Conseils de survie pour hiérarchiser les cybermenaces
0 j'aime77 vues
Le document traite de la gestion des vulnérabilités en cybersécurité et souligne l'importance de prioriser les menaces pour une remédiation efficace. Il propose une approche collaborative et intégrée pour identifier, évaluer, et signaler les vulnérabilités à travers des stratégies d'automatisation et de surveillance. Enfin, il détaille des métriques et des processus qui aident les équipes à gérer efficacement un volume élevé de vulnérabilités au sein d'un environnement de sécurité dynamique.
![C’est qui ce gars ?
► Pentester / Security auditor / Dev[Ops]
► Papa x2, Mari x1, Moto x0, Vélo x0, Trotinette x-1
► Cinéma, Mario Kart, alimentation saine et planche à voile
Nicolas MATTIOCCO
CEO Patrowl.io // MaKyOtOx
Offensive Security as a Service
2008
2013
2015
2017
Limited
diffusion](https://image.slidesharecdn.com/patrowlhears-vulnerabilityprioritization-fr-osxp-20211110-211222065532/85/Conseils-de-survie-pour-hierarchiser-les-cybermenaces-2-320.jpg)
Conseils de survie pour hiérarchiser les cybermenaces
- 1. Réf. : Date : TLP: W HITE Prioriser les menaces ! Survival kit - 2021 #CVE #Exploits #CTI #Automation 2021 – Patrowl Meme included - All rights reserved Contact [email protected] SIDO - OSXP 2021
- 2. C’est qui ce gars ? ► Pentester / Security auditor / Dev[Ops] ► Papa x2, Mari x1, Moto x0, Vélo x0, Trotinette x-1 ► Cinéma, Mario Kart, alimentation saine et planche à voile Nicolas MATTIOCCO CEO Patrowl.io // MaKyOtOx Offensive Security as a Service 2008 2013 2015 2017 Limited diffusion
- 3. Comment gérer les vulnérabilités ? Limited diffusion
- 4. La gestion des vulnérabilités du RSSI en 1 slide Limited diffusion Identifier Prioriser Remédier Contrôler Périmètre Cartographie Cotation Exposition Couches SI Technologies Veille Vulnérabilités Attaques et exploits CTI Contrôles actifs Scans de vulnérabilités Tests d’intrusion Bug bounty Threat hunting Audits de configuration Audit de code Cyber scoring Reporting Suivi KPI Activités continues
- 5. (Hyper-)Automatiser les contrôles Plus de contrôles Plus de conformité Plus souvent Plus efficacement Limited diffusion
- 6. (Hyper-)Automatiser les contrôles Plus de contrôles + Fréquence augmentée = Plus de résultats = Plus d’alertes Limited diffusion
- 7. Comment gérer les vulnérabilités plus efficacement ? Limited diffusion
- 9. Il était une fois dans une équipe SOC Morning routine Limited diffusion
- 10. Identifier les vulnérabilités les plus pertinentes ► Routine matinale d’un SOC/CERT == passer en revue les vulnérabilités ‘chaudes’ Sources: Vulnerability Feeds, CTI, Bluez, Redz, ‘Private channels’ … § Nous avons besoin de réponses sur notre exposition et/ou des éventuelles compromissions : ü S'agit-il d'une vulnérabilité avec un nom, un logo et un site Web dédié? @All: pas de panique! ü Qu'est-ce que le score de base CVSS? @SOC: Dites-nous! à Communication classique uniquement aux propriétaires de produits connus si elle est supérieure à 7,0 et continue si elle est supérieure à 9,0. ü Sommes-nous vulnérables ? @SOC + Redz: Confirmez les versions, les configurations et les contre-mesures en place sur nos actifs, contactez les Product Owner ! ü Sommes-nous exposés à partir d'Internet? @SOC + CTI: Dites-nous! ü La vulnérabilité est-elle identifiée sur des actifs critiques ? @SOC: Dites-nous! ü Sommes-nous au courant d'un exploit fonctionnel ? @Redz + CTI: Allez les trouver et testez-le! ü Existe-t-il un correctif ou une mesure compensatoire disponible ? Fiabilité ? @SOC + CTI: Dites-nous! ü Existe-t-il des catalyseurs de probabilité d’occurrence : exploité dans la nature ? Niveau de battage médiatique? Exploité par les acteurs de la menace concernés ? @CTI: Dites-nous! ü Sommes-nous déjà p0wned? @DFIR: enquêter et rassurer-nous! ü Sommes-nous capables de détecter l'exploitation ? @DFIR: dites-nous et / ou essayez de configurer des alertes! ü OK les gens, avons-nous suffisamment de données gérer en mode « crise » ? @CSIRT manager: oui / non! Limited diffusion
- 11. Identifier les vulnérabilités les plus pertinentes § Travail d’équipe § Multiples expertises techniques requises § Pas seulement au sein de l'équipe CERT / CSIRT / SOC § D'autres équipes IT et Business sont à impliquer § Activités continues et en forte croissance § Métadonnées de vulnérabilités non statiques : § Nouveau patch disponible !?! § Nouvel exploit public ! § Nouvel article sur le blog d’un chercheur en sécurité ! Limited diffusion
- 12. Prioritize or die La tendance est au Rating, ou plutôt aux métadonnées Limited diffusion
- 13. Métriques de priorisation Vulnerability Threat Asset ~CVSS Base Score ~CVSS Temporal Score ~CVSS Environmental Score Limited diffusion
- 14. Prioriser pour … décider ► 1/ Now+: Correction immédiate + cellule de crise ► 2/ Now: Correction immédiate ► 3/ Next: Attendre la prochaine campagne de vaccination patching ► 4/ Never: Correction si possible (non suivi) ► Exploit availability ► Exploit maturity ► Exploit ease ► Threat intensity ► Threat relevancy ► Criticality ► Vulnerable asset interface exposure ► Distribution Threat Asset Suggested actions ► CVSS Impact & exposure ► Patch availability ► Age of vulnerability ► Discovery ease ► Detection ease Vulnerability Limited diffusion
- 15. Métriques contextualisées vs. Score simple ► Question #1: You have resources for fixing 1 vulnerability only. Which one do you plan to remediate ? Métriques Vulnérabilité #1 Vulnérabilité #2 Vulnérabilité #3 CVSS Base score 10.0 6.2 8.9 Exploitable à distance ? Yes Yes No Exposition de l’asset Internal network Internet Internet Criticité de l’asset Exploit disponible ? No Yes Yes Patch disponible ? Yes Yes No Relayé dans les news ? No No Yes critical medium high ► Question #2: You must manage 100 new vulnerabilities every day on average. How do you proceed at scale ? high high unkown Limited diffusion
- 16. Monitorer les exploits et les metadonnées ? Confiance ? Disponibilité ? Format ? Sources ? Maturité ? Age ? Intérêt ? Limited diffusion Changes ?
- 17. Contributions open-source - > Surveiller les vulnerabilités, les exploits et l’actualité - > Partager les vulnérabilités et les métriques PatrowlHears // AGPLv3 Limited diffusion
- 19. PatrowlHears in a Nushell Open-source application and feeds ■ Vulnerability and metadata DB o CVE/CPE/CWE definitions from NVD o “CVE-less” vulnerabilities o Exploits: PoC, script, blog post, whitepaper, slidedeck, mail, tweet, video, notes, … o Threat news: Article, Blog post, Tweet o Vendor security advisories / bulletins ■ Monitoring tower o Vendor, product, packages, vulnerabilities o Track updates ■ Collaboration o Share monitoring lists, vulnerabilities and metadata ■ Vulnerability scoring system ■ Alerting o Email and Slack notifications o Daily/Weekly/Monthly reports ■ Responsive WEB + Full REST-API ready Limited diffusion
- 20. PatrowlHears global architecture Exploits metadata Exploit-DB, Talos, PacketStorm, Nessus DB, HackerOne, SeeBug, TheHackerNews, … Vulnerabilities NVD: CVE, CWE, CPE, CAPEC Unreferenced (pip, npmjs, nuGet, WP, rubyGems, …) Continuous monitoring WEB UI REST-API DevOps, SecOps/SOC, Risk Manager Vulnerability scanners, scripts, security tools Vendor security advisories Notify Detect and Prioritize CI/CD pipelines Assets and artefacts inventory, CMDB Ticketing systems PatrowlHears OSINT & PatrowlCERT feeds Personal and research blogs, Github repositories, Tweets, videos, ‘dark-net’ forums, … Limited diffusion
- 21. Retenons au moins 2 idées 1. Toujours contextualiser les vulnérabilités Limited diffusion 2. Automatiser pour gagner en maturité § Impossible de traiter toutes les vulnérabilités § CVSS Base score insuffisant § « ressources disponible » / « risque couvert » § Exploits et catalyseurs § Cartographie, identification de vulnérabilités, corrections § Veille et Surveillance des métriques (exploits, news, hype) § Détection des faux-positifs § Intégration avec les CMDB et outils de ticketing § Reporting et KPI
- 22. Réf. : Date : 29 Nicolas MATTIOCCO ✉ [email protected] 📱 +33 (0) 6.20.70.47.78 Contact MERCI ! Je le savais que je n’allais pas tenir les 20 min …