Management des vulnérabilités - Greenbone OpenVas

1. WELCOME EOWORKSHOP

2. 1. Introduction 2. Management des Vulnérabilités 3. Common standards 4. SCAP 5. CVE 6. CVSS 7. LAB TIME : PLAN

3.  C’est quoi une vulnérabilité ?  De manière générale  Dans le cas des SI  Pourquoi les gérer ?  Réduire l’exposition  Volume ( depuis 2017 en moyenne 16000 vulnérabilités/an ) INTRODUCTION https://www.cvedetails.com/browse-by-date.php

4. Couche de vulnerabilités  Physique  Réseaux & Systèmes  Applications & data  Personnes & procédures Management des Vulnérabilités

5. Management des Vulnérabilités Le processus (VMP) Le management des vulnérabilités est la pratique cyclique d'identification, de classification, de correction et d'atténuation des vulnérabilités

6. Organisation de l’ activité Management des Vulnérabilités Les personnes Les outils Les procedures Constitution d’une équipe Définition des rôles et responsabilités Mise en place des procédures de gestion Formation à leurs usage Déploiement et configuration des outils destinés à supporter l’application des procédures de gestion.

7. Organisation de l’ activité Management des Vulnérabilités Les personnes Constitution d’une équipe Définition des rôles et responsabilités CTO / Directeur Technique Resp des vulnérabilités découvertes CISO / RSSI – Resp du process de management des vulnérabilité (plan, design, vérifie …) Security Engineer/ Ing Sécurité Resp du fonctionnement de l’outils de détections et des corrections en coop avec les autres équipes Tech Security analyst/ analyste sécurité Resp du monitoring 24h/24 de la sécurité et de la réponse aux incidents

8. Organisation de l’ activité Management des Vulnérabilités Les procedures Eléments clés de la gestion des vulnérabilités: DARC • Detect • Assess • Remediate • Confirm

9. Eléments à prendre en compte : Pour les scans engine  Niveau d’accès  Unauthenticated scan  Authenticated scan  Vulnérabilités à vérifier  Safe  Not safe (NO FOR PROD)  Timing  Quand & Comment (éviter d ’avoir un impact négatif sur l’activité métier) Management des Vulnérabilités

10. Suivi des vulnérabilités  Prioriser  Responsabiliser  Date limite  Date de Résolution  Status Ces éléments traqués peuvent servir de métrique pour mesurer la performance (KPI) Eléments à prendre en compte : Management des Vulnérabilités

11. Reporting  Rapport exécutif Utiliser pour communiquer sur les vulnérabilités. Il est digeste  Rapport Technique Utiliser par la technique pour corriger les vulnérabilité. Il est détaillé Eléments à prendre en compte : Management des Vulnérabilités

12. Patch & config management  Mise à jour automatique  Avantages : Rapidité, efficacité, réactivité  Inconvénients: Contrôle limité, maj non testées  Platform  SCCM  IBM Bigfix  Action1  Chocolatey  ManageEngine  PDQDeploy  … Eléments à prendre en compte : Management des Vulnérabilités

13. Organisation de l’ activité Management des Vulnérabilités Outils de Detection des vulnerabilités  Qualys  Nexpose de Rapid7  Nessus de Tenable  Greenbone OpenVAS (opensource)  …

14.  Objectif Uniformiser le langage autour de l’activité et créer une base commune des échanges d'outil de mesure des outils de sécurité et de référence Common standards

15. Common standards Platform 02 Impact 01 CVSS CAPEC 09 Impact 02 Config Platform 01 CPE CCE Attack Vulnerability 01 Vulnerability 02 CVE CWE Config Weakness https://cwe.mitre.org/ CWE : Common Weakness Enumeration. Provide a structured list of clearly defined software and hardware weaknesses. A weakness isn’t a vulnerability by all means; however, weaknesses may result in vulnerabilities. Unlike CVE identifiers, CWE entries are fixed. CAPEC: Common Attack Pattern Enumeration and Classification. Define typical attack patterns of attackers, Related CWE entries, Potential mitigation For example, CAPEC-245 describes an XSS attack using doubled characters. The related software weakness is “CWE-85: Doubled Character XSS Manipulations.” http://capec.mitre.org 03

16. Common standards CVE: Common Vulnerability and exposures Attribute unique identifiers for vulnerabilities, Platform 02 Impact 01 CVSS CAPEC Impact 02 Config Platform 01 CPE CCE Attack Vulnerability 01 Vulnerability 02 CVE CWE Config Weakness CPE : Common platform enumeration. It’s a structured naming scheme for IT systems, Platforms and packages. An example is the following name representing Microsoft Internet Explorer 8.0.6001 Beta: cpe:/a:microsoft:internet_explorer:8.0.6001:beta https://cpe.mitre.org/specification/ CVSS : CommonVulnerability Scoring System Rate severity of vulnerabilities

17. Registre de Vulnérabilités  CVE (common vulnerability & exposure )  NVD (national vulnerability database – by NIST) -> take CVE & add analysis (CPE, CWE, CVSS) Avant CVE, les fabricants avaient leurs propre nomenclature. CVE vient harmoniser le tout et fournie une source unique d’information, De nos jour c’est le standard international par excellence. CVE adresse uniquement (Network, system et Applications ) Common standards

18. SCAP Config Vulns test Checklist impact CVE : Common Vulnerability and exposures OVAL : Open Vulnerability Assessment language (language for security testing procedures) XCCDF : Extensible Configuration Checklist Description Platform Testeur XCCDF CVE CVSS CPE CCE OVAL Security Content Automation Protocol (SCAP) SCAP https://www.cvedetails.com/ SCAP (by NIST) Create a consistent language and format for discussing security issue - CVSS, CPE, CCE, CVE, CCCDF, OVAL

19. Common Vulnerability Scoring System Calculator (CVSS) CVSS Metrics: • Base (never change) - Exploit code maturity - Remediation level - Report confidence - Confidentiality requirements - Integrity requirements - Availability requirements • Temporal (may change over time) • Environnemental (Depend on business requirements)

20. https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator Common Vulnerability Scoring System Calculator (CVSS) CVSS usage example

21. https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator Common Vulnerability Scoring System Calculator (CVSS) CVSS usage example

22. Example d’utilisation (CVE, CVSS, CWE …) CVE-2013-4730 Exploit Reference: https://www.exploit-db.com/exploits/26741 OSVDB Reference : https://cve.mitre.org/data/refs/refmap/source-OSVDB.html OSVDB: 94624 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4730 https://www.cvedetails.com/cve-details.php?cve_id=CVE-2013-4730 1 2 3 5 http://www.securityfocus.com/bid/60837 BID 60837 4 CWE Reference : http://cwe.mitre.org/data/definitions/119.html Related Attack Patterns (CAPEC) CAPEC-10 Buffer Overflow via Environment Variables CAPEC-100 Overflow Buffers CAPEC-123 Buffer Manipulation …etc https://nvd.nist.gov/vuln/detail/CVE-2013-4730 CVE References CPE Reference CVSS Scores

23. • Installation de Greenbone Openvas • Interface utilisateur • Configuration des la détection • Exécute scanning • Analyse des résultats • Prioriser les résultats • Vérifier (éliminer les False positive) • Amélioration continue LAB TIME

24. Installation rapide de GreenBone OpenVAS LAB TIME docker run --detach -p 44443:9392 -p 5432:5432 --env USERNAME=" admin " --env DB_PASSWORD= " pass « --env PASSWORD="pass" -v gvm-data:/data --name greenbone securecompliance/gvm CONNECT TO http:ip_host:8080 login: admin pass: pass

25. Interface utilisateur • Sec info NVTs, CVE [ CVE-2013-4730 ] CPE [ pcman_ftp ] LAB TIME

26. Configuration des tâches de détection ( scanning task) • Cibles & ports • Scans Authentifiés ou NON • Format des rapports LAB TIME

27. Configuration des tâches de détection ( scanning task) • Allez plus loin : Configurez des scans taillés sur mesure LAB TIME

28. Exécution de la détection ( scanning) Analyse des résultats LAB TIME

29. Prioriser les résultats LAB TIME • Remediation workflow https://community.greenbone.net/t/integrated-remediation-workflow/1474 One Result per Ticket: A ticket is linked only to a single results. However, for the same result, multiple tickets could be created. In order get email notification about Tickets, a user creates Alerts with method “Email”. For the email alert three events can be distinguished: “Ticket Received”, “Assigned Ticket Changed” and “Owned Ticket Changed”.

30. Prioriser les résultats LAB TIME • Ticketing (results -> + -> create new ticket) https://community.greenbone.net/t/integrated-remediation-workflow/1474

31. Vérifier - Eliminer les faux-positif ( false positive) - Comprendre les impactes LAB TIME db_import file.XML Hosts Services IP_target Vulns IP_target Search cve:xxxx-xxxx

32. • Amélioration continue • Planification & Alertes • Compliance audits • Comparer les scans (reports -> delta ) • Evaluer les indices de performances ( KPI ) • Leçon apprises et Documentation LAB TIME

33. Amélioration continue • Comparer les scans (reports -> delta ) • Evaluer les indices de performances ( KPI ) • Leçon apprises et Documentation LAB TIME

34. • Application layer • Code (SAST & DAST) • Users layer OpenVAS limitations Netsparker, Burp Suite, … SonarQube, Snyk … Security Awareness program Static Application Security Testing (SAST).

35. M E R C I ! T H A N K Y O U ! QUESTION ?

Management des vulnérabilités - Greenbone OpenVas

Esté a ler uma amostra.

Confira estes a seguir

Management des vulnérabilités - Greenbone OpenVas

Mais Conteúdo rRelacionado

Diapositivos para si (20)

Semelhante a Management des vulnérabilités - Greenbone OpenVas (20)

Mais de EyesOpen Association (20)

Mais recentes (20)