Cycle de vie d’une vulnérabilité

Présentation au sujet: "Cycle de vie d’une vulnérabilité"— Transcription de la présentation:

1 Cycle de vie d’une vulnérabilité
EUROSEC 2003 Cycle de vie d’une vulnérabilité Nicolas FISCHBACH Senior Manager, IP Engineering/Security - COLT Telecom - version 1.0

2 Agenda Introduction Les vulnérabilités dans le temps
Les différents acteurs Gestion et réduction du risque Conclusion

3 Une vulnérabilité dans le temps (1)
Evolution d’une vulnérabilité “Victimes” “Proof of Concept” Automatisation Exploit Temps Découverte de la faille (Re)découverte de la faille ou fuite Publication Correctif disponible Correctif appliqué Correctif “complet”

4 Une vulnérabilité dans le temps (2)
Evolution d’une vulnérabilité (suite) Certaines failles sont présentes pendant des années avant d’être découvertes (Re)découverte: un pot de miel (“honeypot”) peut-il accélerer la découverte ou la publication ? Propagation marginale ou force brute base de victimes utilisation de services (Google, Netcraft, SecuritySpace, DNS, etc). Correctif mise à jour (patch) ou solution temporaire (workaround) approche alternative : protection au niveau de l’infrastructure (réseau) pour compenser la mise à jour du système

5 Une vulnérabilité dans le temps (3)
Evolution de la sécurité d’un système Les différents états et les transitions associées Vitesse de ces différentes transitions Qualité de l’analyse post-mortem est fonction de la préparation et des mécanismes anti-autopsie présents Instant t=0 Analyse post mortem Sûr/sécurisé Vulnérable Compromis

6 Une vulnérabilité dans le temps (4)
Evolution du risque : pénétration/risque lié à une mise à jour (“bad patch”) Comment identifier l’instant optimal ? Des failles anciennes (et bien connues) sont toujours réintroduites dans une version plus récente Imcompatibilité avec d’autres mises à jours/programmes La mise à jour peut apporter de nouvelles failles

7 Les différents acteurs (1)
L’industrie de la sécurité informatique “advisory” marketing Société commerciale Groupe “underground” fuite (“leak”) Agence gouvernementale, CERT Université, groupe de recherche alerte publication

8 Les différents acteurs (2)
L’industrie de la sécurité informatique Ecosystème de développement logiciel Ou “des liens étroits entre les différents acteurs” ? à l’image des sièges croisés dans les conseils d’administration Confiance dans les vendeurs Les fuites et la prévention monde “underground” industrie (lors de la notification) sécurité informatique éditeur Implications légales (“DMCA” et ses variantes) Société commerciale Groupe “underground” Agence gouvernementale, CERT Université, groupe de recherche

9 Gestion/réduction du risque (1)
Exposition des services et applicatifs Services internes Services externes publiques et semi-publiques/privés privés Filtrage au niveau réseau au niveau applicatif relais (applicatifs, rebonds, etc) Sécurisation réseau système d’exploitation applicatif

10 Gestion/réduction du risque (2)
Gestion du risque Définition de la criticité des services, des données, de la faille (déni de service, pénétration, etc.) Veille technologique et tests récurrents automatiques/manuels Un programme (complexe) sans faille est une utopie Gestion de la disponibilité Plan de mise à jour planifié (“change management”) Plan de mise à jour d’urgence/secours fonctionnement en mode dégradé environnement de test système d’information de secours

11 Gestion/réduction du risque (3)
Eléments de réflexion Les logiciels “Opensource” par rapport aux logiciels “Closed source” Approche diversité ou “single COTS vendor” ? Publication de vulnérabilités, quelle tendance ? “Full disclosure”, “Responsible disclosure” “Closed and vendor only” autres ? Les audits et les tests de pénétration Réelle utilité ou un faux sentiment de sécurité ? Archives d’exploits publiques (très) privées

12 Conclusion Conclusion Présentation
Questions/Réponses Image: