La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

EUROSEC 2003 Cycle de vie dune vulnérabilité Nicolas FISCHBACH Senior Manager, IP Engineering/Security - COLT Telecom -

Présentations similaires


Présentation au sujet: "EUROSEC 2003 Cycle de vie dune vulnérabilité Nicolas FISCHBACH Senior Manager, IP Engineering/Security - COLT Telecom -"— Transcription de la présentation:

1 EUROSEC 2003 Cycle de vie dune vulnérabilité Nicolas FISCHBACH Senior Manager, IP Engineering/Security - COLT Telecom - version 1.0

2 © 2003 Nicolas FISCHBACH EUROSEC Agenda » Introduction » Les vulnérabilités dans le temps » Les différents acteurs » Gestion et réduction du risque » Conclusion

3 © 2003 Nicolas FISCHBACH EUROSEC Une vulnérabilité dans le temps (1) Découverte de la faille (Re)découverte de la faille ou fuite Publication Correctif disponible Correctif appliqué Victimes Temps Correctif complet » Evolution dune vulnérabilité Exploit Proof of Concept Automatisation

4 © 2003 Nicolas FISCHBACH EUROSEC Une vulnérabilité dans le temps (2) » Evolution dune vulnérabilité (suite) >Certaines failles sont présentes pendant des années avant dêtre découvertes >(Re)découverte: un pot de miel (honeypot) peut-il accélerer la découverte ou la publication ? >Propagation -marginale ou force brute -base de victimes -utilisation de services (Google, Netcraft, SecuritySpace, DNS, etc). >Correctif -mise à jour (patch) ou solution temporaire (workaround) -approche alternative : protection au niveau de linfrastructure (réseau) pour compenser la mise à jour du système

5 © 2003 Nicolas FISCHBACH EUROSEC Une vulnérabilité dans le temps (3) » Evolution de la sécurité dun système >Les différents états et les transitions associées >Vitesse de ces différentes transitions >Qualité de lanalyse post-mortem est fonction de la préparation et des mécanismes anti-autopsie présents Sûr/sécuriséVulnérableCompromis Instant t=0 Analyse post mortem

6 © 2003 Nicolas FISCHBACH EUROSEC Une vulnérabilité dans le temps (4) » Evolution du risque : pénétration/risque lié à une mise à jour (bad patch) >Comment identifier linstant optimal ? >Des failles anciennes (et bien connues) sont toujours réintroduites dans une version plus récente >Imcompatibilité avec dautres mises à jours/programmes >La mise à jour peut apporter de nouvelles failles

7 © 2003 Nicolas FISCHBACH EUROSEC Les différents acteurs (1) fuite (leak) publication advisory marketing alerte Société commerciale Groupe underground Agence gouvernementale, CERT Université, groupe de recherche » Lindustrie de la sécurité informatique

8 © 2003 Nicolas FISCHBACH EUROSEC Les différents acteurs (2) » Lindustrie de la sécurité informatique >Ecosystème de développement logiciel >Ou des liens étroits entre les différents acteurs ? -à limage des sièges croisés dans les conseils dadministration >Confiance dans les vendeurs >Les fuites et la prévention -monde underground -industrie (lors de la notification).sécurité informatique.éditeur >Implications légales (DMCA et ses variantes) Société commerciale Groupe underground Université, groupe de recherche Agence gouvernementale, CERT

9 © 2003 Nicolas FISCHBACH EUROSEC Gestion/réduction du risque (1) » Exposition des services et applicatifs >Services internes >Services externes -publiques et semi-publiques/privés -privés >Filtrage -au niveau réseau -au niveau applicatif -relais (applicatifs, rebonds, etc) >Sécurisation -réseau -système dexploitation -applicatif

10 © 2003 Nicolas FISCHBACH EUROSEC Gestion/réduction du risque (2) » Gestion du risque >Définition de la criticité des services, des données, de la faille (déni de service, pénétration, etc.) >Veille technologique et tests récurrents automatiques/manuels >Un programme (complexe) sans faille est une utopie » Gestion de la disponibilité >Plan de mise à jour planifié (change management) >Plan de mise à jour durgence/secours -fonctionnement en mode dégradé -environnement de test -système dinformation de secours

11 © 2003 Nicolas FISCHBACH EUROSEC Gestion/réduction du risque (3) » Eléments de réflexion >Les logiciels Opensource par rapport aux logiciels Closed source >Approche diversité ou single COTS vendor ? >Publication de vulnérabilités, quelle tendance ? -Full disclosure, Responsible disclosure -Closed and vendor only -autres ? >Les audits et les tests de pénétration -Réelle utilité ou un faux sentiment de sécurité ? >Archives dexploits -publiques -(très) privées

12 © 2003 Nicolas FISCHBACH EUROSEC Conclusion » Conclusion » Présentation >http://www.securite.org/presentations/cyclevuln/ » Questions/Réponses Image:


Télécharger ppt "EUROSEC 2003 Cycle de vie dune vulnérabilité Nicolas FISCHBACH Senior Manager, IP Engineering/Security - COLT Telecom -"

Présentations similaires


Annonces Google