Les Assises de la Sécurité 2016

EXPERT en TRES HAUTE SECURITELEADER en INFOGERANCE ECOMMERCE

WWW.NBS-SYSTEM.COM

EVALUER ET CONTROLER LA SECURITÉ DE SES PRESTATAIRES CLOUD, PaaS et SaaS

Intervenants Thibault Koechlin

Emile Heitor

1990 – 2016: 50 Nuances d’hébergement

‘90 « datacenter » on-premise

‘00 « SI internalisé & Liaison DC »

‘10 « SI minimaliste & Déporté en DC »

‘15 « SaaS, plus de SI »

Legacy: 1990 - 2000

Le règne du On-PremiseAka l’informatique-à-papa

Self-hosted

• Serveurs contrôlés par l’IT interne– Faible industrialisation

– Faible sensibilisation• Politique de patching inexistante• Robustesse des prestataires peu regardée

– Menaces locales• Disquettes • Collaborateur malveillant• Pirates

– Début des accès à l’Internet• Workstations souvent en DMZ• Peu ou pas de filtrage

4

Self-hosted

• Point de vue « attaque »– Attaques ciblées, souvent par ingénierie sociale– L’exploitation reste un domaine émergeant

(phrack : 85)

• Point de vue « défense et évaluation »– Pratiquement inexistant

5

Quand l’hybridation n’était pas encore un

buzzword

2000 Bubbles

L’Internet ou le cheval de Troie

• Liaisons et ouverture sur le monde

• Avènement des DataCenters– Faiblement sécurisés et normalisés– Infrastructure publique– Protocoles d’administration en clair– Liaisons On-Premise ➡ DC

• Méthodologies de développement– Versionning trop peu utilisé– Revues de code pratiquement inexistantes

7

Premier shift de paradigme

• Le tournant :– Internet accessible

• Point de vue « attaque »– L’ère de l’exploitation de failles mémoire– Engouement des mafias limité

• Et la défense ?– L’analyse du risque d’intrusion reste balbutiant – On évalue autant la robustesse des infrastructures que la

qualité des systèmes

8

La virtualisation ouvre la voie à l’infrastructure

logicielle

2010-2016 : Dématérialisation

VMware, Xen, KVM…

• Technologies de virtualisation éprouvées– Explosion du nombre de machines fantômes– Dématérialisation, déploiement accessible à tous

• Fin des problématiques d’infrastructure et de casse matérielle– On l’a échangé contre la gestion de la sécurité des

hyperviseurs, dont les patchs coutent « cher » en downtime.

• Extension du domaine de la lutte– OVH, online, Hetzner : le nouveau temporaire qui dure– Les faibles coûts aidant, augmentation exponentielle

10

Maturité Défensive

• Externalisation partielle des problématiques d’infra : – Mieux maitrisées ou déléguées– Echange contre du contrôle d’exposition publique– Démocratisation du VPS généralise aussi les DDoS

• Sécurité des solutions de virtualisation : encore peu travaillé, les attaques bluepill/redpill restent des fantasmes techniques.– Début de XEN : 2003– Rachat de XEN par Citrix : 2007– Première XSA : 2011 (dernière XSA : 190)

11

Maturité Attaquants

• Bien que les SQLi existent depuis ~2000, cette époque voit leur popularisation :– De plus en plus complexe pour les attaquants de se baser juste

sur des bugs de corruption de mémoire : • les mises à jour se font plus régulièrement, • certaines solutions de hardening apparaissent.

– Vulnérabilités « web » beaucoup plus accessibles• création d’exploit fonctionnel et stable • Temps de création passe de jours/semaines à quelques heures/minutes

• Démocratisation des attaques– Augmentation de la surface d’attaque

12

Comment évaluer ses prestataires ?

• PSSI : – « Politique de patch »– Audit réel des prestataires– Augmentation d’applications web customs

développe les tests d’intrusions et audit de code source.

• Avoir un WAF/IDS/IPS est encore rare

13

Deuxième shift de paradigme

• Shift :– Je sème mes machines virtuelles à tous vents

• Point de vue attaquant– L’ère du « OR 1=1 » : Exploitation de failles web.– Audit et création d’exploits beaucoup plus triviales.– Mafias « classiques » s’emparent du sujets : l’éco-système se

met doucement en place (vente des kits de phisihing, mais commerce des DDoS reste modéré)

• Et la défense ?– Analyse du risque d’intrusion mature : PSSI et de patching

policy– Périmètre partiel : la virtualisation encore laissée à l’écart.

14

« On peut configurer 1000 microservices 1 fois… non »

2016 : l’agilité au service du chaos

Who needs a sysadmin !

16

CI : la constitution du container

• De bonnes habitudes sont apparues– Intégration continue– Code repositories– Orchestration & industrialisation– Plus grande coopération communautaire

• De fausses idées se sont installées– Plus besoin d’expert système– Grace aux machines éphémères, plus besoin de veille

• Ainsi que de mauvais réflexes– Des centaines de milliers de containers fantômes– Architecture au rabais, au mépris de la pérennité– Nouvelle forme de shadow-IT : le container devient la nouvelle boite

de Schrodinger

17

But wait, there’s more !

18

Réversibilité et pérennité

• Dans quelle mesure le prestataire et/ou la solution proposée est elle réversible ou 100% dépendante de telle ou telle technologie d’un provider de cloud public.

• L’application web Serverless tout en fonction lambda développé pourrait-elle fonctionner sans API Gateway et les buckets S3 ?

• Technologies donnant l’illusion de l’isolation : passerelle directe vers toute l’infrastructure– Nécessité d’un grand contrôle des accès– Revues de code plus importantes que jamais

• Dépendance aux API et modifications du fournisseur

19

Réversibilité et pérennité

Build

Check

Run

20

Un nouveau contexte

21

Pass****

Evaluer la sécurité du prestataire ?

• Disponibilité :– Plus aucun contrôle sur les opérations d’infrastructure (maintenance, MàJ…)– Nécessité de prendre en compte une infrastructure volatile, éphémère– Auto-scalabilité : Nécessité pour le prestataire de réévaluer ses méthodologies

• Confidentialité :– Quel médias sont utilisés pour le stockage ? Sont-ils chiffrés ? Qui détient les clés

privées ?– Les droits sur les composants sont-ils audités à intervalle régulier ?

• Intégrité :– Le découpage des utilisateurs et groupes est-il suffisamment fin (root account car

« plus facile » )– A partir de quel niveau de privilèges les utilisateurs disposent de la 2FA ?

• Traçabilité :– Reporting automatique ?– Audit récurrent automatisé sur les droits / filtrage (ie. Scout)

22

DON’T PANIC

Et du coup?

Contact

NBS System8 rue Bernard Buffet,

75017 Paris +33.1.58.56.60.80

contact@nbs-system.com

24

Présenté par

Emile HEITOR&

Thibault KOECHLIN

Retrouvez-nous sur notre stand n°36