SlideShare une entreprise Scribd logo
Réf. :
Date :
TLP: W
HITE
Prioriser les menaces !
Survival kit - 2021
#CVE #Exploits #CTI #Automation
2021 – Patrowl
Meme included - All rights reserved
Contact getsupport@patrowl.io
SIDO
- OSXP
2021
C’est qui ce gars ?
► Pentester / Security auditor / Dev[Ops]
► Papa x2, Mari x1, Moto x0, Vélo x0, Trotinette x-1
► Cinéma, Mario Kart, alimentation saine et planche à voile
Nicolas MATTIOCCO
CEO Patrowl.io // MaKyOtOx
Offensive Security as a Service
2008
2013
2015
2017
Limited
diffusion
Comment gérer les
vulnérabilités ?
Limited
diffusion
La gestion des vulnérabilités du RSSI en 1 slide
Limited
diffusion
Identifier Prioriser Remédier Contrôler
Périmètre
Cartographie
Cotation
Exposition
Couches SI
Technologies
Veille
Vulnérabilités
Attaques et exploits
CTI
Contrôles actifs
Scans de vulnérabilités
Tests d’intrusion
Bug bounty
Threat hunting
Audits de configuration
Audit de code
Cyber scoring
Reporting
Suivi
KPI
Activités continues
(Hyper-)Automatiser les contrôles
Plus
de contrôles
Plus
de conformité
Plus
souvent
Plus
efficacement
Limited
diffusion
(Hyper-)Automatiser les contrôles
Plus de contrôles + Fréquence
augmentée
=
Plus de résultats
=
Plus d’alertes
Limited
diffusion
Comment gérer les
vulnérabilités plus
efficacement ?
Limited
diffusion
Prioriser.
Limited
diffusion
Il était une fois dans une équipe SOC
Morning routine
Limited
diffusion
Identifier les vulnérabilités les plus pertinentes
► Routine matinale d’un SOC/CERT == passer en revue les vulnérabilités ‘chaudes’
Sources: Vulnerability Feeds, CTI, Bluez, Redz, ‘Private channels’ …
§ Nous avons besoin de réponses sur notre exposition et/ou des éventuelles compromissions :
ü S'agit-il d'une vulnérabilité avec un nom, un logo et un site Web dédié? @All: pas de panique!
ü Qu'est-ce que le score de base CVSS? @SOC: Dites-nous!
à Communication classique uniquement aux propriétaires de produits connus si elle est supérieure à 7,0 et
continue si elle est supérieure à 9,0.
ü Sommes-nous vulnérables ? @SOC + Redz: Confirmez les versions, les configurations et les contre-mesures en
place sur nos actifs, contactez les Product Owner !
ü Sommes-nous exposés à partir d'Internet? @SOC + CTI: Dites-nous!
ü La vulnérabilité est-elle identifiée sur des actifs critiques ? @SOC: Dites-nous!
ü Sommes-nous au courant d'un exploit fonctionnel ? @Redz + CTI: Allez les trouver et testez-le!
ü Existe-t-il un correctif ou une mesure compensatoire disponible ? Fiabilité ? @SOC + CTI: Dites-nous!
ü Existe-t-il des catalyseurs de probabilité d’occurrence : exploité dans la nature ? Niveau de battage médiatique?
Exploité par les acteurs de la menace concernés ? @CTI: Dites-nous!
ü Sommes-nous déjà p0wned? @DFIR: enquêter et rassurer-nous!
ü Sommes-nous capables de détecter l'exploitation ? @DFIR: dites-nous et / ou essayez de configurer des alertes!
ü OK les gens, avons-nous suffisamment de données gérer en mode « crise » ? @CSIRT manager: oui / non!
Limited
diffusion
Identifier les vulnérabilités les plus pertinentes
§ Travail d’équipe
§ Multiples expertises techniques requises
§ Pas seulement au sein de l'équipe CERT / CSIRT / SOC
§ D'autres équipes IT et Business sont à impliquer
§ Activités continues et en forte croissance
§ Métadonnées de vulnérabilités non statiques :
§ Nouveau patch disponible !?!
§ Nouvel exploit public !
§ Nouvel article sur le blog d’un chercheur en sécurité !
Limited
diffusion
Prioritize or die
La tendance est au Rating, ou
plutôt aux métadonnées
Limited
diffusion
Métriques de priorisation
Vulnerability
Threat
Asset
~CVSS Base Score
~CVSS
Temporal
Score
~CVSS
Environmental
Score
Limited
diffusion
Prioriser pour … décider
► 1/ Now+: Correction immédiate + cellule de crise
► 2/ Now: Correction immédiate
► 3/ Next: Attendre la prochaine campagne de vaccination patching
► 4/ Never: Correction si possible (non suivi)
► Exploit availability
► Exploit maturity
► Exploit ease
► Threat intensity
► Threat relevancy
► Criticality
► Vulnerable asset interface
exposure
► Distribution
Threat Asset
Suggested actions
► CVSS Impact & exposure
► Patch availability
► Age of vulnerability
► Discovery ease
► Detection ease
Vulnerability
Limited
diffusion
Métriques contextualisées vs. Score simple
► Question #1: You have resources for fixing 1 vulnerability only. Which one do you plan to remediate ?
Métriques Vulnérabilité #1 Vulnérabilité #2 Vulnérabilité #3
CVSS Base score 10.0 6.2 8.9
Exploitable à distance ? Yes Yes No
Exposition de l’asset Internal network Internet Internet
Criticité de l’asset
Exploit disponible ? No Yes Yes
Patch disponible ? Yes Yes No
Relayé dans les news ? No No Yes
critical medium high
► Question #2: You must manage 100 new vulnerabilities every day on average. How do you proceed at scale ?
high high unkown
Limited
diffusion
Monitorer les exploits et les metadonnées ?
Confiance ?
Disponibilité ?
Format ?
Sources ?
Maturité ?
Age ?
Intérêt ?
Limited
diffusion
Changes ?
Contributions open-source
- > Surveiller les vulnerabilités, les exploits et l’actualité
- > Partager les vulnérabilités et les métriques
PatrowlHears // AGPLv3
Limited
diffusion
Limited
diffusion
PatrowlHears in a Nushell
Open-source application and feeds
■ Vulnerability and metadata DB
o CVE/CPE/CWE definitions from NVD
o “CVE-less” vulnerabilities
o Exploits: PoC, script, blog post, whitepaper,
slidedeck, mail, tweet, video, notes, …
o Threat news: Article, Blog post, Tweet
o Vendor security advisories / bulletins
■ Monitoring tower
o Vendor, product, packages, vulnerabilities
o Track updates
■ Collaboration
o Share monitoring lists, vulnerabilities and metadata
■ Vulnerability scoring system
■ Alerting
o Email and Slack notifications
o Daily/Weekly/Monthly reports
■ Responsive WEB + Full REST-API ready
Limited
diffusion
PatrowlHears global architecture
Exploits metadata
Exploit-DB, Talos, PacketStorm, Nessus DB,
HackerOne, SeeBug, TheHackerNews, …
Vulnerabilities
NVD: CVE, CWE, CPE, CAPEC
Unreferenced (pip, npmjs, nuGet,
WP, rubyGems, …)
Continuous
monitoring
WEB UI REST-API
DevOps,
SecOps/SOC,
Risk Manager
Vulnerability
scanners,
scripts,
security
tools
Vendor security advisories
Notify
Detect and
Prioritize
CI/CD
pipelines
Assets and
artefacts
inventory,
CMDB
Ticketing
systems
PatrowlHears
OSINT & PatrowlCERT feeds
Personal and research blogs, Github
repositories, Tweets, videos, ‘dark-net’
forums, …
Limited
diffusion
Retenons au moins 2 idées
1. Toujours contextualiser
les vulnérabilités
Limited
diffusion
2. Automatiser pour gagner
en maturité
§ Impossible de traiter toutes les
vulnérabilités
§ CVSS Base score insuffisant
§ « ressources disponible » /
« risque couvert »
§ Exploits et catalyseurs
§ Cartographie, identification de
vulnérabilités, corrections
§ Veille et Surveillance des
métriques (exploits, news, hype)
§ Détection des faux-positifs
§ Intégration avec les CMDB et
outils de ticketing
§ Reporting et KPI
Réf. :
Date :
29
Nicolas MATTIOCCO
✉ nicolas@patrowl.io
📱 +33 (0) 6.20.70.47.78
Contact
MERCI !
Je le savais que je n’allais pas tenir les 20 min …

Contenu connexe

Tendances

Sandboxing, une nouvelle défense contre les menaces intelligentes
Sandboxing, une nouvelle défense contre les menaces intelligentesSandboxing, une nouvelle défense contre les menaces intelligentes
Sandboxing, une nouvelle défense contre les menaces intelligentes
e-Xpert Solutions SA
 
Livret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & FortinetLivret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & Fortinet
Exaprobe
 
Elastic Detector vu par un Ethical Hacker
Elastic Detector vu par un Ethical HackerElastic Detector vu par un Ethical Hacker
Elastic Detector vu par un Ethical Hacker
SecludIT
 
Ibm sécurité marcel labelle 16 9 pdf
Ibm sécurité marcel labelle 16 9 pdfIbm sécurité marcel labelle 16 9 pdf
Ibm sécurité marcel labelle 16 9 pdf
ColloqueRISQ
 
Cloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud itCloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud it
SecludIT
 
Quantum computing & cyber securite
Quantum computing & cyber securiteQuantum computing & cyber securite
Quantum computing & cyber securite
Estelle Auberix
 
APT (menaces avancées) : peut on toutes les attraper ?
APT (menaces avancées) : peut on toutes les attraper ?APT (menaces avancées) : peut on toutes les attraper ?
APT (menaces avancées) : peut on toutes les attraper ?
ITrust - Cybersecurity as a Service
 
Ucsec formation-mettre-en-oeuvre-la-securite-de-cisco-unified-communications
Ucsec formation-mettre-en-oeuvre-la-securite-de-cisco-unified-communicationsUcsec formation-mettre-en-oeuvre-la-securite-de-cisco-unified-communications
Ucsec formation-mettre-en-oeuvre-la-securite-de-cisco-unified-communications
CERTyou Formation
 
Innovations dans la cybersecurite
Innovations dans la cybersecuriteInnovations dans la cybersecurite
Innovations dans la cybersecurite
SecludIT
 
Offre entreprise
Offre entrepriseOffre entreprise
Offre entreprise
Julien Cayssol
 
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorLa seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic Detector
SecludIT
 
Simplifiez la sécurisation de vos données par chiffrement transparent
Simplifiez la sécurisation de vos données par chiffrement transparentSimplifiez la sécurisation de vos données par chiffrement transparent
Simplifiez la sécurisation de vos données par chiffrement transparent
Kyos
 
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, KyosTest d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
Net4All
 
Ensemble fortifions la chaîne de défense
Ensemble fortifions la chaîne de défenseEnsemble fortifions la chaîne de défense
Ensemble fortifions la chaîne de défense
Kyos
 
sécurité du cloud... un nuage à multiples facettes
sécurité du cloud... un nuage à multiples facettes sécurité du cloud... un nuage à multiples facettes
sécurité du cloud... un nuage à multiples facettes
Orange Business Services
 
Rgpd : le principe d'accountability et les outils de mise en conformité
Rgpd : le principe d'accountability et les outils de mise en conformitéRgpd : le principe d'accountability et les outils de mise en conformité
Rgpd : le principe d'accountability et les outils de mise en conformité
Bernard LAMON
 
La sécurité du Cloud Computing
La sécurité du Cloud ComputingLa sécurité du Cloud Computing
La sécurité du Cloud Computing
Oumaima Karim
 
De la Securité Informatique a l’Identite Numerique 2.0
De la Securité Informatique a l’Identite Numerique 2.0De la Securité Informatique a l’Identite Numerique 2.0
De la Securité Informatique a l’Identite Numerique 2.0
Eric Herschkorn
 

Tendances (18)

Sandboxing, une nouvelle défense contre les menaces intelligentes
Sandboxing, une nouvelle défense contre les menaces intelligentesSandboxing, une nouvelle défense contre les menaces intelligentes
Sandboxing, une nouvelle défense contre les menaces intelligentes
 
Livret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & FortinetLivret Seamless Security exaprobe & Fortinet
Livret Seamless Security exaprobe & Fortinet
 
Elastic Detector vu par un Ethical Hacker
Elastic Detector vu par un Ethical HackerElastic Detector vu par un Ethical Hacker
Elastic Detector vu par un Ethical Hacker
 
Ibm sécurité marcel labelle 16 9 pdf
Ibm sécurité marcel labelle 16 9 pdfIbm sécurité marcel labelle 16 9 pdf
Ibm sécurité marcel labelle 16 9 pdf
 
Cloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud itCloud workload protection for obs by seclud it
Cloud workload protection for obs by seclud it
 
Quantum computing & cyber securite
Quantum computing & cyber securiteQuantum computing & cyber securite
Quantum computing & cyber securite
 
APT (menaces avancées) : peut on toutes les attraper ?
APT (menaces avancées) : peut on toutes les attraper ?APT (menaces avancées) : peut on toutes les attraper ?
APT (menaces avancées) : peut on toutes les attraper ?
 
Ucsec formation-mettre-en-oeuvre-la-securite-de-cisco-unified-communications
Ucsec formation-mettre-en-oeuvre-la-securite-de-cisco-unified-communicationsUcsec formation-mettre-en-oeuvre-la-securite-de-cisco-unified-communications
Ucsec formation-mettre-en-oeuvre-la-securite-de-cisco-unified-communications
 
Innovations dans la cybersecurite
Innovations dans la cybersecuriteInnovations dans la cybersecurite
Innovations dans la cybersecurite
 
Offre entreprise
Offre entrepriseOffre entreprise
Offre entreprise
 
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorLa seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic Detector
 
Simplifiez la sécurisation de vos données par chiffrement transparent
Simplifiez la sécurisation de vos données par chiffrement transparentSimplifiez la sécurisation de vos données par chiffrement transparent
Simplifiez la sécurisation de vos données par chiffrement transparent
 
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, KyosTest d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
 
Ensemble fortifions la chaîne de défense
Ensemble fortifions la chaîne de défenseEnsemble fortifions la chaîne de défense
Ensemble fortifions la chaîne de défense
 
sécurité du cloud... un nuage à multiples facettes
sécurité du cloud... un nuage à multiples facettes sécurité du cloud... un nuage à multiples facettes
sécurité du cloud... un nuage à multiples facettes
 
Rgpd : le principe d'accountability et les outils de mise en conformité
Rgpd : le principe d'accountability et les outils de mise en conformitéRgpd : le principe d'accountability et les outils de mise en conformité
Rgpd : le principe d'accountability et les outils de mise en conformité
 
La sécurité du Cloud Computing
La sécurité du Cloud ComputingLa sécurité du Cloud Computing
La sécurité du Cloud Computing
 
De la Securité Informatique a l’Identite Numerique 2.0
De la Securité Informatique a l’Identite Numerique 2.0De la Securité Informatique a l’Identite Numerique 2.0
De la Securité Informatique a l’Identite Numerique 2.0
 

Similaire à Conseils de survie pour hiérarchiser les cybermenaces

2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
Sébastien GIORIA
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoT
Maxime ALAY-EDDINE
 
Comment se protéger contre les menaces de CTB Locker (ransomware)?
Comment se protéger contre les menaces de CTB Locker (ransomware)?Comment se protéger contre les menaces de CTB Locker (ransomware)?
Comment se protéger contre les menaces de CTB Locker (ransomware)?
ATN Groupe
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
Maxime ALAY-EDDINE
 
Gestion d'incidents pour développeurs
Gestion d'incidents pour développeursGestion d'incidents pour développeurs
Gestion d'incidents pour développeurs
Harvey Francois
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
waggaland
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
Comsoce
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
Comsoce
 
Baromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdfBaromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdf
ssuser384b72
 
Paris Chaos Engineering Meetup #6
Paris Chaos Engineering Meetup #6Paris Chaos Engineering Meetup #6
Paris Chaos Engineering Meetup #6
Christophe Rochefolle
 
Meetup aws user group lille 2018 chaos engineering
Meetup aws user group lille 2018   chaos engineeringMeetup aws user group lille 2018   chaos engineering
Meetup aws user group lille 2018 chaos engineering
Benjamin Gakic
 
Slides du meetup devops aix-marseille d'ocotbre 2023
Slides du meetup devops aix-marseille d'ocotbre 2023Slides du meetup devops aix-marseille d'ocotbre 2023
Slides du meetup devops aix-marseille d'ocotbre 2023
Frederic Leger
 
Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018
African Cyber Security Summit
 
Management des vulnérabilités - Greenbone OpenVas
Management des vulnérabilités - Greenbone OpenVasManagement des vulnérabilités - Greenbone OpenVas
Management des vulnérabilités - Greenbone OpenVas
EyesOpen Association
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
ssuserdd27481
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
PMI-Montréal
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Vumetric
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations
NetSecure Day
 
SEGURET_presentation_secur_Lyon_seguret.pdf
SEGURET_presentation_secur_Lyon_seguret.pdfSEGURET_presentation_secur_Lyon_seguret.pdf
SEGURET_presentation_secur_Lyon_seguret.pdf
AssociationAF
 
Matinée Cybercriminalité
Matinée CybercriminalitéMatinée Cybercriminalité
Matinée Cybercriminalité
Evenements01
 

Similaire à Conseils de survie pour hiérarchiser les cybermenaces (20)

2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoT
 
Comment se protéger contre les menaces de CTB Locker (ransomware)?
Comment se protéger contre les menaces de CTB Locker (ransomware)?Comment se protéger contre les menaces de CTB Locker (ransomware)?
Comment se protéger contre les menaces de CTB Locker (ransomware)?
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
 
Gestion d'incidents pour développeurs
Gestion d'incidents pour développeursGestion d'incidents pour développeurs
Gestion d'incidents pour développeurs
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
 
Baromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdfBaromètre BlackNoise 2022.pdf
Baromètre BlackNoise 2022.pdf
 
Paris Chaos Engineering Meetup #6
Paris Chaos Engineering Meetup #6Paris Chaos Engineering Meetup #6
Paris Chaos Engineering Meetup #6
 
Meetup aws user group lille 2018 chaos engineering
Meetup aws user group lille 2018   chaos engineeringMeetup aws user group lille 2018   chaos engineering
Meetup aws user group lille 2018 chaos engineering
 
Slides du meetup devops aix-marseille d'ocotbre 2023
Slides du meetup devops aix-marseille d'ocotbre 2023Slides du meetup devops aix-marseille d'ocotbre 2023
Slides du meetup devops aix-marseille d'ocotbre 2023
 
Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018
 
Management des vulnérabilités - Greenbone OpenVas
Management des vulnérabilités - Greenbone OpenVasManagement des vulnérabilités - Greenbone OpenVas
Management des vulnérabilités - Greenbone OpenVas
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations
 
SEGURET_presentation_secur_Lyon_seguret.pdf
SEGURET_presentation_secur_Lyon_seguret.pdfSEGURET_presentation_secur_Lyon_seguret.pdf
SEGURET_presentation_secur_Lyon_seguret.pdf
 
Matinée Cybercriminalité
Matinée CybercriminalitéMatinée Cybercriminalité
Matinée Cybercriminalité
 

Plus de Open Source Experience

GAFAM or not GAFAM dans les collectivités
GAFAM or not GAFAM dans les collectivitésGAFAM or not GAFAM dans les collectivités
GAFAM or not GAFAM dans les collectivités
Open Source Experience
 
API != REST - procmail à la rescousse
API != REST - procmail à la rescousseAPI != REST - procmail à la rescousse
API != REST - procmail à la rescousse
Open Source Experience
 
Vous souhaitez passer votre projet en open source ?
Vous souhaitez passer votre projet en open source ?Vous souhaitez passer votre projet en open source ?
Vous souhaitez passer votre projet en open source ?
Open Source Experience
 
Évolutions de la gouvernance des projets libres
Évolutions de la gouvernance des projets libresÉvolutions de la gouvernance des projets libres
Évolutions de la gouvernance des projets libres
Open Source Experience
 
Data in Motion : un enjeu pour la modernisation des systèmes d'information
Data in Motion : un enjeu pour la modernisation des systèmes d'informationData in Motion : un enjeu pour la modernisation des systèmes d'information
Data in Motion : un enjeu pour la modernisation des systèmes d'information
Open Source Experience
 
Gérer vos clusters Kubernetes avec Flux 2 et la méthode GitOps
Gérer vos clusters Kubernetes avec Flux 2 et la méthode GitOpsGérer vos clusters Kubernetes avec Flux 2 et la méthode GitOps
Gérer vos clusters Kubernetes avec Flux 2 et la méthode GitOps
Open Source Experience
 
Quelle est la valeur de l’open source ? Étude de l’UE sur l’impact de l’open ...
Quelle est la valeur de l’open source ? Étude de l’UE sur l’impact de l’open ...Quelle est la valeur de l’open source ? Étude de l’UE sur l’impact de l’open ...
Quelle est la valeur de l’open source ? Étude de l’UE sur l’impact de l’open ...
Open Source Experience
 
La montée en puissance de l’infrastructure ouverte
La montée en puissance de l’infrastructure ouverteLa montée en puissance de l’infrastructure ouverte
La montée en puissance de l’infrastructure ouverte
Open Source Experience
 
Mon application web en 20 minutes
Mon application web en 20 minutesMon application web en 20 minutes
Mon application web en 20 minutes
Open Source Experience
 
L’Open Science au service des personnes atteintes d’épilepsie
L’Open Science au service des personnes atteintes d’épilepsieL’Open Science au service des personnes atteintes d’épilepsie
L’Open Science au service des personnes atteintes d’épilepsie
Open Source Experience
 
Une infrastructure Cloud et une solution IDaaS 100% libres
Une infrastructure Cloud et une solution IDaaS 100% libresUne infrastructure Cloud et une solution IDaaS 100% libres
Une infrastructure Cloud et une solution IDaaS 100% libres
Open Source Experience
 
Impliquer des contributeurs externes dans son projet open source
Impliquer des contributeurs externes dans son projet open sourceImpliquer des contributeurs externes dans son projet open source
Impliquer des contributeurs externes dans son projet open source
Open Source Experience
 
AliceVision : pipeline de reconstruction 3D open source
AliceVision : pipeline de reconstruction 3D open sourceAliceVision : pipeline de reconstruction 3D open source
AliceVision : pipeline de reconstruction 3D open source
Open Source Experience
 
Analyse de la composition logicielle à l’aide d’outils open source
Analyse de la composition logicielle à l’aide d’outils open sourceAnalyse de la composition logicielle à l’aide d’outils open source
Analyse de la composition logicielle à l’aide d’outils open source
Open Source Experience
 
E-commerce en 2021 : grandes tendances technologiques dans le développement d...
E-commerce en 2021 : grandes tendances technologiques dans le développement d...E-commerce en 2021 : grandes tendances technologiques dans le développement d...
E-commerce en 2021 : grandes tendances technologiques dans le développement d...
Open Source Experience
 
Démo : comment sécuriser des milliers de serveurs gratuitement
Démo : comment sécuriser des milliers de serveurs gratuitementDémo : comment sécuriser des milliers de serveurs gratuitement
Démo : comment sécuriser des milliers de serveurs gratuitement
Open Source Experience
 
GNU/Linux ou Android comme système d'exploitation embarqué ?
GNU/Linux ou Android comme système d'exploitation embarqué ?GNU/Linux ou Android comme système d'exploitation embarqué ?
GNU/Linux ou Android comme système d'exploitation embarqué ?
Open Source Experience
 
Démystifier les architectures orientées événements avec Apache Kafka
Démystifier les architectures orientées événements avec Apache KafkaDémystifier les architectures orientées événements avec Apache Kafka
Démystifier les architectures orientées événements avec Apache Kafka
Open Source Experience
 
Partagez votre code et non vos secrets
Partagez votre code et non vos secretsPartagez votre code et non vos secrets
Partagez votre code et non vos secrets
Open Source Experience
 
Badge des bonnes pratiques OpenSSF de la CII
Badge des bonnes pratiques OpenSSF de la CIIBadge des bonnes pratiques OpenSSF de la CII
Badge des bonnes pratiques OpenSSF de la CII
Open Source Experience
 

Plus de Open Source Experience (20)

GAFAM or not GAFAM dans les collectivités
GAFAM or not GAFAM dans les collectivitésGAFAM or not GAFAM dans les collectivités
GAFAM or not GAFAM dans les collectivités
 
API != REST - procmail à la rescousse
API != REST - procmail à la rescousseAPI != REST - procmail à la rescousse
API != REST - procmail à la rescousse
 
Vous souhaitez passer votre projet en open source ?
Vous souhaitez passer votre projet en open source ?Vous souhaitez passer votre projet en open source ?
Vous souhaitez passer votre projet en open source ?
 
Évolutions de la gouvernance des projets libres
Évolutions de la gouvernance des projets libresÉvolutions de la gouvernance des projets libres
Évolutions de la gouvernance des projets libres
 
Data in Motion : un enjeu pour la modernisation des systèmes d'information
Data in Motion : un enjeu pour la modernisation des systèmes d'informationData in Motion : un enjeu pour la modernisation des systèmes d'information
Data in Motion : un enjeu pour la modernisation des systèmes d'information
 
Gérer vos clusters Kubernetes avec Flux 2 et la méthode GitOps
Gérer vos clusters Kubernetes avec Flux 2 et la méthode GitOpsGérer vos clusters Kubernetes avec Flux 2 et la méthode GitOps
Gérer vos clusters Kubernetes avec Flux 2 et la méthode GitOps
 
Quelle est la valeur de l’open source ? Étude de l’UE sur l’impact de l’open ...
Quelle est la valeur de l’open source ? Étude de l’UE sur l’impact de l’open ...Quelle est la valeur de l’open source ? Étude de l’UE sur l’impact de l’open ...
Quelle est la valeur de l’open source ? Étude de l’UE sur l’impact de l’open ...
 
La montée en puissance de l’infrastructure ouverte
La montée en puissance de l’infrastructure ouverteLa montée en puissance de l’infrastructure ouverte
La montée en puissance de l’infrastructure ouverte
 
Mon application web en 20 minutes
Mon application web en 20 minutesMon application web en 20 minutes
Mon application web en 20 minutes
 
L’Open Science au service des personnes atteintes d’épilepsie
L’Open Science au service des personnes atteintes d’épilepsieL’Open Science au service des personnes atteintes d’épilepsie
L’Open Science au service des personnes atteintes d’épilepsie
 
Une infrastructure Cloud et une solution IDaaS 100% libres
Une infrastructure Cloud et une solution IDaaS 100% libresUne infrastructure Cloud et une solution IDaaS 100% libres
Une infrastructure Cloud et une solution IDaaS 100% libres
 
Impliquer des contributeurs externes dans son projet open source
Impliquer des contributeurs externes dans son projet open sourceImpliquer des contributeurs externes dans son projet open source
Impliquer des contributeurs externes dans son projet open source
 
AliceVision : pipeline de reconstruction 3D open source
AliceVision : pipeline de reconstruction 3D open sourceAliceVision : pipeline de reconstruction 3D open source
AliceVision : pipeline de reconstruction 3D open source
 
Analyse de la composition logicielle à l’aide d’outils open source
Analyse de la composition logicielle à l’aide d’outils open sourceAnalyse de la composition logicielle à l’aide d’outils open source
Analyse de la composition logicielle à l’aide d’outils open source
 
E-commerce en 2021 : grandes tendances technologiques dans le développement d...
E-commerce en 2021 : grandes tendances technologiques dans le développement d...E-commerce en 2021 : grandes tendances technologiques dans le développement d...
E-commerce en 2021 : grandes tendances technologiques dans le développement d...
 
Démo : comment sécuriser des milliers de serveurs gratuitement
Démo : comment sécuriser des milliers de serveurs gratuitementDémo : comment sécuriser des milliers de serveurs gratuitement
Démo : comment sécuriser des milliers de serveurs gratuitement
 
GNU/Linux ou Android comme système d'exploitation embarqué ?
GNU/Linux ou Android comme système d'exploitation embarqué ?GNU/Linux ou Android comme système d'exploitation embarqué ?
GNU/Linux ou Android comme système d'exploitation embarqué ?
 
Démystifier les architectures orientées événements avec Apache Kafka
Démystifier les architectures orientées événements avec Apache KafkaDémystifier les architectures orientées événements avec Apache Kafka
Démystifier les architectures orientées événements avec Apache Kafka
 
Partagez votre code et non vos secrets
Partagez votre code et non vos secretsPartagez votre code et non vos secrets
Partagez votre code et non vos secrets
 
Badge des bonnes pratiques OpenSSF de la CII
Badge des bonnes pratiques OpenSSF de la CIIBadge des bonnes pratiques OpenSSF de la CII
Badge des bonnes pratiques OpenSSF de la CII
 

Conseils de survie pour hiérarchiser les cybermenaces

  • 1. Réf. : Date : TLP: W HITE Prioriser les menaces ! Survival kit - 2021 #CVE #Exploits #CTI #Automation 2021 – Patrowl Meme included - All rights reserved Contact getsupport@patrowl.io SIDO - OSXP 2021
  • 2. C’est qui ce gars ? ► Pentester / Security auditor / Dev[Ops] ► Papa x2, Mari x1, Moto x0, Vélo x0, Trotinette x-1 ► Cinéma, Mario Kart, alimentation saine et planche à voile Nicolas MATTIOCCO CEO Patrowl.io // MaKyOtOx Offensive Security as a Service 2008 2013 2015 2017 Limited diffusion
  • 4. La gestion des vulnérabilités du RSSI en 1 slide Limited diffusion Identifier Prioriser Remédier Contrôler Périmètre Cartographie Cotation Exposition Couches SI Technologies Veille Vulnérabilités Attaques et exploits CTI Contrôles actifs Scans de vulnérabilités Tests d’intrusion Bug bounty Threat hunting Audits de configuration Audit de code Cyber scoring Reporting Suivi KPI Activités continues
  • 5. (Hyper-)Automatiser les contrôles Plus de contrôles Plus de conformité Plus souvent Plus efficacement Limited diffusion
  • 6. (Hyper-)Automatiser les contrôles Plus de contrôles + Fréquence augmentée = Plus de résultats = Plus d’alertes Limited diffusion
  • 7. Comment gérer les vulnérabilités plus efficacement ? Limited diffusion
  • 9. Il était une fois dans une équipe SOC Morning routine Limited diffusion
  • 10. Identifier les vulnérabilités les plus pertinentes ► Routine matinale d’un SOC/CERT == passer en revue les vulnérabilités ‘chaudes’ Sources: Vulnerability Feeds, CTI, Bluez, Redz, ‘Private channels’ … § Nous avons besoin de réponses sur notre exposition et/ou des éventuelles compromissions : ü S'agit-il d'une vulnérabilité avec un nom, un logo et un site Web dédié? @All: pas de panique! ü Qu'est-ce que le score de base CVSS? @SOC: Dites-nous! à Communication classique uniquement aux propriétaires de produits connus si elle est supérieure à 7,0 et continue si elle est supérieure à 9,0. ü Sommes-nous vulnérables ? @SOC + Redz: Confirmez les versions, les configurations et les contre-mesures en place sur nos actifs, contactez les Product Owner ! ü Sommes-nous exposés à partir d'Internet? @SOC + CTI: Dites-nous! ü La vulnérabilité est-elle identifiée sur des actifs critiques ? @SOC: Dites-nous! ü Sommes-nous au courant d'un exploit fonctionnel ? @Redz + CTI: Allez les trouver et testez-le! ü Existe-t-il un correctif ou une mesure compensatoire disponible ? Fiabilité ? @SOC + CTI: Dites-nous! ü Existe-t-il des catalyseurs de probabilité d’occurrence : exploité dans la nature ? Niveau de battage médiatique? Exploité par les acteurs de la menace concernés ? @CTI: Dites-nous! ü Sommes-nous déjà p0wned? @DFIR: enquêter et rassurer-nous! ü Sommes-nous capables de détecter l'exploitation ? @DFIR: dites-nous et / ou essayez de configurer des alertes! ü OK les gens, avons-nous suffisamment de données gérer en mode « crise » ? @CSIRT manager: oui / non! Limited diffusion
  • 11. Identifier les vulnérabilités les plus pertinentes § Travail d’équipe § Multiples expertises techniques requises § Pas seulement au sein de l'équipe CERT / CSIRT / SOC § D'autres équipes IT et Business sont à impliquer § Activités continues et en forte croissance § Métadonnées de vulnérabilités non statiques : § Nouveau patch disponible !?! § Nouvel exploit public ! § Nouvel article sur le blog d’un chercheur en sécurité ! Limited diffusion
  • 12. Prioritize or die La tendance est au Rating, ou plutôt aux métadonnées Limited diffusion
  • 13. Métriques de priorisation Vulnerability Threat Asset ~CVSS Base Score ~CVSS Temporal Score ~CVSS Environmental Score Limited diffusion
  • 14. Prioriser pour … décider ► 1/ Now+: Correction immédiate + cellule de crise ► 2/ Now: Correction immédiate ► 3/ Next: Attendre la prochaine campagne de vaccination patching ► 4/ Never: Correction si possible (non suivi) ► Exploit availability ► Exploit maturity ► Exploit ease ► Threat intensity ► Threat relevancy ► Criticality ► Vulnerable asset interface exposure ► Distribution Threat Asset Suggested actions ► CVSS Impact & exposure ► Patch availability ► Age of vulnerability ► Discovery ease ► Detection ease Vulnerability Limited diffusion
  • 15. Métriques contextualisées vs. Score simple ► Question #1: You have resources for fixing 1 vulnerability only. Which one do you plan to remediate ? Métriques Vulnérabilité #1 Vulnérabilité #2 Vulnérabilité #3 CVSS Base score 10.0 6.2 8.9 Exploitable à distance ? Yes Yes No Exposition de l’asset Internal network Internet Internet Criticité de l’asset Exploit disponible ? No Yes Yes Patch disponible ? Yes Yes No Relayé dans les news ? No No Yes critical medium high ► Question #2: You must manage 100 new vulnerabilities every day on average. How do you proceed at scale ? high high unkown Limited diffusion
  • 16. Monitorer les exploits et les metadonnées ? Confiance ? Disponibilité ? Format ? Sources ? Maturité ? Age ? Intérêt ? Limited diffusion Changes ?
  • 17. Contributions open-source - > Surveiller les vulnerabilités, les exploits et l’actualité - > Partager les vulnérabilités et les métriques PatrowlHears // AGPLv3 Limited diffusion
  • 19. PatrowlHears in a Nushell Open-source application and feeds ■ Vulnerability and metadata DB o CVE/CPE/CWE definitions from NVD o “CVE-less” vulnerabilities o Exploits: PoC, script, blog post, whitepaper, slidedeck, mail, tweet, video, notes, … o Threat news: Article, Blog post, Tweet o Vendor security advisories / bulletins ■ Monitoring tower o Vendor, product, packages, vulnerabilities o Track updates ■ Collaboration o Share monitoring lists, vulnerabilities and metadata ■ Vulnerability scoring system ■ Alerting o Email and Slack notifications o Daily/Weekly/Monthly reports ■ Responsive WEB + Full REST-API ready Limited diffusion
  • 20. PatrowlHears global architecture Exploits metadata Exploit-DB, Talos, PacketStorm, Nessus DB, HackerOne, SeeBug, TheHackerNews, … Vulnerabilities NVD: CVE, CWE, CPE, CAPEC Unreferenced (pip, npmjs, nuGet, WP, rubyGems, …) Continuous monitoring WEB UI REST-API DevOps, SecOps/SOC, Risk Manager Vulnerability scanners, scripts, security tools Vendor security advisories Notify Detect and Prioritize CI/CD pipelines Assets and artefacts inventory, CMDB Ticketing systems PatrowlHears OSINT & PatrowlCERT feeds Personal and research blogs, Github repositories, Tweets, videos, ‘dark-net’ forums, … Limited diffusion
  • 21. Retenons au moins 2 idées 1. Toujours contextualiser les vulnérabilités Limited diffusion 2. Automatiser pour gagner en maturité § Impossible de traiter toutes les vulnérabilités § CVSS Base score insuffisant § « ressources disponible » / « risque couvert » § Exploits et catalyseurs § Cartographie, identification de vulnérabilités, corrections § Veille et Surveillance des métriques (exploits, news, hype) § Détection des faux-positifs § Intégration avec les CMDB et outils de ticketing § Reporting et KPI
  • 22. Réf. : Date : 29 Nicolas MATTIOCCO ✉ nicolas@patrowl.io 📱 +33 (0) 6.20.70.47.78 Contact MERCI ! Je le savais que je n’allais pas tenir les 20 min …