les tests de securite devops

Download Les tests de securite devops

Post on 12-Jan-2017

190 views

Category:

Internet

1 download

Embed Size (px)

TRANSCRIPT

  • Les tests de scurit DevOps

  • Qui es tu?

    Christophe Villeneuve

  • Ce qu'il vous attend...

    Aborder les tests de scurit Mesurer votre qualit de scurit Web Le DevOps de la scurit avec vos outils Open Source

  • A l'abordage

  • L'importance des tests

    Pourquoi c'est utile?

    Le code peut casse Changer le nom d'un fichier Pas le temps d'en faire C'est long manuellement

    Et l'intrt Cote du temps au dbut En fait gagner ensuite Ncessite de la rigueur et de la

    constante

  • Les diffrents types de tests

    Tests unitaires Tests fonctionnels Tests intgrations Tests Automatiss Tests de charges Tests d'ergonomie Tests de scurit

  • Humour: la scurit

    Ca ne sert rien

    C'est de la vente force

    Ce n'est pas pour moi

  • Les menaces

  • Les risques

    Ne connaissent pas L'tendue des risques lis la scurit de leur site

    Significations du terme piratage voir dfinition Wikipedia

    Et surtout: Vol d'informations Usurpation d'identit Indisponibilit de service Dfiguration de site Dsinformation

  • La vie du hacker

    Des sites rfrencent Sur les failles Les alertes (veilles / R&D)

    Leurs mtiers Des scanners ...

  • Les diffrents types d'attaques (1/2)

    Matriels Priphriques Smartphones

  • Les diffrents types d'attaques (2/2)

    Internet des Objets Le web Logiciels

  • Les mesures

  • CVE Security (1/3)

    Base de donnes des vulnrabilits (source d'informations) OS / Langages / CMS / Framework / Navigateurs...

  • CVE Security (2/3)

    Reprsentation annuelle

  • CVE Security (3/3)

  • Identifier les risques

    Systmes trop verbeux DNS / Rseaux

    Systme d'authentification faible SSH

    La gestion des droits Maillons faibles

    Les mots de passes systmes Admin du poste / compte utilisateur

    Bases de donnes Stockage des informations sensibles

    Partage de fichiers Priphriques hardwaire

    Serveurs l'abandon Vulnrabilits web

    Voir les rapports OWASP

  • Le mode parano

    Pour le service informatique Les tests de pntration

    Tous les sites

    Les Firewall / Parefeu web Toutes les 3 4 semaines

    Analyser le code Toutes les 2 semaines

  • Analyse des freins...

    Temps d'installation Dure Temps d'analyse

  • DevOps / Outils

  • Quoi faire?

    Un processus dans un dploiement continue En diffrentes petites tapes

    Exemple: Regardons les sites actuels Dans leur cycle de dploiement

  • Contrle de scurit (1/2)

    Intgrer les Risques IT Stratgie mtier et modle oprationnel la cartographie

    Dvelopper les synergies Des filires Risque, Contrle, Scurit et Continuit

    Adopter un modle de protection Les secrets et donnes personnelles proportionn

    Industrialiser Un accompagnement de scurit des projets mtiers

  • Contrle de scurit (2/2)

    Stimuler La gestion des identits et des accs

    Outiller La dtection et la raction aux incidents

    Innover et soutenir les quipes projets Notamment dans la relation avec leurs multiples sous-traitants

    https://www.beijaflore.com/fr-fr/expertises/syst%C3%A8mesdinformation/risquessi,s%C3%A9curit%C3%A9contr%C3%B4les.aspx

  • Dploiement continue

    Dveloppement

    Serveurvalidation

    Serveur intgration

    Outils SCA

    Tches rptitives

    - Analyse de code- Contrle du code- Dclencheur Build

    ServeurPrprod

    Serveurproduction

    Tests de scuritautomatis

    Report&

    Notification

  • Mise en place / procdure

  • Plan de scurit

    Identifier les API et les frameworks Imprimez les portions du code de scurit (mcanisme) Authentification Mot de passe

    Planifiez-le Anticipez les problmes rglementaires

  • Sensibiliser les dveloppeurs

    Les rapports OWASP TOP 10 Web TOP 10 mobile TOP 10 IoT

    Analyser le code dans l'Intgration continue

  • Equiper les dveloppeurs

    Utilisation des frameworks scuriss et reconnus Spring Security, JAAS, Apache Shiro, Symfony2, Drupal...

    Le framework OWASP ESAPI

    Outils de Feedback sur la scurit avant l'tape de validation Ex: librairie SCA dans un IDE

    ATTENTION: Librairies externes / anciennes

  • Automatisation

    Associ dans les outils de dploiement (Build) Jenkins, Bamboo, TeamCity, etc.

    Test de scurit statiques de vos API (SAST = Static Application Security Testing) Top 10 Strategic Technology Trends

    Test dynamique de scurit des applications (DAST = Dynamic Application Security Testing)

    Rsultat faible

    Bloquer le processus

  • Outils de tests de scurit automatis

    Plateforme de tests d'intrusion Metasploit, Aircrack-ng

    Tests rsistence d'un password John the ripper

    Audit de monitoring, rseaux sans fil Aircrack-ng

    Sniffer, analyseur protocoles rseau & applicatif Wireshark

    Scanner de ports, vulnrabilits Nmap

    Rcupration mot de passe

    Cain & Abel

    Emulation Navigateur web

    Paros Proxy, charles proxy

    Capture de requtes, proxy applicatif

    Zed Attack Proxy, Paros Proxy

    Audit des applications web

    Burp Suite, Wfuzz, spiderfoot, cerveau

  • Les tests en dploiement continue

    Dveloppement

    Serveurvalidation

    Serveur intgration

    Outils SCA

    Tches rptitives

    - Analyse de code- Contrle du code- Dclencheur Build

    ServeurPrprod

    Serveurproduction

    Tests de scuritautomatis

    Report&

    Notification

  • Au final

    La scurit en DevOps, c'est maintenant Il est toujours temps de s'en proccuper

    La scurit ne doit pas tre comprise Il ne faut pas accabl

    Commencer petit

  • Plus loin

    Outils SCA :https://www.owasp.org/index.php/Source_Code_Analysis_Tools

    OWASP: https://www.owasp.org

    https://www.owasp.org/index.php/Source_Code_Analysis_Toolshttps://www.owasp.org/

  • Merci

    @hellosct1

    Diapo 1Diapo 2Diapo 3Diapo 4Diapo 5Diapo 6Diapo 7Diapo 8Diapo 9Diapo 10Diapo 11Diapo 12Diapo 13Diapo 14Diapo 15Diapo 16Diapo 17Diapo 18Diapo 19Diapo 20Diapo 21Diapo 22Diapo 23Diapo 24Diapo 25Diapo 26Diapo 27Diapo 28Diapo 29Diapo 30Diapo 31Diapo 32Diapo 33Diapo 34