Back to basics. Comment LINKBYNET gère les failles de sécurité pour ses clients?

[English version below]

Débutons par quelques Statistiques. Le nombre de failles détectées en 2015 selon le rapport publié par Secunia Research était de 16 081, impactant 2 484 applications et 263 vendeurs. Depuis 2012, le nombre de nouvelles failles augmente chaque année, par milliers.

 

graphvulnerabilite
[Source : Vulnerability Review 2016 Report by Secunia Research]


Le Top 10 des éditeurs ayant publié le plus de vulnérabilités sont : Microsoft, Apple, Oracle, IBM, Cisco, Adobe, Google, Linux, Mozilla, et Redhat. Parmi toutes les failles publiées en 2015, environ 20% sont classifiées Critique et extrêmement critique.

Voici quelques exemples des failles extrêmement critiques en 2014 et 2015 : HEARTBLEED, SHELLSHOCK, FREAK et GHOST.exdefailles

[Source : http://osdelivers.blackducksoftware.com/2016/01/06/what-security-testing-tools-miss/ ]


Mais, comment une vulnérabilité devient-elle une menace ?

Une vulnérabilité -ou faille- est une faiblesse dans un environnement pouvant rendre ce dernier instable. Cela revient à laisser, par exemple, une ouverture de maison non-verrouillée. Du coup, cette « porte » peut potentiellement être utilisée par des hackers pour accéder de façon illégitime au système.

On retrouve souvent des vulnérabilités sur des logiciels, mais cette faiblesse ne s’arrête pas là. En effet, tout ce qui est « codé » peut potentiellement contenir des vulnérabilités : notamment les firmware, les hyperviseurs, les systèmes d’exploitation, les librairies et les logiciels. Des vulnérabilités peuvent également apparaître dans la façon dont un réseau ou un système a été configuré.
Ces vulnérabilités peuvent être exploitées par un attaquant à des fins malicieuses, causant ainsi des dommages à une organisation. Chaque organisation aujourd’hui, fait face à de nombreuses menaces de ce type et doit donc faire preuve d’une bonne gestion de ses risques pour s’assurer une protection efficace.

Voici quelques définitions propres aux vulnérabilités :

• Vulnérabilité : faiblesse dans un système
• Exploit : technique pour exploiter une faille
• Menace : vecteur qui a pour but de faire du dégât
• Risque : probabilité qu’une vulnérabilité soit exploitée par une menace causant des dommages à un actif.

Comment les vulnérabilités sont-elles classifiées ?

Les vulnérabilités sont classifiées en CVE (Common Vulnerabilities and Exposures) qui sont eux-mêmes regroupés dans une base de données connue comme la NVD [National Vulnerability Database] maintenue par l’institut NIST [National Institute of Standards and Technology].

Un CVE contient les informations suivantes sur une vulnérabilité :
• Un identifiant du type CVE-AAAA-NNNN (AAAA est l’année de publication et NNNN un numéro incrémenté)
• La date de publication et la date de révision
• Un score CVSS (Common Vulnerability Scoring System) indiquant la criticité de la faille. Le score étant basé sur la complexité de l’exploitation de la faille et son impact potentiel
• Les détails sur la faille
• Des références externes

Un éditeur réserve des CVE auprès de l’organisation MITRE [qui est responsable de l’assignation des CVE] et publie ensuite ces CVE dans son bulletin de sécurité. Les chercheurs en sécurité aussi tentent d’exploiter des vulnérabilités et contactent les éditeurs pour publier des correctifs.

Dès lors, comment organiser sa protection contre les vulnérabilités ?

Pour se protéger contre les vulnérabilités, il est recommandé d’avoir un moyen de détection rapide des failles et une bonne gestion du patching. Les failles peuvent être identifiées à travers un scanner de vulnérabilités telles que les scans Qualys que nous proposons d’ores et déjà à nos clients. Ces outils peuvent scanner tout type d’application ainsi que tout équipement possédant un IP notamment les serveurs, les switchs, routeurs, téléphones IP, robots de backup et imprimantes. Au niveau du patching, des bulletins de sécurité sont publiés fréquemment par les éditeurs indiquant les failles et la criticité. A titre d’exemple : Microsoft et Adobe publient, pour leur part, des bulletins chaque mois, Oracle le fait 4 fois par an. Des patches hors-cycle sont aussi publiés pour adresser une faille critique et urgente. Il est bien sûr recommandé d’appliquer les correctifs dans un délai raisonnable.

Lorsqu’une faille est détectée, selon sa criticité, un patch correctif est le plus souvent publié rapidement par l’éditeur. Cependant, il existe aussi des failles dont les éditeurs ne sont pas au courant avant que ces dernières ne soient rendues publiques. Par conséquent, il n’y a pas de patch correctif et la faille peut être exploitée librement par les hackers. Ce type de faille est communément appelé Zero-day vulnerability jusqu’à ce qu’un patch y correspondant soit publié. Pour les plus curieux, sur le site de ZDI, on peut voir les dernières vulnérabilités zero-day publiées par des chercheurs.

D’autres mesures de précautions sont :
• Mettre une place une méthode de protection contre les trafics malveillants comme l’IPS et le WAF
• Eviter l’utilisation des logiciels et OS obsolètes
• Déployer un antivirus sur les serveurs

Cependant, comme chacun le sait, l’efficacité d’une politique de sécurité repose sur la réactivité. Chaque équipement ou processus s’y référant nécessite donc un suivi continu et une expertise poussée. Pour aider ses clients dans cet objectif, LINKBYNET  a donc mis au point une offre de Gestion de vulnérabilités qui s’articule autour de 2 grands axes : la veille de vulnérabilités & les scans de vulnérabilités.

Quelles sont les offres de gestion des vulnérabilités proposées par LINKBYNET ?

La veille des vulnérabilités : 
Un processus de veille des vulnérabilités a été mis en place chez Linkbynet. Le processus consiste à détecter rapidement des failles sur la partie OS ainsi que sur la partie applicative. L’objectif étant d’alerter  les clients et les équipes d’opération ASAP afin qu’un correctif puisse être appliqué dans un délai raisonnable.

Les failles sont initialement communiquées à travers des sites spécialisés tels que www.nist.org et www.certa.ssi.gouv.fr. Ces informations sont automatiquement retransmises vers une base de données chez Linkbynet.

Une fois les failles identifiées, un admin SOC vérifie dans un premier temps si elles concernent l’environnement de Linkbynet. Cela est réalisé grâce à une comparaison avec la base de logiciel Client.

Pour celles concernant Linkbynet, l’admin procède à leurs qualifications selon leurs criticités et leurs impacts. 
3 niveaux de criticités existent :
1. Urgent – A patcher en l’espace d’une semaine 
2. Attention – A patcher dans un délai de 3 semaines
3. Information – A patcher lors de la prochaine campagne de patch

Dans le cas d’une faille critique, un avis de sécurité est envoyé par l’équipe SOC.Indépendamment de la criticité des failles, une communication est envoyée aux SM chaque Lundi indiquant les nouvelles failles et le statut de la remédiation par rapport aux avis de sécurité émis. Il est à noter que la veille de sécurité ne fait que communiquer les failles de différentes plateformes clientes. Pour que cela soit efficace, la participation des Service Manager et des référents techniques est donc essentielle afin que ces menaces soient éradiquées rapidement. Cette veille est par ailleurs, généraliste. C’est donc pour cela que nous proposons une prestation de Veille de Vulnérabilités permettant à nos clients le désirant, d’obtenir chaque semaine un reporting personnalisé sur les vulnérabilités qu’il souhaite suivre spécifiquement (100 technologies sont actuellement disponibles)

Les scans de vulnérabilités

Les plateformes de nos clients, tout comme les menaces qui pèsent sur elles, évoluent en permanence. Afin de garantir un niveau de sécurité optimal, Il est donc nécessaire d’y apporter une surveillance continue et évolutive. C’est là tout le rôle des scans de vulnérabilités récurrents. Ces derniers permettent en effet d’adopter une démarche de sécurité proactive :
• Surveiller la plateforme client afin de connaître parfaitement ses faiblesses ainsi que les menaces existantes y correspondant.
• Anticiper d’éventuelles attaques en corrigeant rapidement les failles détectées avant qu’elles ne puissent être exploitées 
• Préserver les installations clients ainsi que la confiance de ses utilisateurs 
Afin d’accompagner nos clients dans la gestion de leurs scans de vulnérabilités, nous avons mis au point WEB SECURE, scans récurrents de vulnérabilités comportant deux niveaux de surveillances : applicatif  et réseau.

Dans le cadre de la prestation WEB SECURE, le SOC :
• Configure les scans 
• Centralise la réception et le traitement des rapports générés 
• Analyse l’information remontée des scans applicatifs (Qualys WAS & Réseau (Qualys VM) effectués 2 fois / mois
• Alerte le client en cas de faille majeure détectée 
• Envoie le rapport complet des scans (Corrections effectuées, failles actives & pistes d’optimisation) ; 1 fois / mois

Voilà en peu en quoi consiste la gestion des vulnérabilités. Au niveau de Linkbynet, plusieurs mesures de précautions sont mise en place pour protéger notre parc et nos clients.

Voici quelques réalisations :
• Le patching des postes de travail Microsoft est réalisé la 2ème semaine de chaque mois.
• La DSI travaille actuellement sur une méthodologie de patch des logiciels comme Adobe Flash Player
• L’équipe SM-ISM a mis en place des scans de vulnérabilités sur nos propres sites web
• L’équipe AAIO travaille sur l’amélioration des outils d’autopatching
• Les équipes SA, RSX, TechIT et SM travaillent sur la correction des vulnérabilités des scans Qualys ainsi que sur le patching.

La sécurité travaille sur des projets pour améliorer cette gestion notamment :
• La création d’un dictionnaire Qualys pour simplifier la correction des failles détectées
• Suivi de gestion du patching à travers des comités
• La mise en place d’un Dashboard Obsolescence
• Test des autres outils de scanner de vulnérabilités 

Tel que vous pouvez le constater, la gestion de vulnérabilités est un travail de chaque instant. L’ensemble des équipes LINKBYNET (Sécurité et autres) œuvre donc au jour le jour pour garantir un niveau de protection optimal à nos clients.

 


How Linkbynet

Let’s start with a few statistics:

The number of vulnerabilities detected in 2015, according to the “Vulnerability Review 2016 Report” published by Secunia Research, was 16081, affecting 2484 applications and 263 vendors. Since 2012, the number of new vulnerabilities increases by thousands every year.graphvulnerabilite

[Source : Vulnerability Review 2016 Report by Secunia Research]
The top 10 publishers who have published the most vulnerabilities are: Microsoft, Apple, Oracle, IBM, Cisco, Adobe, Google, Linux, Mozilla, and Redhat. Among all the vulnerabilities published in 2015, about 20% are classified as being critical and extremely critical.

Examples of highly critical flaws in 2014 and 2015 are: HEARTBLEED, SHELLSHOCK, FREAK and GHOST.
exdefailles

But how does a vulnerability become a threat?

A vulnerability is a weakness in an environment that can make it unstable. This can be compared as for example, an opening in a non-locked home. So, this « opening » can potentially be used by hackers to access a system illegitimately.

We often find vulnerabilities in software, but this weakness does not stop there. Indeed, all that is « coded » can potentially contain vulnerabilities: including firmware, hypervisors, operating systems, libraries and software. An improper or inadequate network or system configuration may give rise to vulnerabilities.

These vulnerabilities can be exploited by an attacker for malicious purposes thereby causing damage to an organization. Every organization, today, faces many threats of this type and should therefore have a good risk management process to ensure effective protection.

Here are some specific definitions:
• Vulnerability: A weakness in a system.
• Exploit: The technique applied to exploit a flaw.
• Threat: A vector that aims to do damage.
• Risk: The probability of a vulnerability being exploited by a threat causing damage to an asset.

How are vulnerabilities classified?

Vulnerabilities are classified as CVE (Common Vulnerabilities and Exposures) which are themselves grouped in a database known as the NVD [National Vulnerability Database] maintained by NIST [National Institute of Standards and Technology].

A CVE contains the following information:
• An identifier of type CVE-AAAA-NNNN (AAAA is the year of publication and NNNN an incremented number)
• Publication and revision date
• A CVSS score (Common Vulnerability Scoring System) indicating the criticality of the vulnerability. The score is based on the complexity in exploiting the vulnerability and its potential impact
• Details on the vulnerability
• External references

A vendor reserves CVE with the MITRE organization [which is responsible for assigning CVE] and publishes these CVE in its security bulletin. Security researchers also tries to exploit vulnerabilities and contact the respective vendors to publish patches, normally before publicly disclosing the vulnerability.

How to protect against vulnerabilities?

To protect against the vulnerabilities, it is recommended have a quick vulnerability detection mechanism and a good patch management process.

Vulnerabilities can be identified through a vulnerability scanner such as Qualys scans which we already offer to our customers.

These tools can scan any application and any device with an IP including servers, switches, routers, IP phones, printers and backup robots.

As far as patching is concerned, security bulletins are regularly published by vendors indicating the vulnerabilities being addressed and their criticality. For example: Microsoft and Adobe release their bulletin each month whereas Oracle does it 4 times a year. Out-of-band patches are also released to address an urgent and critical flaw. It is highly recommended to apply patches regularly.

When a vulnerability is detected, according to its criticality, a corrective patch is usually quickly released by the vendor. However, there are also flaws who are not known to vendors until they are made public. As a result, there might be no immediate corrective measures applicable and can therefore be freely exploited by hackers. This type of vulnerability is commonly called a Zero-day vulnerability until a patch is published to correct it. For the curious, the site of ZDI : http://www.zerodayinitiative.com/ lists some zero-day vulnerabilities published by researchers.

Other precautions include:
• Set up a method of protection against malicious traffic such as IPS and WAF
• Avoid using obsolete software and OS
• Deploy an antivirus on servers

However, as everyone knows, the effectiveness of a security policy is based on reactivity. Each related equipment or process requires continuous monitoring and extensive expertise. To help customers in this, LINKBYNET has developed a vulnerability management offer that revolves around two main axes: Vulnerability Watch & Vulnerability Scan.

What are the vulnerability management offers proposed Linkbynet?

Vulnerability Watch: 
A vulnerability monitoring process has been set up at Linkbynet which enables us to rapidly detect and classify latest vulnerabilities on operating systems and applications.  The goal is to alert customers and operations teams ASAP so that a fix can be applied within a reasonable time.

The vulnerabilities are initially published on specialized sites like www.nist.org and www.certa.ssi.gouv.fr. This information is automatically transmitted to our database.

Once the vulnerabilities are consulted, a SOC admin checks if they concern the Linkbynet environment. This is achieved through a comparison with the Client software base.
For those concerning Linkbynet, the admin qualified the vulnerability according to their criticality and impact.

3 levels of severity exist:
1. Urgent – To be patched within a week 
2. Warning – to be patched patch within three weeks
3. Information – To be patched in the next scheduled patching campaign

If a critical flaw with high impact is identified, a security announcement is issued by the SOC team. All the security advisories for the year 2016 have been regrouped on the wiki: https://wiki.linkbynet.com/soc:vulnerability_management:veille:advisories:2016 
Regardless of the criticality of vulnerabilities, a communication is sent to the SM every Monday showing the latest vulnerabilities and the remedial status of the published security advisories.

Please note that the Vulnerability Watch process enables us to communicate on the vulnerabilities impacting several clients’ platforms. For this to be effective, the participation of Service Managers and technical referents is essential to eradicate these threats rapidly.

This watch is done in a generalised manner. This is why we propose a tailored Vulnerability watch offer to our customers. This offer consists of monitoring vulnerabilities for a number of technologies [100 technologies are currently available] specified by the customer and communicating a personalised report every week to the customer.

Vulnerability Scanning
Our customers’ platforms as well as the threats associated to them are constantly changing. To ensure the highest level of security, it is necessary to implement a continuous and scalable surveillance. This can be achieved through recurrent vulnerability scans which allows our customers to adopt a proactive security approach:
• Monitor the client platform to find out its weaknesses and corresponding threats
• Anticipate possible attacks by quickly correcting the flaws detected before they can be exploited 
• Maintain customer’s trust as well as that of its users

To support our clients in managing their vulnerability scans, we developed the SECURE WEB offer, comprising of recurring vulnerability scans on two different levels: application network. 

Under WEB SECURE delivery, the SOC (reinforced by LNA, if applicable):
• Configure Scans
• Centralize the reception and processing of generated reports
• Analyse reports (WAS & VM) 2 times per month
• Update the customer in case of major flaw detection
• Send the complete report of scans (with corrections, active vulnerabilities and optimisations) 1 times per month

[To end….]
So this is a little bit about vulnerability management. At Linkbynet, several precautions are in place to protect our park and that of our customers.

Here are some achievements:
• Microsoft workstations are patched on the second week of each month.
• The DSI is currently working on a methodology to patch third-party software like Adobe Flash Player.
• The SM-ISM team has implemented vulnerability scans on our own websites.
• The AAIO team is working on improving tools like autopatching.
• The SA, RSX, SM and TechIT teams work on the remediation of vulnerabilities identified through Qualys Scans and as well as on patching.

The security team is currelty working on projects to improve vulnerability management such as:
• The creation of a Qualys Dictionary to simplify the correction of discovered vulnerabilities
• Improvement of patch management through committees
• Establishment of the Obsolescence Dashboard
• Testing of other vulnerabilities scanner tools

As you can see, vulnerability management is a continuous process and has to be followed on a daily basis. All LINKBYNET teams (security and other) thus work on it to ensure the highest level of protection to our customers.

Thank you and see you soon!
The SOC

 

Laisser un commentaire