les tests de securite devops

Les tests de sécurité DevOps

Qui es tu ?

Christophe Villeneuve

Ce qu'il vous attend...

● Aborder les tests de sécurité● Mesurer votre qualité de sécurité Web● Le DevOps de la sécurité avec vos outils Open Source

A l'abordage

L'importance des tests

● Pourquoi c'est utile ?

‐ Le code peut casse‐ Changer le nom d'un fichier‐ Pas le temps d'en faire‐ C'est long manuellement

● Et l'intérêt…‐ Coûte du temps au début‐ En fait gagner ensuite‐ Nécessite de la rigueur et de la

constante

Les différents types de tests

● Tests unitaires● Tests fonctionnels● Tests intégrations● Tests Automatisés● Tests de charges● Tests d'ergonomie● Tests de sécurité

Humour : la sécurité

Ca ne sert rien

C'est de la vente forcée

Ce n'est pas pour moi

Les menaces

Les risques

● Ne connaissent pas ‐ L'étendue des risques liés à la sécurité de leur site

● Significations du terme « piratage » ‐ voir définition Wikipedia

● Et surtout : ‐ Vol d'informations‐ Usurpation d'identité‐ Indisponibilité de service‐ Défiguration de site‐ Désinformation

La vie du hacker

● Des sites référencent ‐ Sur les failles‐ Les alertes (veilles / R&D)

● Leurs métiers● Des scanners● ...

Les différents types d'attaques (1/2)

● Matériels ● Périphériques ● Smartphones

Les différents types d'attaques (2/2)

● Internet des Objets● Le web● Logiciels

Les mesures

CVE Security (1/3)

● Base de données des vulnérabilités (source d'informations)● OS / Langages / CMS / Framework / Navigateurs...

CVE Security (2/3)

● Représentation annuelle

CVE Security (3/3)

Identifier les risques

● Systèmes trop verbeux‐ DNS / Réseaux

● Système d'authentification faible‐ SSH

● La gestion des droits‐ Maillons faibles

● Les mots de passes systèmes‐ Admin du poste / compte utilisateur

● Bases de données‐ Stockage des informations sensibles

● Partage de fichiers‐ Périphériques hardwaire

● Serveurs à l'abandon● Vulnérabilités web

‐ Voir les rapports OWASP

Le mode parano

● Pour le service informatique‐ Les tests de pénétration

● Tous les sites

‐ Les Firewall / Parefeu web● Toutes les 3 à 4 semaines

‐ Analyser le code● Toutes les 2 semaines

Analyse des freins...

● Temps d'installation● Durée● Temps d'analyse

DevOps / Outils

Quoi faire ?

● Un processus dans un déploiement continue‐ En différentes petites étapes

● Exemple : Regardons les sites actuels‐ Dans leur cycle de déploiement

Contrôle de sécurité (1/2)

● Intégrer les Risques IT‐ Stratégie métier et modèle opérationnel à la cartographie

● Développer les synergies‐ Des filières Risque, Contrôle, Sécurité et Continuité

● Adopter un modèle de protection ‐ Les secrets et données personnelles proportionné

● Industrialiser

‐ Un accompagnement de sécurité des projets métiers

Contrôle de sécurité (2/2)

● Stimuler ‐ La gestion des identités et des accès

● Outiller ‐ La détection et la réaction aux incidents

● Innover et soutenir les équipes projets ‐ Notamment dans la relation avec leurs multiples sous-traitants

https://www.beijaflore.com/fr-fr/expertises/syst%C3%A8mesdinformation/risquessi,s%C3%A9curit%C3%A9contr%C3%B4les.aspx

Déploiement continue

Développement

Serveurvalidation

Serveur intégration

Outils SCA

Tâches répétitives

- Analyse de code- Contrôle du code- Déclencheur Build

ServeurPréprod

Serveurproduction

Tests de sécuritéautomatisé

Report&

Notification

Mise en place / procédure

Plan de sécurité

● Identifier les API et les frameworks ● Imprimez les portions du code de sécurité (mécanisme)‐ Authentification‐ Mot de passe

● Planifiez-le● Anticipez les problèmes réglementaires

Sensibiliser les développeurs

● Les rapports OWASP‐ TOP 10 Web ‐ TOP 10 mobile ‐ TOP 10 IoT

● Analyser le code dans l'Intégration continue

Equiper les développeurs

● Utilisation des frameworks sécurisés et reconnus‐ Spring Security, JAAS, Apache Shiro, Symfony2, Drupal...

● Le framework OWASP‐ ESAPI

● Outils de Feedback sur la sécurité avant l'étape de validation‐ Ex : librairie SCA dans un IDE

ATTENTION : Librairies externes / anciennes

Automatisation

● Associé dans les outils de déploiement (Build)‐ Jenkins, Bamboo, TeamCity, etc.

● Test de sécurité statiques de vos API ‐ (SAST = Static Application Security Testing)

‐ Top 10 Strategic Technology Trends● Test dynamique de sécurité des applications

‐ (DAST = Dynamic Application Security Testing)

Résultat faible

Bloquer le processus

Outils de tests de sécurité automatisé

● Plateforme de tests d'intrusion‐ Metasploit, Aircrack-ng

● Tests résistence d'un password‐ John the ripper

● Audit de monitoring, réseaux sans fil‐ Aircrack-ng

● Sniffer, analyseur protocoles réseau & applicatif‐ Wireshark

● Scanner de ports, vulnérabilités‐ Nmap

● Récupération mot de passe

‐ Cain & Abel

● Emulation Navigateur web

‐ Paros Proxy, charles proxy

● Capture de requêtes, proxy applicatif

‐ Zed Attack Proxy, Paros Proxy

● Audit des applications web

‐ Burp Suite, Wfuzz, spiderfoot, cerveau

Les tests en déploiement continue

Développement

Serveurvalidation

Serveur intégration

Outils SCA

Tâches répétitives

- Analyse de code- Contrôle du code- Déclencheur Build

ServeurPréprod

Serveurproduction

Tests de sécuritéautomatisé

Report&

Notification

Au final

● La sécurité en DevOps, c'est maintenant‐ Il est toujours temps de s'en préoccuper

● La sécurité ne doit pas être comprise● Il ne faut pas accablé

● Commencer petit

Plus loin

● Outils SCA :https://www.owasp.org/index.php/Source_Code_Analysis_Tools

● OWASP : https://www.owasp.org

●

Merci

@hellosct1