Ressources pour la gestion des mises à jour de sécuritéMathieu Malaise, CISSPResponsable de Programmes Sécuritéhttp://blogs.technet.com/pasdemalaise

Pascal Sauliere, CISSPConsultant Principal Sécuritéhttp://blogs.technet.com/pascals

Présentation

IntroductionNécessité

Une méthodeAnalyserIdentifierÉvaluer et planifierDéployer

Une source d’informationsDes outils gratuits

Introduction

IntroductionUne méthodeUne source d’informationsDes outils gratuits

Évolution du risque lié à une vulnérabilité

Ris

qu

e

Temps

Découverte dela vulnérabilité

Disponibilité ducorrectif

Annonce etcommunication

Application du correctif

(Risque sur l’ensemble, cas d’une vulnérabilité annoncée publiquement)

Pourquoi est-ce important ?

Absence de périmètre de l’entreprise

Tout le système d’information est concernéÉquipements : réseau, photocopieur, téléphone mobile…

Tout système d’exploitationToutes les applications

Principe de Défense en profondeur

Combien ont coûté Blaster, Sasser, Slammer ?

Est-ce un problème ?

Mauvaises raisons« C’est trop compliqué, trop cher »« J’ai un pare-feu/antivirus/IDS/IPS qui me protège »« Je n’ai jamais eu de problème sans appliquer les mises à jour »« C’est impossible de tester toutes les applications,  »

Bonnes raisonsManque d’appui de la direction, de budget, de personnelManque de procédures adaptéesManque de sensibilisationManque de bonnes pratiques (utilisateurs ou développeurs administrateurs, etc.)

Et si je ne fais rien ?

Impact financierImpact légalImpact réglementaireImpact sur la confiance

déploiement de la mise à jour= seul moyen efficace d'éliminer la vulnérabilité

Processus de gestion des mises à jour

IntroductionUne méthodeUne source d’informationsDes outils gratuits

Microsoft Operations FrameworkMicrosoft Operations Framework— Conseils pour la gestion des

opérationsRecommendations de gestion des services

Évaluation des services

Amélioration des services

1. Analyser 2. Identifier

4. Déployer 3. Évaluer et planifier

Processus de gestion des mises à jour selon Microsoft Operations Framework

http://technet.microsoft.com/library/cc700845http://technet.microsoft.com/updatemanagement

1. Analyser

Processus de gestion des correctifs1.Analyser l'environnement

Tâches

A.Inventaire, référence et conformité de l'environnement

B. Analyse des menaces et vulnérabilités présentes

C. Architecture de gestion des mises à jour

D. Efficacité opérationnelle

2. Identifier les nouveaux correctifs

Tâches

A. Identifier les nouveaux correctifs

B. Déterminer la pertinence des correctifs

C. Se procurer les mises à jour et les vérifier

Processus de gestion des correctifs

2. Identifier1. Analyser

Bulletins de sécurité

Publiés le deuxième mardi du mois

Points centraux de référenceLiens vers les mises à jourLiens vers les Articles de la Base de connaissances

IndiquentSynthèse - criticitéLogiciels affectésFacteurs atténuantsSolutions de contournementForum aux questionsInformations de mise à jour

Processus de gestion des correctifs

3. Évaluer et planifier le déploiement du correctif

TâchesA. Déterminer l’action à adopter

B. Planifier le déploiement

C. Effectuer les tests de réception

3. Évaluer et planifier

2. Identifier1. Analyser

Phase d’évaluation et de planificationClassification de chaque correctifDéfinir le niveau de priorité du

correctifCritique, important, modéré ou faibleÉlever ou abaisser le niveau de priorité en fonction du risque, des actifs à protéger et des facteurs d’atténuation

Priorité Délai recommandé

Délai maximum

Critique < 24 h < 2 semaines

Important

< 1 mois < 2 mois

Modéré < 4 mois < 6 mois

Faible < 1 an < 1 an ou jamais

Facteur Ajustement de la priorité (Important, modéré, faible)

Actifs de haute valeur ou très fortement affectés

Augmenter

Actifs cibles d’attaques dans le passé

Augmenter

Facteurs atténuants en place, solutions de contournement

Abaisser

Actifs de faible valeur ou faiblement affectés

Abaisser

Indice d'exploitabilité

4. Déployer le correctif

TâchesA. Préparer le déploiementB. DéployerC. Examiner le déploiementD. Traiter les exceptions

Processus de gestion des correctifs

4. Déployer3. Évaluer et planifier

2. Identifier1. Analyser

Gestion des mises à jourPostes clientsPublicationdu correctif

Réception par WSUS

Help Desk averti

Demande de tests qualité

Tests qualitéen

laboratoire

Problème avec correctif

Dossier ouvert au support Microsoft

Mise à jour approuvéedans WSUS

Installation sur les clients

Collecte du statut

d’installation

Fin du processus

Oui

Non

0 825 827 829 code 055# assistance (0,15€/min)

(les appels au support en ce qui concerne la sécurité sont pris en charge par Microsoft)

Accéder aux ressources

IntroductionUne méthodeUne source d’informationsDes outils gratuits

microsoft.com/france/securite Visite guidée

Outils

IntroductionUne méthodeUne source d’informationsDes outils gratuits

Aussi sur notre site Web

Moteur de recherchehttp://www.microsoft.com/technet/security/bulletin

Images ISOhttp://support.microsoft.com/kb/913086

Microsoft Baseline Security Analysis (MBSA)

2. Fichiers WSUSSCN2.cab et agent des mises à jour Windows téléchargés depuis Microsoft Update (signature vérifiée)

1. Console MBSA. Spécification des machines à analyser

3. Examen des systèmes cibles par l’intermédiaire du service Mises à jour automatiques local

4. Génération du rapport daté indiquant les correctifs manquants

MBSA

MicrosoftUpdate

Scripts de consolidation pour les analyses MBSAhttp://www.microsoft.com/technet/security/tools/mbsa2http://go.microsoft.com/fwlink/?LinkId=103198

Connecteur MBSA pour Microsoft Visiohttp://www.microsoft.com/technet/security/tools/mbsavisio.mspx

Windows Server Update Services 3.0

Avantages à utiliser WSUS 3.0L’agent est déjà installé sous WindowsConfiguration du client grâce aux stratégies de groupeNécessite peu de ressources pour être administréFiableGratuit

WSUS peut être associé aux outils d’inventaire existants (ex. MBSA)

Version actuelle : WSUS 3.0 SP1

Architecture WSUS

Administrateur

MicrosoftUpdate

Serveur WSUS

Test

Pilote Stations de travail

Serveurs

Modèle de fonctionnement WSUS 3.0Approuver pour TEST

Approuver pour PILOTE

Approuver par groupe d’installation

Windows Server Update Services Visite guidée

0 825 827 829 code 055# assistance (0,15€/min)

(les appels au support en ce qui concerne la sécurité sont pris en charge par Microsoft)

RessourcesPortail Microsoft sécurité - http://www.microsoft.com/france/securite

Bulletins et avis de sécuritéCentres de conseils (grand public, professionnels, développeurs)Outils et téléchargementsInscription aux notifications et lettres d’information sécuritéWebcastsAgenda des événements

Guides et conseilsEspace conseils Microsoft sur la sécurité : Gestion des correctifshttp://go.microsoft.com/fwlink/?LinkId=103417

Assistance0 825 827 829 code 055# (les appels au support en ce qui concerne la sécurité sont pris en charge gratuitement par Microsoft)

© 2008 Microsoft Corporation. Tous droits réservés.Ce document est fourni uniquement à titre d’information. MICROSOFT EXCLUT TOUTE GARANTIE, EXPRESSE OU IMPLICITE.

Informations légales

L’OBJET DU PRESENT DOCUMENT EST DE VOUS FOURNIR L’INFORMATION QUE VOUS AVEZ DEMANDEE CONCERNANT LA SECURITE. GENERALEMENT, L’INFORMATION PROVOQUE UNE PRISE DE CONSCIENCE AUTOUR DE LA SECURITE ET IDENTIFIE LE PERSONNEL, LES PROCEDES, RESSOURCES ET TECHNOLOGIES QUI SONT DESTINES A PROMOUVOIR DE BONNES REGLES DE SECURITE DANS VOTRE ORGANISATION. LES VIRUS ET AUTRES TECHNOLOGIES NUISIBLES DESTINES A ATTAQUER VOTRE ENVIRONNEMENT INFORMATIQUE CHANGENT CONTINUELLEMENT AFIN DE CONTOURNER LES MESURES DE SECURITE EXISTANTES. DES LORS, MAINTENIR UN ENVIRONNEMENT INFORMATIQUE FIABLE EST UN PROCESSUS CONTINU QUI EXIGE QUE VOUS MAINTENIEZ UN PERSONNEL, DES PROCEDES, RESSOURCES ET TECHNOLOGIES ADEQUATS AFIN DE VOUS PROTEGER CONTRE TOUTE ATTEINTE A LA SECURITE. AUCUNE DISPOSITION CONTENUE DANS LES PRESENTES NE DOIT ETRE INTERPRETEE OU CONSIDEREE COMME UNE CERTIFICATION, UNE GARANTIE OU TOUTE AUTRE FORME DE VALIDATION QUE VOTRE ENVIRONNEMENT INFORMATIQUE EST ET DEMEURERA PROTEGE CONTRE DES ATTEINTES A LA SECURITE ET NOUS N’ASSUMONS AUCUNE RESPONSABILITE POUR TOUTE ATTEINTE A LA SECURITE OU TOUT DOMMAGE OU PERTE SUBSEQUENT. TOUTES COMMUNICATIONS OU TRANSMISSIONS D’INFORMATION QUI VOUS SONT ADRESSEES AU SUJET DE MICROSOFT ET CONCERNANT LA SECURITE INCLUANT NOTAMMENT TOUTES SUGGESTIONS, ANALYSES, OU COMMENTAIRES QUI VOUS SONT FOURNIS DURANT UNE ANALYSE RELATIVE A LA SECURITE OU TOUTE AUTRE INFORMATION PASSEE, PRESENTE OU FUTURE RELATIVE NOTAMMENT AUX TESTS DE SECURITE, EVALUATIONS, DISPONIBILITES, HORAIRES OU OBJECTIFS (CI-APRES COLLECTIVEMENT DENOMMES « INFORMATIONS SUR LA SECURITE »), SONT FOURNIS CONFORMEMENT AUX CONDITIONS DU CONTRAT DE SERVICE EXISTANT ENTRE VOUS ET MICROSOFT ET UNIQUEMENT AFIN DE VOUS PERMETTRE DE VOUS ORGANISER FACE A D’EVENTUELS PROBLEMES DE SECURITE. TOUTES LES INFORMATIONS SUR LA SECURITE CONTIENNENT TOUTES LES DONNEES QUI NOUS SONT ACTUELLEMENT ACCESSIBLES MAIS QUI SONT SUSCEPTIBLES DE CHANGER EN RAISON DU CHANGEMENT CONSTANT DE CES DONNEES SANS QUE MICROSOFT VOUS AIT PREALABLEMENT INFORME DE CES CHANGEMENTS. NOUS VOUS RECOMMANDONS DONC DE VERIFIER REGULIEREMENT AUPRES DE NOUS ET SUR LE SITE INTERNET DE SECURITE SITUE A L’ADRESSE SUIVANTE WWW.MICROSOFT.COM/SECURITY SI LES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES FONT L’OBJET DE MISES A JOUR. VEUILLEZ NOUS CONTACTER SI VOUS AVEZ D’AUTRES QUESTIONS CONCERNANT DES PROBLEMES DE SECURITE OU SI VOUS AVEZ BESOIN D’UNE MISE A JOUR DES INFORMATIONS QUE NOUS VOUS AVONS FOURNIES.