Meetup DevOps Tahiti - DevSecOps

Plan de présentation

  • Comprendre les problèmes de cybersécurité,
  • Structurer la démarche (processus de développement et outils),
  • S’intégrer à la gouvernance de sécurité de l’entreprise (gestion des risques, procedures, bonnes pratiques, règles d’accès).

Exploit en bash

Code C

Compilation et exploit

gcc test.c -o test
mystring="AAAAAAAAAAAAAAAAAAAAAAAA" && i=12 && while ((i <= 22)); do TOINJECT=${mystring:0:i}; echo $i $TOINJECT; echo $TOINJECT|./test; let "i+=1"; done
...
21 AAAAAAAAAAAAAAAAAAAAA
My entry: AAAAAAAAAAAAAAAAAAAAA
Erreur de segmentation

Bonnes pratiques:

  • warnings test.c:(.text+0x15): avertissement : the 'gets' function is dangerous and should not be used.,
  • Exigences de sécurité, règles de codage, audit (relectures croisées?),
  • Tests unitaires, intégration, fonctionnels/validation, couverture (plus que les cas aux limites),
  • Tests de non-régression, gestion des vulnérabilités,
  • Analyses de code (SAST/DAST/IAST/RASP) et/ou fuzzing,
  • Mettre en oeuvre des programmes de test d’intrusion (ou audits tiers).

Références

Démarches outillées

4 composantes

  • SAST,
  • DAST/IAST,
  • RASP,
  • Gestion des vulnérabilités.

SAST - analyse statique de code

sourceanalyzer -b sample-js -scan -f sample-js.fpr
auditworkbench sample-js.fpr

SAST - écran 1/2

SAST-1
SAST-1

SAST - écran 2/2

SAST-2
SAST-2

DAST

  • DAST: analyse dynamique de l’application,
  • Tests d’intrusion automatisés (comme du Q/A).

DAST - écran 1/2

DAST-1
DAST-1

DAST - écran 2/2

DAST-2
DAST-2

RASP

  • Analyse temps réel des attaques,
  • Sorte de Waf applicatif,
  • Connecté à votre gestion de vulnérabilités (et votre SIEM).

RASP - écran 1/2

RASP-1
RASP-1

RASP - écran 2/2

RASP-2
RASP-2

Gestion des vulnérabilités

Vos outils de test doivent centraliser les vulnérabilités pour q’un chef de projet (security champion, RSSI, …) dispose d’une vue de l’exposition aux risques et priorise les actions à mener

SSC - vue centralisée

SSC-1
SSC-1

Processus

SDLC

Microsoft - ISO 27034

SDLC-1
SDLC-1

SDLC

SDLC-2
SDLC-2

Tout part des risques

Guide agilité ANSSI

Développements sécurisés et agilité

Apprenons à parler “Abuser Stories”

AbuserStories.png
AbuserStories.png

Questions à se poser

  • Votre PDG et votre RSSI risquent-ils d’être légalement inquiétés?
  • La société devra-t-elle être exposée sur la place publique et payer 3% de son CA?
  • Les données de l’entreprise ou les données des clients se retrouveront-elles sur le darknet ou chez un concurrent?
  • Est-ce que les clients peuvent avoir confiance dans nos services, dans le futur???

Maturity model

Référentiels: OWASP, ANSSI, NIST, ISO27014, ISA Secure, … Choisissez le votre…

MaturityModel.png