1 / 12

EUROSEC 2003

EUROSEC 2003. Cycle de vie d’une vulnérabilité. Nicolas FISCHBACH Senior Manager, IP Engineering/Security - COLT Telecom nico@securite.org - http://www.securite.org/nico/ version 1.0. Agenda. Introduction Les vulnérabilités dans le temps Les différents acteurs

cameron-glenn
Download Presentation

EUROSEC 2003

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. EUROSEC 2003 Cycle de vie d’une vulnérabilité Nicolas FISCHBACH Senior Manager, IP Engineering/Security - COLT Telecom nico@securite.org - http://www.securite.org/nico/ version 1.0

  2. Agenda • Introduction • Les vulnérabilités dans le temps • Les différents acteurs • Gestion et réduction du risque • Conclusion

  3. Une vulnérabilité dans le temps (1) • Evolution d’une vulnérabilité “Victimes” “Proof of Concept” Automatisation Exploit Temps Correctif disponible Correctif appliqué Correctif “complet” Découverte de la faille (Re)découverte de la faille ou fuite Publication

  4. Une vulnérabilité dans le temps (2) • Evolution d’une vulnérabilité (suite) • Certaines failles sont présentes pendant des années avant d’être découvertes • (Re)découverte: un pot de miel (“honeypot”) peut-il accélerer la découverte ou la publication ? • Propagation • marginale ou force brute • base de victimes • utilisation de services (Google, Netcraft, SecuritySpace, DNS, etc). • Correctif • mise à jour (patch) ou solution temporaire (workaround) • approche alternative : protection au niveau de l’infrastructure (réseau) pour compenser la mise à jour du système

  5. Une vulnérabilité dans le temps (3) • Evolution de la sécurité d’un système • Les différents états et les transitions associées • Vitesse de ces différentes transitions • Qualité de l’analyse post-mortem est fonction de la préparation et des mécanismes anti-autopsie présents Instant t=0 Analyse post mortem Sûr/sécurisé Vulnérable Compromis

  6. Une vulnérabilité dans le temps (4) • Evolution du risque : pénétration/risque lié à une mise à jour (“bad patch”) • Comment identifier l’instant optimal ? • Des failles anciennes (et bien connues) sont toujours réintroduites dans une version plus récente • Imcompatibilité avec d’autres mises à jours/programmes • La mise à jour peut apporter de nouvelles failles

  7. Les différents acteurs (1) • L’industrie de la sécurité informatique Société commerciale Groupe “underground” fuite (“leak”) “advisory” marketing Agence gouvernementale, CERT Université, groupe de recherche publication alerte

  8. Les différents acteurs (2) Société commerciale Groupe “underground” Université, groupe de recherche Agence gouvernementale, CERT • L’industrie de la sécurité informatique • Ecosystème de développement logiciel • Ou “des liens étroits entre les différents acteurs” ? • à l’image des sièges croisés dans les conseils d’administration • Confiance dans les vendeurs • Les fuites et la prévention • monde “underground” • industrie (lors de la notification) • sécurité informatique • éditeur • Implications légales (“DMCA” et ses variantes)

  9. Gestion/réduction du risque (1) • Exposition des services et applicatifs • Services internes • Services externes • publiques et semi-publiques/privés • privés • Filtrage • au niveau réseau • au niveau applicatif • relais (applicatifs, rebonds, etc) • Sécurisation • réseau • système d’exploitation • applicatif

  10. Gestion/réduction du risque (2) • Gestion du risque • Définition de la criticité des services, des données, de la faille (déni de service, pénétration, etc.) • Veille technologique et tests récurrents automatiques/manuels • Un programme (complexe) sans faille est une utopie • Gestion de la disponibilité • Plan de mise à jour planifié (“change management”) • Plan de mise à jour d’urgence/secours • fonctionnement en mode dégradé • environnement de test • système d’information de secours

  11. Gestion/réduction du risque (3) • Eléments de réflexion • Les logiciels “Opensource” par rapport aux logiciels “Closed source” • Approche diversité ou “single COTS vendor” ? • Publication de vulnérabilités, quelle tendance ? • “Full disclosure”, “Responsible disclosure” • “Closed and vendor only” • autres ? • Les audits et les tests de pénétration • Réelle utilité ou un faux sentiment de sécurité ? • Archives d’exploits • publiques • (très) privées

  12. Conclusion • Conclusion • Présentation • http://www.securite.org/presentations/cyclevuln/ • Questions/Réponses Image: http://www.inforamp.net/~dredge/funkycomputercrowd.html

More Related