Post on 05-Apr-2017
Les Assises de la Sécurité 2016
EXPERT en TRES HAUTE SECURITELEADER en INFOGERANCE ECOMMERCE
WWW.NBS-SYSTEM.COM
EVALUER ET CONTROLER LA SECURITÉ DE SES PRESTATAIRES CLOUD, PaaS et SaaS
Intervenants Thibault Koechlin
Emile Heitor
1990 – 2016: 50 Nuances d’hébergement
‘90 « datacenter » on-premise
‘00 « SI internalisé & Liaison DC »
‘10 « SI minimaliste & Déporté en DC »
‘15 « SaaS, plus de SI »
Legacy: 1990 - 2000
Le règne du On-PremiseAka l’informatique-à-papa
Self-hosted
• Serveurs contrôlés par l’IT interne– Faible industrialisation
– Faible sensibilisation• Politique de patching inexistante• Robustesse des prestataires peu regardée
– Menaces locales• Disquettes • Collaborateur malveillant• Pirates
– Début des accès à l’Internet• Workstations souvent en DMZ• Peu ou pas de filtrage
4
Self-hosted
• Point de vue « attaque »– Attaques ciblées, souvent par ingénierie sociale– L’exploitation reste un domaine émergeant
(phrack : 85)
• Point de vue « défense et évaluation »– Pratiquement inexistant
5
Quand l’hybridation n’était pas encore un
buzzword
2000 Bubbles
L’Internet ou le cheval de Troie
• Liaisons et ouverture sur le monde
• Avènement des DataCenters– Faiblement sécurisés et normalisés– Infrastructure publique– Protocoles d’administration en clair– Liaisons On-Premise ➡ DC
• Méthodologies de développement– Versionning trop peu utilisé– Revues de code pratiquement inexistantes
7
Premier shift de paradigme
• Le tournant :– Internet accessible
• Point de vue « attaque »– L’ère de l’exploitation de failles mémoire– Engouement des mafias limité
• Et la défense ?– L’analyse du risque d’intrusion reste balbutiant – On évalue autant la robustesse des infrastructures que la
qualité des systèmes
8
La virtualisation ouvre la voie à l’infrastructure
logicielle
2010-2016 : Dématérialisation
VMware, Xen, KVM…
• Technologies de virtualisation éprouvées– Explosion du nombre de machines fantômes– Dématérialisation, déploiement accessible à tous
• Fin des problématiques d’infrastructure et de casse matérielle– On l’a échangé contre la gestion de la sécurité des
hyperviseurs, dont les patchs coutent « cher » en downtime.
• Extension du domaine de la lutte– OVH, online, Hetzner : le nouveau temporaire qui dure– Les faibles coûts aidant, augmentation exponentielle
10
Maturité Défensive
• Externalisation partielle des problématiques d’infra : – Mieux maitrisées ou déléguées– Echange contre du contrôle d’exposition publique– Démocratisation du VPS généralise aussi les DDoS
• Sécurité des solutions de virtualisation : encore peu travaillé, les attaques bluepill/redpill restent des fantasmes techniques.– Début de XEN : 2003– Rachat de XEN par Citrix : 2007– Première XSA : 2011 (dernière XSA : 190)
11
Maturité Attaquants
• Bien que les SQLi existent depuis ~2000, cette époque voit leur popularisation :– De plus en plus complexe pour les attaquants de se baser juste
sur des bugs de corruption de mémoire : • les mises à jour se font plus régulièrement, • certaines solutions de hardening apparaissent.
– Vulnérabilités « web » beaucoup plus accessibles• création d’exploit fonctionnel et stable • Temps de création passe de jours/semaines à quelques heures/minutes
• Démocratisation des attaques– Augmentation de la surface d’attaque
12
Comment évaluer ses prestataires ?
• PSSI : – « Politique de patch »– Audit réel des prestataires– Augmentation d’applications web customs
développe les tests d’intrusions et audit de code source.
• Avoir un WAF/IDS/IPS est encore rare
13
Deuxième shift de paradigme
• Shift :– Je sème mes machines virtuelles à tous vents
• Point de vue attaquant– L’ère du « OR 1=1 » : Exploitation de failles web.– Audit et création d’exploits beaucoup plus triviales.– Mafias « classiques » s’emparent du sujets : l’éco-système se
met doucement en place (vente des kits de phisihing, mais commerce des DDoS reste modéré)
• Et la défense ?– Analyse du risque d’intrusion mature : PSSI et de patching
policy– Périmètre partiel : la virtualisation encore laissée à l’écart.
14
« On peut configurer 1000 microservices 1 fois… non »
2016 : l’agilité au service du chaos
Who needs a sysadmin !
16
CI : la constitution du container
• De bonnes habitudes sont apparues– Intégration continue– Code repositories– Orchestration & industrialisation– Plus grande coopération communautaire
• De fausses idées se sont installées– Plus besoin d’expert système– Grace aux machines éphémères, plus besoin de veille
• Ainsi que de mauvais réflexes– Des centaines de milliers de containers fantômes– Architecture au rabais, au mépris de la pérennité– Nouvelle forme de shadow-IT : le container devient la nouvelle boite
de Schrodinger
17
But wait, there’s more !
18
Réversibilité et pérennité
• Dans quelle mesure le prestataire et/ou la solution proposée est elle réversible ou 100% dépendante de telle ou telle technologie d’un provider de cloud public.
• L’application web Serverless tout en fonction lambda développé pourrait-elle fonctionner sans API Gateway et les buckets S3 ?
• Technologies donnant l’illusion de l’isolation : passerelle directe vers toute l’infrastructure– Nécessité d’un grand contrôle des accès– Revues de code plus importantes que jamais
• Dépendance aux API et modifications du fournisseur
19
Réversibilité et pérennité
Build
Check
Run
20
Un nouveau contexte
21
Pass****
Evaluer la sécurité du prestataire ?
• Disponibilité :– Plus aucun contrôle sur les opérations d’infrastructure (maintenance, MàJ…)– Nécessité de prendre en compte une infrastructure volatile, éphémère– Auto-scalabilité : Nécessité pour le prestataire de réévaluer ses méthodologies
• Confidentialité :– Quel médias sont utilisés pour le stockage ? Sont-ils chiffrés ? Qui détient les clés
privées ?– Les droits sur les composants sont-ils audités à intervalle régulier ?
• Intégrité :– Le découpage des utilisateurs et groupes est-il suffisamment fin (root account car
« plus facile » )– A partir de quel niveau de privilèges les utilisateurs disposent de la 2FA ?
• Traçabilité :– Reporting automatique ?– Audit récurrent automatisé sur les droits / filtrage (ie. Scout)
22
DON’T PANIC
Et du coup?
Contact
NBS System8 rue Bernard Buffet,
75017 Paris +33.1.58.56.60.80
contact@nbs-system.com
24
Présenté par
Emile HEITOR&
Thibault KOECHLIN
Retrouvez-nous sur notre stand n°36