser des milliers de serveurs gratuitement
Démo : comment sécuriser des milliers de serveurs gratuitementOpen Source Experience
 
GNU/Linux ou Android comme système d'exploitation embarqué ?
GNU/Linux ou Android comme système d'exploitation embarqué ?GNU/Linux ou Android comme système d'exploitation embarqué ?
GNU/Linux ou Android comme système d'exploitation embarqué ?Open Source Experience
 
Démystifier les architectures orientées événements avec Apache Kafka
Démystifier les architectures orientées événements avec Apache KafkaDémystifier les architectures orientées événements avec Apache Kafka
Démystifier les architectures orientées événements avec Apache KafkaOpen Source Experience
 
Partagez votre code et non vos secrets
Partagez votre code et non vos secretsPartagez votre code et non vos secrets
Partagez votre code et non vos secretsOpen Source Experience
 
Badge des bonnes pratiques OpenSSF de la CII
Badge des bonnes pratiques OpenSSF de la CIIBadge des bonnes pratiques OpenSSF de la CII
Badge des bonnes pratiques OpenSSF de la CIIOpen Source Experience
 

Plus de Open Source Experience (20)

GAFAM or not GAFAM dans les collectivités
GAFAM or not GAFAM dans les collectivitésGAFAM or not GAFAM dans les collectivités
GAFAM or not GAFAM dans les collectivités
 
API != REST - procmail à la rescousse
API != REST - procmail à la rescousseAPI != REST - procmail à la rescousse
API != REST - procmail à la rescousse
 
Vous souhaitez passer votre projet en open source ?
Vous souhaitez passer votre projet en open source ?Vous souhaitez passer votre projet en open source ?
Vous souhaitez passer votre projet en open source ?
 
Évolutions de la gouvernance des projets libres
Évolutions de la gouvernance des projets libresÉvolutions de la gouvernance des projets libres
Évolutions de la gouvernance des projets libres
 
Data in Motion : un enjeu pour la modernisation des systèmes d'information
Data in Motion : un enjeu pour la modernisation des systèmes d'informationData in Motion : un enjeu pour la modernisation des systèmes d'information
Data in Motion : un enjeu pour la modernisation des systèmes d'information
 
Gérer vos clusters Kubernetes avec Flux 2 et la méthode GitOps
Gérer vos clusters Kubernetes avec Flux 2 et la méthode GitOpsGérer vos clusters Kubernetes avec Flux 2 et la méthode GitOps
Gérer vos clusters Kubernetes avec Flux 2 et la méthode GitOps
 
Quelle est la valeur de l’open source ? Étude de l’UE sur l’impact de l’open ...
Quelle est la valeur de l’open source ? Étude de l’UE sur l’impact de l’open ...Quelle est la valeur de l’open source ? Étude de l’UE sur l’impact de l’open ...
Quelle est la valeur de l’open source ? Étude de l’UE sur l’impact de l’open ...
 
La montée en puissance de l’infrastructure ouverte
La montée en puissance de l’infrastructure ouverteLa montée en puissance de l’infrastructure ouverte
La montée en puissance de l’infrastructure ouverte
 
Mon application web en 20 minutes
Mon application web en 20 minutesMon application web en 20 minutes
Mon application web en 20 minutes
 
L’Open Science au service des personnes atteintes d’épilepsie
L’Open Science au service des personnes atteintes d’épilepsieL’Open Science au service des personnes atteintes d’épilepsie
L’Open Science au service des personnes atteintes d’épilepsie
 
Une infrastructure Cloud et une solution IDaaS 100% libres
Une infrastructure Cloud et une solution IDaaS 100% libresUne infrastructure Cloud et une solution IDaaS 100% libres
Une infrastructure Cloud et une solution IDaaS 100% libres
 
Impliquer des contributeurs externes dans son projet open source
Impliquer des contributeurs externes dans son projet open sourceImpliquer des contributeurs externes dans son projet open source
Impliquer des contributeurs externes dans son projet open source
 
AliceVision : pipeline de reconstruction 3D open source
AliceVision : pipeline de reconstruction 3D open sourceAliceVision : pipeline de reconstruction 3D open source
AliceVision : pipeline de reconstruction 3D open source
 
Analyse de la composition logicielle à l’aide d’outils open source
Analyse de la composition logicielle à l’aide d’outils open sourceAnalyse de la composition logicielle à l’aide d’outils open source
Analyse de la composition logicielle à l’aide d’outils open source
 
E-commerce en 2021 : grandes tendances technologiques dans le développement d...
E-commerce en 2021 : grandes tendances technologiques dans le développement d...E-commerce en 2021 : grandes tendances technologiques dans le développement d...
E-commerce en 2021 : grandes tendances technologiques dans le développement d...
 
Démo : comment sécuriser des milliers de serveurs gratuitement
Démo : comment sécuriser des milliers de serveurs gratuitementDémo : comment sécuriser des milliers de serveurs gratuitement
Démo : comment sécuriser des milliers de serveurs gratuitement
 
GNU/Linux ou Android comme système d'exploitation embarqué ?
GNU/Linux ou Android comme système d'exploitation embarqué ?GNU/Linux ou Android comme système d'exploitation embarqué ?
GNU/Linux ou Android comme système d'exploitation embarqué ?
 
Démystifier les architectures orientées événements avec Apache Kafka
Démystifier les architectures orientées événements avec Apache KafkaDémystifier les architectures orientées événements avec Apache Kafka
Démystifier les architectures orientées événements avec Apache Kafka
 
Partagez votre code et non vos secrets
Partagez votre code et non vos secretsPartagez votre code et non vos secrets
Partagez votre code et non vos secrets
 
Badge des bonnes pratiques OpenSSF de la CII
Badge des bonnes pratiques OpenSSF de la CIIBadge des bonnes pratiques OpenSSF de la CII
Badge des bonnes pratiques OpenSSF de la CII
 

Conseils de survie pour hiérarchiser les cybermenaces

  • 1. Réf. : Date : TLP: W HITE Prioriser les menaces ! Survival kit - 2021 #CVE #Exploits #CTI #Automation 2021 – Patrowl Meme included - All rights reserved Contact getsupport@patrowl.io SIDO - OSXP 2021
  • 2. C’est qui ce gars ? ► Pentester / Security auditor / Dev[Ops] ► Papa x2, Mari x1, Moto x0, Vélo x0, Trotinette x-1 ► Cinéma, Mario Kart, alimentation saine et planche à voile Nicolas MATTIOCCO CEO Patrowl.io // MaKyOtOx Offensive Security as a Service 2008 2013 2015 2017 Limited diffusion
  • 4. La gestion des vulnérabilités du RSSI en 1 slide Limited diffusion Identifier Prioriser Remédier Contrôler Périmètre Cartographie Cotation Exposition Couches SI Technologies Veille Vulnérabilités Attaques et exploits CTI Contrôles actifs Scans de vulnérabilités Tests d’intrusion Bug bounty Threat hunting Audits de configuration Audit de code Cyber scoring Reporting Suivi KPI Activités continues
  • 5. (Hyper-)Automatiser les contrôles Plus de contrôles Plus de conformité Plus souvent Plus efficacement Limited diffusion
  • 6. (Hyper-)Automatiser les contrôles Plus de contrôles + Fréquence augmentée = Plus de résultats = Plus d’alertes Limited diffusion
  • 7. Comment gérer les vulnérabilités plus efficacement ? Limited diffusion
  • 9. Il était une fois dans une équipe SOC Morning routine Limited diffusion
  • 10. Identifier les vulnérabilités les plus pertinentes ► Routine matinale d’un SOC/CERT == passer en revue les vulnérabilités ‘chaudes’ Sources: Vulnerability Feeds, CTI, Bluez, Redz, ‘Private channels’ … § Nous avons besoin de réponses sur notre exposition et/ou des éventuelles compromissions : ü S'agit-il d'une vulnérabilité avec un nom, un logo et un site Web dédié? @All: pas de panique! ü Qu'est-ce que le score de base CVSS? @SOC: Dites-nous! à Communication classique uniquement aux propriétaires de produits connus si elle est supérieure à 7,0 et continue si elle est supérieure à 9,0. ü Sommes-nous vulnérables ? @SOC + Redz: Confirmez les versions, les configurations et les contre-mesures en place sur nos actifs, contactez les Product Owner ! ü Sommes-nous exposés à partir d'Internet? @SOC + CTI: Dites-nous! ü La vulnérabilité est-elle identifiée sur des actifs critiques ? @SOC: Dites-nous! ü Sommes-nous au courant d'un exploit fonctionnel ? @Redz + CTI: Allez les trouver et testez-le! ü Existe-t-il un correctif ou une mesure compensatoire disponible ? Fiabilité ? @SOC + CTI: Dites-nous! ü Existe-t-il des catalyseurs de probabilité d’occurrence : exploité dans la nature ? Niveau de battage médiatique? Exploité par les acteurs de la menace concernés ? @CTI: Dites-nous! ü Sommes-nous déjà p0wned? @DFIR: enquêter et rassurer-nous! ü Sommes-nous capables de détecter l'exploitation ? @DFIR: dites-nous et / ou essayez de configurer des alertes! ü OK les gens, avons-nous suffisamment de données gérer en mode « crise » ? @CSIRT manager: oui / non! Limited diffusion
  • 11. Identifier les vulnérabilités les plus pertinentes § Travail d’équipe § Multiples expertises techniques requises § Pas seulement au sein de l'équipe CERT / CSIRT / SOC § D'autres équipes IT et Business sont à impliquer § Activités continues et en forte croissance § Métadonnées de vulnérabilités non statiques : § Nouveau patch disponible !?! § Nouvel exploit public ! § Nouvel article sur le blog d’un chercheur en sécurité ! Limited diffusion
  • 12. Prioritize or die La tendance est au Rating, ou plutôt aux métadonnées Limited diffusion
  • 13. Métriques de priorisation Vulnerability Threat Asset ~CVSS Base Score ~CVSS Temporal Score ~CVSS Environmental Score Limited diffusion
  • 14. Prioriser pour … décider ► 1/ Now+: Correction immédiate + cellule de crise ► 2/ Now: Correction immédiate ► 3/ Next: Attendre la prochaine campagne de vaccination patching ► 4/ Never: Correction si possible (non suivi) ► Exploit availability ► Exploit maturity ► Exploit ease ► Threat intensity ► Threat relevancy ► Criticality ► Vulnerable asset interface exposure ► Distribution Threat Asset Suggested actions ► CVSS Impact & exposure ► Patch availability ► Age of vulnerability ► Discovery ease ► Detection ease Vulnerability Limited diffusion
  • 15. Métriques contextualisées vs. Score simple ► Question #1: You have resources for fixing 1 vulnerability only. Which one do you plan to remediate ? Métriques Vulnérabilité #1 Vulnérabilité #2 Vulnérabilité #3 CVSS Base score 10.0 6.2 8.9 Exploitable à distance ? Yes Yes No Exposition de l’asset Internal network Internet Internet Criticité de l’asset Exploit disponible ? No Yes Yes Patch disponible ? Yes Yes No Relayé dans les news ? No No Yes critical medium high ► Question #2: You must manage 100 new vulnerabilities every day on average. How do you proceed at scale ? high high unkown Limited diffusion
  • 16. Monitorer les exploits et les metadonnées ? Confiance ? Disponibilité ? Format ? Sources ? Maturité ? Age ? Intérêt ? Limited diffusion Changes ?
  • 17. Contributions open-source - > Surveiller les vulnerabilités, les exploits et l’actualité - > Partager les vulnérabilités et les métriques PatrowlHears // AGPLv3 Limited diffusion
  • 19. PatrowlHears in a Nushell Open-source application and feeds ■ Vulnerability and metadata DB o CVE/CPE/CWE definitions from NVD o “CVE-less” vulnerabilities o Exploits: PoC, script, blog post, whitepaper, slidedeck, mail, tweet, video, notes, … o Threat news: Article, Blog post, Tweet o Vendor security advisories / bulletins ■ Monitoring tower o Vendor, product, packages, vulnerabilities o Track updates ■ Collaboration o Share monitoring lists, vulnerabilities and metadata ■ Vulnerability scoring system ■ Alerting o Email and Slack notifications o Daily/Weekly/Monthly reports ■ Responsive WEB + Full REST-API ready Limited diffusion
  • 20. PatrowlHears global architecture Exploits metadata Exploit-DB, Talos, PacketStorm, Nessus DB, HackerOne, SeeBug, TheHackerNews, … Vulnerabilities NVD: CVE, CWE, CPE, CAPEC Unreferenced (pip, npmjs, nuGet, WP, rubyGems, …) Continuous monitoring WEB UI REST-API DevOps, SecOps/SOC, Risk Manager Vulnerability scanners, scripts, security tools Vendor security advisories Notify Detect and Prioritize CI/CD pipelines Assets and artefacts inventory, CMDB Ticketing systems PatrowlHears OSINT & PatrowlCERT feeds Personal and research blogs, Github repositories, Tweets, videos, ‘dark-net’ forums, … Limited diffusion
  • 21. Retenons au moins 2 idées 1. Toujours contextualiser les vulnérabilités Limited diffusion 2. Automatiser pour gagner en maturité § Impossible de traiter toutes les vulnérabilités § CVSS Base score insuffisant § « ressources disponible » / « risque couvert » § Exploits et catalyseurs § Cartographie, identification de vulnérabilités, corrections § Veille et Surveillance des métriques (exploits, news, hype) § Détection des faux-positifs § Intégration avec les CMDB et outils de ticketing § Reporting et KPI
  • 22. Réf. : Date : 29 Nicolas MATTIOCCO ✉ nicolas@patrowl.io 📱 +33 (0) 6.20.70.47.78 Contact MERCI ! Je le savais que je n’allais pas tenir les 20 min …