Ressources pour la gestion des mises à jour de sécurité 4/2/2017 1:12 PM Ressources pour la gestion des mises à jour de sécurité Mathieu Malaise, CISSP Responsable de Programmes Sécurité http://blogs.technet.com/pasdemalaise Pascal Sauliere, CISSP Consultant Principal Sécurité http://blogs.technet.com/pascals
Présentation Une source d’informations Des outils gratuits 4/2/2017 1:12 PM Présentation Introduction Nécessité Une méthode Analyser Identifier Évaluer et planifier Déployer Une source d’informations Des outils gratuits
Introduction Introduction Une méthode Une source d’informations 4/2/2017 1:12 PM Introduction Introduction Une méthode Une source d’informations Des outils gratuits
Évolution du risque lié à une vulnérabilité 4/2/2017 1:12 PM Évolution du risque lié à une vulnérabilité Application du correctif Disponibilité du correctif Risque Annonce et communication Découverte de la vulnérabilité Temps (Risque sur l’ensemble, cas d’une vulnérabilité annoncée publiquement)
Pourquoi est-ce important ? 4/2/2017 1:12 PM Pourquoi est-ce important ? Absence de périmètre de l’entreprise Tout le système d’information est concerné Équipements : réseau, photocopieur, téléphone mobile… Tout système d’exploitation Toutes les applications Principe de Défense en profondeur Combien ont coûté Blaster, Sasser, Slammer ?
Est-ce un problème ? Mauvaises raisons Bonnes raisons 4/2/2017 1:12 PM Est-ce un problème ? Mauvaises raisons « C’est trop compliqué, trop cher » « J’ai un pare-feu/antivirus/IDS/IPS qui me protège » « Je n’ai jamais eu de problème sans appliquer les mises à jour » « C’est impossible de tester toutes les applications, » Bonnes raisons Manque d’appui de la direction, de budget, de personnel Manque de procédures adaptées Manque de sensibilisation Manque de bonnes pratiques (utilisateurs ou développeurs administrateurs, etc.)
Et si je ne fais rien ? Impact financier Impact légal Impact réglementaire Impact sur la confiance
déploiement de la mise à jour = seul moyen efficace d'éliminer la vulnérabilité
Processus de gestion des mises à jour 4/2/2017 1:12 PM Processus de gestion des mises à jour Introduction Une méthode Une source d’informations Des outils gratuits
Microsoft Operations Framework Conseils pour la gestion des opérations Recommendations de gestion des services Amélioration des services Évaluation des services
Processus de gestion des mises à jour selon Microsoft Operations Framework 1. Analyser 2. Identifier 4. Déployer 3. Évaluer et planifier http://technet.microsoft.com/library/cc700845 http://technet.microsoft.com/updatemanagement
Processus de gestion des correctifs 1. Analyser l'environnement Tâches A. Inventaire, référence et conformité de l'environnement B. Analyse des menaces et vulnérabilités présentes C. Architecture de gestion des mises à jour D. Efficacité opérationnelle 1. Analyser
Processus de gestion des correctifs 2. Identifier les nouveaux correctifs Tâches A. Identifier les nouveaux correctifs B. Déterminer la pertinence des correctifs C. Se procurer les mises à jour et les vérifier 2. Identifier 1. Analyser
Bulletins de sécurité Publiés le deuxième mardi du mois Points centraux de référence Liens vers les mises à jour Liens vers les Articles de la Base de connaissances Indiquent Synthèse - criticité Logiciels affectés Facteurs atténuants Solutions de contournement Forum aux questions Informations de mise à jour
Processus de gestion des correctifs 3. Évaluer et planifier 2. Identifier 1. Analyser 3. Évaluer et planifier le déploiement du correctif Tâches A. Déterminer l’action à adopter B. Planifier le déploiement C. Effectuer les tests de réception
Phase d’évaluation et de planification Classification de chaque correctif Définir le niveau de priorité du correctif Critique, important, modéré ou faible Élever ou abaisser le niveau de priorité en fonction du risque, des actifs à protéger et des facteurs d’atténuation Priorité Délai recommandé Délai maximum Critique < 24 h < 2 semaines Important < 1 mois < 2 mois Modéré < 4 mois < 6 mois Faible < 1 an < 1 an ou jamais Facteur Ajustement de la priorité (Important, modéré, faible) Actifs de haute valeur ou très fortement affectés Augmenter Actifs cibles d’attaques dans le passé Facteurs atténuants en place, solutions de contournement Abaisser Actifs de faible valeur ou faiblement affectés
Indice d'exploitabilité Possibilité de code d’exploitation peu fonctionnel Faible possibilité de code d’exploitation fonctionnel Possibilité de code d’exploitation fonctionnel
Processus de gestion des correctifs 1. Analyser 2. Identifier 3. Évaluer et planifier 4. Déployer 4. Déployer le correctif Tâches A. Préparer le déploiement B. Déployer C. Examiner le déploiement D. Traiter les exceptions
Gestion des mises à jour Postes clients Publication du correctif Réception par WSUS Help Desk averti Demande de tests qualité Tests qualité en laboratoire Problème avec correctif Non Installation sur les clients Mise à jour approuvée dans WSUS Oui Collecte du statut d’installation Fin du processus Dossier ouvert au support Microsoft
0 825 827 829 code 055# assistance (0,15€/min) (les appels au support en ce qui concerne la sécurité sont pris en charge par Microsoft)
Accéder aux ressources 4/2/2017 1:12 PM Accéder aux ressources Introduction Une méthode Une source d’informations Des outils gratuits
microsoft.com/france/securite Visite guidée
Outils Introduction Une méthode Une source d’informations 4/2/2017 1:12 PM Outils Introduction Une méthode Une source d’informations Des outils gratuits
Aussi sur notre site Web Moteur de recherche http://www.microsoft.com/technet/security/bulletin Images ISO http://support.microsoft.com/kb/913086
Microsoft Baseline Security Analysis (MBSA) Update Console MBSA. Spécification des machines à analyser 2. Fichiers WSUSSCN2.cab et agent des mises à jour Windows téléchargés depuis Microsoft Update (signature vérifiée) 3. Examen des systèmes cibles par l’intermédiaire du service Mises à jour automatiques local MBSA 4. Génération du rapport daté indiquant les correctifs manquants
Scripts de consolidation pour les analyses MBSA http://www.microsoft.com/technet/security/tools/mbsa2 http://go.microsoft.com/fwlink/?LinkId=103198
Connecteur MBSA pour Microsoft Visio http://www.microsoft.com/technet/security/tools/mbsavisio.mspx
Windows Server Update Services 3.0 Avantages à utiliser WSUS 3.0 L’agent est déjà installé sous Windows Configuration du client grâce aux stratégies de groupe Nécessite peu de ressources pour être administré Fiable Gratuit WSUS peut être associé aux outils d’inventaire existants (ex. MBSA) Version actuelle : WSUS 3.0 SP1
Architecture WSUS Microsoft Update Serveur WSUS Administrateur Test Serveurs Pilote Stations de travail
Modèle de fonctionnement WSUS 3.0 Approuver pour TEST Approuver pour PILOTE Approuver par groupe d’installation
Windows Server Update Services Visite guidée
0 825 827 829 code 055# assistance (0,15€/min) (les appels au support en ce qui concerne la sécurité sont pris en charge par Microsoft)
4/2/2017 1:12 PM Ressources Portail Microsoft sécurité - http://www.microsoft.com/france/securite Bulletins et avis de sécurité Centres de conseils (grand public, professionnels, développeurs) Outils et téléchargements Inscription aux notifications et lettres d’information sécurité Webcasts Agenda des événements Guides et conseils Espace conseils Microsoft sur la sécurité : Gestion des correctifs http://go.microsoft.com/fwlink/?LinkId=103417 Assistance 0 825 827 829 code 055# (les appels au support en ce qui concerne la sécurité sont pris en charge gratuitement par Microsoft)
© 2008 Microsoft Corporation. Tous droits réservés. Ce document est fourni uniquement à titre d’information. MICROSOFT EXCLUT TOUTE GARANTIE, EXPRESSE OU IMPLICITE.
Informations légales L’OBJET DU PRESENT DOCUMENT EST DE VOUS FOURNIR L’INFORMATION QUE VOUS AVEZ DEMANDEE CONCERNANT LA SECURITE. GENERALEMENT, L’INFORMATION PROVOQUE UNE PRISE DE CONSCIENCE AUTOUR DE LA SECURITE ET IDENTIFIE LE PERSONNEL, LES PROCEDES, RESSOURCES ET TECHNOLOGIES QUI SONT DESTINES A PROMOUVOIR DE BONNES REGLES DE SECURITE DANS VOTRE ORGANISATION. LES VIRUS ET AUTRES TECHNOLOGIES NUISIBLES DESTINES A ATTAQUER VOTRE ENVIRONNEMENT INFORMATIQUE CHANGENT CONTINUELLEMENT AFIN DE CONTOURNER LES MESURES DE SECURITE EXISTANTES. DES LORS, MAINTENIR UN ENVIRONNEMENT INFORMATIQUE FIABLE EST UN PROCESSUS CONTINU QUI EXIGE QUE VOUS MAINTENIEZ UN PERSONNEL, DES PROCEDES, RESSOURCES ET TECHNOLOGIES ADEQUATS AFIN DE VOUS PROTEGER CONTRE TOUTE ATTEINTE A LA SECURITE. AUCUNE DISPOSITION CONTENUE DANS LES PRESENTES NE DOIT ETRE INTERPRETEE OU CONSIDEREE COMME UNE CERTIFICATION, UNE GARANTIE OU TOUTE AUTRE FORME DE VALIDATION QUE VOTRE ENVIRONNEMENT INFORMATIQUE EST ET DEMEURERA PROTEGE CONTRE DES ATTEINTES A LA SECURITE ET NOUS N’ASSUMONS AUCUNE RESPONSABILITE POUR TOUTE ATTEINTE A LA SECURITE OU TOUT DOMMAGE OU PERTE SUBSEQUENT. TOUTES COMMUNICATIONS OU TRANSMISSIONS D’INFORMATION QUI VOUS SONT ADRESSEES AU SUJET DE MICROSOFT ET CONCERNANT LA SECURITE INCLUANT NOTAMMENT TOUTES SUGGESTIONS, ANALYSES, OU COMMENTAIRES QUI VOUS SONT FOURNIS DURANT UNE ANALYSE RELATIVE A LA SECURITE OU TOUTE AUTRE INFORMATION PASSEE, PRESENTE OU FUTURE RELATIVE NOTAMMENT AUX TESTS DE SECURITE, EVALUATIONS, DISPONIBILITES, HORAIRES OU OBJECTIFS (CI-APRES COLLECTIVEMENT DENOMMES « INFORMATIONS SUR LA SECURITE »), SONT FOURNIS CONFORMEMENT AUX CONDITIONS DU CONTRAT DE SERVICE EXISTANT ENTRE VOUS ET MICROSOFT ET UNIQUEMENT AFIN DE VOUS PERMETTRE DE VOUS ORGANISER FACE A D’EVENTUELS PROBLEMES DE SECURITE. TOUTES LES INFORMATIONS SUR LA SECURITE CONTIENNENT TOUTES LES DONNEES QUI NOUS SONT ACTUELLEMENT ACCESSIBLES MAIS QUI SONT SUSCEPTIBLES DE CHANGER EN RAISON DU CHANGEMENT CONSTANT DE CES DONNEES SANS QUE MICROSOFT VOUS AIT PREALABLEMENT INFORME DE CES CHANGEMENTS. NOUS VOUS RECOMMANDONS DONC DE VERIFIER REGULIEREMENT AUPRES DE NOUS ET SUR LE SITE INTERNET DE SECURITE SITUE A L’ADRESSE SUIVANTE WWW.MICROSOFT.COM/SECURITY SI LES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES FONT L’OBJET DE MISES A JOUR. VEUILLEZ NOUS CONTACTER SI VOUS AVEZ D’AUTRES QUESTIONS CONCERNANT DES PROBLEMES DE SECURITE OU SI VOUS AVEZ BESOIN D’UNE MISE A JOUR DES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES.