Le document présente une formation sur le management des vulnérabilités, abordant des concepts clés tels que la détection et l'atténuation des vulnérabilités, la gestion des ressources et l'usage d'outils de détection comme Greenbone OpenVAS. Il met également en avant l'importance des normes communes telles que CVE et CVSS pour uniformiser la communication autour des failles de sécurité. Finalmente, il évoque des procédures de suivi et de reporting pour assurer une amélioration continue dans la gestion des vulnérabilités.

1. WELCOME
EOWORKSHOP

3. 1. Introduction
2. Management des Vulnérabilités
3. Common standards
4. SCAP
5. CVE
6. CVSS
7. LAB TIME :
PLAN

4.  C’est quoi une vulnérabilité ?
 De manière générale
 Dans le cas des SI
 Pourquoi les gérer ?
 Réduire l’exposition
 Volume
( depuis 2017 en moyenne 16000 vulnérabilités/an )
INTRODUCTION
https://www.cvedetails.com/browse-by-date.php

5. Couche de vulnerabilités
 Physique
 Réseaux & Systèmes
 Applications & data
 Personnes & procédures
Management des Vulnérabilités

6. Management des Vulnérabilités
Le processus (VMP)
Le management des vulnérabilités est la pratique cyclique
d'identification, de classification, de correction et
d'atténuation des vulnérabilités

7. Organisation de l’ activité
Management des Vulnérabilités
Les personnes Les outils
Les procedures
Constitution d’une équipe
Définition des rôles et responsabilités
Mise en place des procédures de gestion
Formation à leurs usage
Déploiement et
configuration des outils
destinés à supporter
l’application des
procédures de gestion.

8. Organisation de l’ activité
Management des Vulnérabilités
Les personnes
Constitution d’une équipe
Définition des rôles et responsabilités
CTO / Directeur Technique
Resp des vulnérabilités découvertes
CISO / RSSI –
Resp du process de management des vulnérabilité (plan,
design, vérifie …)
Security Engineer/ Ing Sécurité
Resp du fonctionnement de l’outils de détections et des
corrections en coop avec les autres équipes Tech
Security analyst/ analyste sécurité
Resp du monitoring 24h/24 de la sécurité et de la réponse
aux incidents

9. Organisation de l’ activité
Management des Vulnérabilités
Les procedures
Eléments clés de la gestion des
vulnérabilités: DARC
• Detect
• Assess
• Remediate
• Confirm

10. Eléments à prendre en compte :
Pour les scans engine
 Niveau d’accès
 Unauthenticated scan
 Authenticated scan
 Vulnérabilités à vérifier
 Safe
 Not safe (NO FOR PROD)
 Timing
 Quand & Comment (éviter d ’avoir un impact négatif sur l’activité métier)
Management des Vulnérabilités

11. Suivi des vulnérabilités
 Prioriser
 Responsabiliser
 Date limite
 Date de Résolution
 Status
Ces éléments traqués peuvent servir de métrique pour
mesurer la performance (KPI)
Eléments à prendre en compte :
Management des Vulnérabilités

12. Reporting
 Rapport exécutif
Utiliser pour communiquer sur les vulnérabilités. Il est digeste
 Rapport Technique
Utiliser par la technique pour corriger les vulnérabilité. Il est détaillé
Eléments à prendre en compte :
Management des Vulnérabilités

13. Patch & config management
 Mise à jour automatique
 Avantages : Rapidité, efficacité, réactivité
 Inconvénients: Contrôle limité, maj non testées
 Platform
 SCCM
 IBM Bigfix
 Action1
 Chocolatey
 ManageEngine
 PDQDeploy
 …
Eléments à prendre en compte :
Management des Vulnérabilités

14. Organisation de l’ activité
Management des Vulnérabilités
Outils de Detection des vulnerabilités
 Qualys
 Nexpose de Rapid7
 Nessus de Tenable
 Greenbone OpenVAS (opensource)
 …

15.  Objectif
Uniformiser le langage autour de l’activité et créer une
base commune des échanges d'outil de mesure des
outils de sécurité et de référence
Common standards

16. Common standards
Platform 02
Impact 01
CVSS
CAPEC
09
Impact 02
Config
Platform 01
CPE
CCE
Attack
Vulnerability 01
Vulnerability 02
CVE
CWE
Config
Weakness
https://cwe.mitre.org/
CWE : Common Weakness Enumeration.
Provide a structured list of clearly defined
software and hardware weaknesses. A weakness
isn’t a vulnerability by all means; however,
weaknesses may result in vulnerabilities. Unlike
CVE identifiers, CWE entries are fixed.
CAPEC: Common Attack Pattern Enumeration and
Classification.
Define typical attack patterns of attackers, Related
CWE entries, Potential mitigation
For example, CAPEC-245 describes an XSS attack using
doubled characters. The related software weakness is
“CWE-85: Doubled Character XSS Manipulations.”
http://capec.mitre.org
03

17. Common standards
CVE: Common Vulnerability and exposures
Attribute unique identifiers for vulnerabilities,
Platform 02
Impact 01
CVSS
CAPEC
Impact 02
Config
Platform 01
CPE
CCE
Attack
Vulnerability 01
Vulnerability 02
CVE
CWE
Config
Weakness
CPE : Common platform enumeration.
It’s a structured naming scheme for IT systems, Platforms
and packages.
An example is the following name representing Microsoft
Internet Explorer 8.0.6001 Beta:
cpe:/a:microsoft:internet_explorer:8.0.6001:beta
https://cpe.mitre.org/specification/
CVSS : CommonVulnerability Scoring System
Rate severity of vulnerabilities

18. Registre de Vulnérabilités
 CVE (common vulnerability & exposure )
 NVD (national vulnerability database – by NIST)
-> take CVE & add analysis (CPE, CWE, CVSS)
Avant CVE, les fabricants avaient leurs propre nomenclature. CVE vient harmoniser
le tout et fournie une source unique d’information, De nos jour c’est le standard
international par excellence.
CVE adresse uniquement (Network, system et Applications )
Common standards

19. SCAP
Config
Vulns
test
Checklist
impact
CVE : Common Vulnerability and exposures
OVAL : Open Vulnerability Assessment language (language
for security testing procedures)
XCCDF : Extensible Configuration Checklist Description
Platform
Testeur
XCCDF
CVE
CVSS
CPE
CCE
OVAL
Security Content Automation Protocol (SCAP)
SCAP
https://www.cvedetails.com/
SCAP (by NIST) Create a consistent language and format for
discussing security issue
- CVSS, CPE, CCE, CVE, CCCDF, OVAL

20. Common Vulnerability Scoring System Calculator (CVSS)
CVSS Metrics:
• Base (never change)
- Exploit code maturity
- Remediation level
- Report confidence
- Confidentiality requirements
- Integrity requirements
- Availability requirements
• Temporal (may change over time)
• Environnemental (Depend on business requirements)

21. https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator
Common Vulnerability Scoring System Calculator (CVSS)
CVSS usage example

22. https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator
Common Vulnerability Scoring System Calculator (CVSS)
CVSS usage example

23. Example d’utilisation (CVE, CVSS, CWE …)
CVE-2013-4730
Exploit Reference:
https://www.exploit-db.com/exploits/26741
OSVDB Reference :
https://cve.mitre.org/data/refs/refmap/source-OSVDB.html
OSVDB: 94624
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4730
https://www.cvedetails.com/cve-details.php?cve_id=CVE-2013-4730 1
2
3
5
http://www.securityfocus.com/bid/60837
BID 60837
4
CWE Reference :
http://cwe.mitre.org/data/definitions/119.html
Related Attack Patterns (CAPEC)
CAPEC-10 Buffer Overflow via Environment Variables
CAPEC-100 Overflow Buffers
CAPEC-123 Buffer Manipulation
…etc
https://nvd.nist.gov/vuln/detail/CVE-2013-4730
CVE References
CPE Reference
CVSS Scores

24. • Installation de Greenbone Openvas
• Interface utilisateur
• Configuration des la détection
• Exécute scanning
• Analyse des résultats
• Prioriser les résultats
• Vérifier (éliminer les False positive)
• Amélioration continue
LAB TIME

25. Installation rapide de GreenBone OpenVAS
LAB TIME
docker run
--detach -p 44443:9392
-p 5432:5432
--env USERNAME=" admin "
--env DB_PASSWORD= " pass «
--env PASSWORD="pass"
-v gvm-data:/data
--name greenbone
securecompliance/gvm
CONNECT TO
http:ip_host:8080 login: admin
pass: pass

26. Interface utilisateur
• Sec info
NVTs, CVE [ CVE-2013-4730 ]
CPE [ pcman_ftp ]
LAB TIME

27. Configuration des tâches
de détection ( scanning task)
• Cibles & ports
• Scans Authentifiés ou NON
• Format des rapports
LAB TIME

28. Configuration des tâches
de détection ( scanning task)
• Allez plus loin :
Configurez des scans taillés sur mesure
LAB TIME

29. Exécution de la détection ( scanning)
Analyse des résultats
LAB TIME

30. Prioriser les résultats
LAB TIME
• Remediation workflow
https://community.greenbone.net/t/integrated-remediation-workflow/1474
One Result per Ticket: A ticket is linked only to a single
results. However, for the same result, multiple tickets
could be created.
In order get email notification about Tickets, a user
creates Alerts with method “Email”. For the email alert
three events can be distinguished: “Ticket Received”,
“Assigned Ticket Changed” and “Owned Ticket
Changed”.

31. Prioriser les résultats
LAB TIME
• Ticketing
(results -> + -> create new ticket)
https://community.greenbone.net/t/integrated-remediation-workflow/1474

32. Vérifier
- Eliminer les faux-positif ( false positive)
- Comprendre les impactes
LAB TIME db_import file.XML
Hosts
Services IP_target
Vulns IP_target
Search cve:xxxx-xxxx

33. • Amélioration continue
• Planification & Alertes
• Compliance audits
• Comparer les scans (reports -> delta )
• Evaluer les indices de performances ( KPI )
• Leçon apprises et Documentation
LAB TIME

34. Amélioration continue
• Comparer les scans (reports -> delta )
• Evaluer les indices de performances ( KPI )
• Leçon apprises et Documentation
LAB TIME

35. • Application layer
• Code (SAST & DAST)
• Users layer
OpenVAS limitations
Netsparker, Burp Suite, …
SonarQube, Snyk …
Security Awareness program
Static Application Security Testing (SAST).

36. M E R C I !
T H A N K Y O U !
QUESTION ?