_______ _______ _______ _______ _| \ / | \__ __/ ( ____ ) ( ____ ) ( ___ ) ( \| ) ( | ) ( | ( ) | | ( ) | | ( ) | | (| | | | | | | (____) | | (____) | | (___) | | |( ( ) ) | | | ___) | ___) | ___ | | |\ \_/ / | | | (\ ( | ( \ ( | ( ) | | |
\ / ___) (___ | ) \ \__ | ) \ \__ | ) ( | | (____/\\_/ \_______/ | / \__/ | / \__/ | / \ | (______/
OSSIR – 12/12/2017
Stéphane Jourdois / Romain Castel
Digital Security
Digital Security est structurée autour de2 expertises, portées par6 prestationsdifférentes
EXPERTISES
Sécurité du SI
Sécurité des objets connectés (IoT)
PRESTATIONS
Audit Conseil Formations
Services CERT
Intégration & Projet
Sécurité Opérationnelle
2 Dec 2017 OSSIR
Digital Security
COMMANDITAIRE
PENTESTER
LIVRABLES
RESPONSABLE DE MISSION
Le test d’intrusion
Dec 2017 OSSIRP. 3
Les objectifs Le point de jonction
Digital Security
Le pentesteurLa production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de l’ignorer jusqu’au dernier moment.
Dec 2017 OSSIRP. 4
Digital Security
Le pentesteurLa production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de l’ignorer jusqu’au dernier moment.
Dec 2017 OSSIRP. 5
Digital Security
Le pentesteurLa production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de l’ignorer jusqu’au dernier moment.
Dec 2017 OSSIRP. 6
Digital Security
Le pentesteurLa production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de l’ignorer jusqu’au dernier moment.
Dec 2017 OSSIRP. 7
Digital Security
Le pentesteurLa production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de l’ignorer jusqu’au dernier moment.
Dec 2017 OSSIRP. 8
Digital Security
Le pentesteurLa production des livrables est un corollaire obligatoire à toutes ses missions, mais il feint de l’ignorer jusqu’au dernier moment.
Dec 2017 OSSIRP. 9
Digital Security
Les moments d’une mission
Dec 2017 OSSIRP. 10
Le cadrage
Les tests
La formalisation
La restitution
Digital Security
Démo
Dec 2017 OSSIRP. 11
Digital Security Dec 2017 OSSIRP. 12
Cahier des charges
VIRRAL
Outil en ligne de commande
Multi-plateformes
Un fichier d’entrée unique
Plusieurs fichiers de
sortie :
pdf, xlsx, pptx…
Limiter la duplication des
entrées
Digital Security
L’introduction des documents
Les constats
La synthèse managériale
Les informations de la mission
Dec 2017 OSSIR
Les informations des documents
P. 13
La définition des informations nécessaires
Digital Security
Ressource concernée
Impact technique sur le périmètre
Description du constat
Identifiant
Note
Dec 2017 OSSIRP. 14
La définition d’un Constat
Digital Security
Le fichier d’entrée en trois parties
Dec 2017 OSSIRP. 15
Digital Security
Proof of concept Très peu d’optimisation du temps !
AvecDes includes {
dans des includes {dans des includes{
Dec 2017 OSSIR
et
P. 16
Version 0.1
Digital Security
Version 1.0
Dec 2017 OSSIRP. 17
Templates,Conf.
VIRRAL
Constats
pdfXlsxPptx…
XE
/
/
Digital Security
Version 1.0
Dec 2017 OSSIRP. 18
Core
Graphiques
Métriques
Parseur
Templating
Digital Security
Le moteur
Dec 2017 OSSIRP. 19
Digital Security
Le moteur
Dec 2017 OSSIRP. 20
Digital Security
Notre système de gradationSeverite.pyIf Impact*Menace <3: return 1
If Impact*Menace <9 : return 2
If Impact*Menace <12 : return 3
else return 4
Menace.pyIf ((Pop == 1 and Diff == 1 or Diff ==2 )) or (Pop == 2 and Diff == 1)
or ((Pop == 1 and Diff == 3) or (Pop == 2 and Diff == 2 or Diff ==3))
or (Pop == 3 and Diff == 2 or Diff == 1)) or ((Pop >= 3 and Diff == 4)
or (Pop == 3 and Diff == 3) or (Pop == 4 and Diff == 2)
or (Pop == 4 and Diff >= 3)) )), return 1
If ((Pop == 1 and Diff == 3) or (Pop == 2 and Diff == 2 or Diff ==3))
or (Pop == 3 and Diff == 2 or Diff == 1)) or ((Pop >= 3 and Diff == 4)
or (Pop == 3 and Diff == 3) or (Pop == 4 and Diff == 2)
or (Pop == 4 and Diff >= 3)), return 2
If (((Pop == 3 or Pop == 4) and Diff == 4) or (Pop == 3 and Diff == 3)
or (Pop == 4 and Diff == 2) or (Pop == 4 and Diff >= 3)), return 3
Else if (Pop > 3 and Diff >= 3) return 4
Priorité.pyIf Complexité*Sévérité max < 5 : return 1
If Complexité*Sévérité max < 10 : return 2
else return 3
≈ Impact x Menace
≈ Population x Difficulté d’exploitation
≈ Complexité x Sévérité Max.
Dec 2017 OSSIRP. 21
Digital Security
Notre système de gradationSeverite.py Priorite.py
Menace.py
Dec 2017 OSSIRP. 22
Digital Security
Vues des systèmes de gradation
Dec 2017 OSSIRP. 23
Digital Security
Développement des systèmes de gradation
Dec 2017 OSSIRP. 24
Digital Security
Développement des systèmes de gradation
Dec 2017 OSSIRP. 25
Digital Security
L’interconnexion avec une base de connaissances
Dec 2017 OSSIR
Objectif faciliter la relecture
Faire en sorte que les vulnérabilités soient toujours de la même
qualité d’un pentesteur à un autre
Laisser des libertés
P. 26
Digital Security Dec 2017 OSSIRP. 27
L’interconnexion avec une base de connaissances
Digital Security Dec 2017 OSSIRP. 28
L’interconnexion avec une base de connaissances
Digital Security Dec 2017 OSSIRP. 29
L’interconnexion avec une base de connaissances
Digital Security Dec 2017 OSSIRP. 30
L’interconnexion avec une base de connaissances
Digital Security
Démo
Dec 2017 OSSIRP. 31
Digital Security
Les plug-ins
Dec 2017 OSSIR
Testssl
Pipal
P. 32
Digital Security Dec 2017 OSSIR
Une interface graphique
Nessus
L’avenir
Un système de graph souple
Modification du format d’entrée pour supprimer le latex résiduel
P. 33
Digital Security
Nos objectifs aujourd’hui
Pas un projet libre… pour l’instant au moins
Prise de contact avec des acteurs du domaine
Recherche de « partenaires » intéressés :
Auditeurs
Commanditaires
Mutualisation de l’effort
Dec 2017 OSSIRP. 34
Digital Security Dec 2017 OSSIRP. 35
Digital Security
Digital Security - Econocom
@iotcert
www.digitalsecurity.fr
Contact
Stéphane JOURDOISDirecteur Technique
Tél. : +33 [0] 1 70 83 85 52e-mail : [email protected]
Contact
Romain CASTELConsultant sécurité sénior
Tél. : +33 [0] 1 70 83 85 57e-mail : [email protected]