Click here to load reader
View
193
Download
1
Embed Size (px)
Les tests de scurit DevOps
Qui es tu?
Christophe Villeneuve
Ce qu'il vous attend...
Aborder les tests de scurit Mesurer votre qualit de scurit Web Le DevOps de la scurit avec vos outils Open Source
A l'abordage
L'importance des tests
Pourquoi c'est utile?
Le code peut casse Changer le nom d'un fichier Pas le temps d'en faire C'est long manuellement
Et l'intrt Cote du temps au dbut En fait gagner ensuite Ncessite de la rigueur et de la
constante
Les diffrents types de tests
Tests unitaires Tests fonctionnels Tests intgrations Tests Automatiss Tests de charges Tests d'ergonomie Tests de scurit
Humour: la scurit
Ca ne sert rien
C'est de la vente force
Ce n'est pas pour moi
Les menaces
Les risques
Ne connaissent pas L'tendue des risques lis la scurit de leur site
Significations du terme piratage voir dfinition Wikipedia
Et surtout: Vol d'informations Usurpation d'identit Indisponibilit de service Dfiguration de site Dsinformation
La vie du hacker
Des sites rfrencent Sur les failles Les alertes (veilles / R&D)
Leurs mtiers Des scanners ...
Les diffrents types d'attaques (1/2)
Matriels Priphriques Smartphones
Les diffrents types d'attaques (2/2)
Internet des Objets Le web Logiciels
Les mesures
CVE Security (1/3)
Base de donnes des vulnrabilits (source d'informations) OS / Langages / CMS / Framework / Navigateurs...
CVE Security (2/3)
Reprsentation annuelle
CVE Security (3/3)
Identifier les risques
Systmes trop verbeux DNS / Rseaux
Systme d'authentification faible SSH
La gestion des droits Maillons faibles
Les mots de passes systmes Admin du poste / compte utilisateur
Bases de donnes Stockage des informations sensibles
Partage de fichiers Priphriques hardwaire
Serveurs l'abandon Vulnrabilits web
Voir les rapports OWASP
Le mode parano
Pour le service informatique Les tests de pntration
Tous les sites
Les Firewall / Parefeu web Toutes les 3 4 semaines
Analyser le code Toutes les 2 semaines
Analyse des freins...
Temps d'installation Dure Temps d'analyse
DevOps / Outils
Quoi faire?
Un processus dans un dploiement continue En diffrentes petites tapes
Exemple: Regardons les sites actuels Dans leur cycle de dploiement
Contrle de scurit (1/2)
Intgrer les Risques IT Stratgie mtier et modle oprationnel la cartographie
Dvelopper les synergies Des filires Risque, Contrle, Scurit et Continuit
Adopter un modle de protection Les secrets et donnes personnelles proportionn
Industrialiser Un accompagnement de scurit des projets mtiers
Contrle de scurit (2/2)
Stimuler La gestion des identits et des accs
Outiller La dtection et la raction aux incidents
Innover et soutenir les quipes projets Notamment dans la relation avec leurs multiples sous-traitants
https://www.beijaflore.com/fr-fr/expertises/syst%C3%A8mesdinformation/risquessi,s%C3%A9curit%C3%A9contr%C3%B4les.aspx
Dploiement continue
Dveloppement
Serveurvalidation
Serveur intgration
Outils SCA
Tches rptitives
- Analyse de code- Contrle du code- Dclencheur Build
ServeurPrprod
Serveurproduction
Tests de scuritautomatis
Report&
Notification
Mise en place / procdure
Plan de scurit
Identifier les API et les frameworks Imprimez les portions du code de scurit (mcanisme) Authentification Mot de passe
Planifiez-le Anticipez les problmes rglementaires
Sensibiliser les dveloppeurs
Les rapports OWASP TOP 10 Web TOP 10 mobile TOP 10 IoT
Analyser le code dans l'Intgration continue
Equiper les dveloppeurs
Utilisation des frameworks scuriss et reconnus Spring Security, JAAS, Apache Shiro, Symfony2, Drupal...
Le framework OWASP ESAPI
Outils de Feedback sur la scurit avant l'tape de validation Ex: librairie SCA dans un IDE
ATTENTION: Librairies externes / anciennes
Automatisation
Associ dans les outils de dploiement (Build) Jenkins, Bamboo, TeamCity, etc.
Test de scurit statiques de vos API (SAST = Static Application Security Testing) Top 10 Strategic Technology Trends
Test dynamique de scurit des applications (DAST = Dynamic Application Security Testing)
Rsultat faible
Bloquer le processus
Outils de tests de scurit automatis
Plateforme de tests d'intrusion Metasploit, Aircrack-ng
Tests rsistence d'un password John the ripper
Audit de monitoring, rseaux sans fil Aircrack-ng
Sniffer, analyseur protocoles rseau & applicatif Wireshark
Scanner de ports, vulnrabilits Nmap
Rcupration mot de passe
Cain & Abel
Emulation Navigateur web
Paros Proxy, charles proxy
Capture de requtes, proxy applicatif
Zed Attack Proxy, Paros Proxy
Audit des applications web
Burp Suite, Wfuzz, spiderfoot, cerveau
Les tests en dploiement continue
Dveloppement
Serveurvalidation
Serveur intgration
Outils SCA
Tches rptitives
- Analyse de code- Contrle du code- Dclencheur Build
ServeurPrprod
Serveurproduction
Tests de scuritautomatis
Report&
Notification
Au final
La scurit en DevOps, c'est maintenant Il est toujours temps de s'en proccuper
La scurit ne doit pas tre comprise Il ne faut pas accabl
Commencer petit
Plus loin
Outils SCA :https://www.owasp.org/index.php/Source_Code_Analysis_Tools
OWASP: https://www.owasp.org
https://www.owasp.org/index.php/Source_Code_Analysis_Toolshttps://www.owasp.org/
Merci
@hellosct1
Diapo 1Diapo 2Diapo 3Diapo 4Diapo 5Diapo 6Diapo 7Diapo 8Diapo 9Diapo 10Diapo 11Diapo 12Diapo 13Diapo 14Diapo 15Diapo 16Diapo 17Diapo 18Diapo 19Diapo 20Diapo 21Diapo 22Diapo 23Diapo 24Diapo 25Diapo 26Diapo 27Diapo 28Diapo 29Diapo 30Diapo 31Diapo 32Diapo 33Diapo 34