SecurityInsider
Le blog des experts sécurité Wavestone

Compte-rendu de la conférence RSA 2020




Wavestone était présent à l’édition 2020 de la conférence RSA à San Francisco du 24 au 28 février dernier
Deux sessions ont été présentées par Wavestone durant cette conférence :
Charles "Ibrahimous" "The Red Team Angel" IBRAHIM

  • Pentesting ICS 102, présenté par Arnaud Soullié et Alexandrine Torrents (https://www.rsaconference.com/usa/agenda/pentesting-ics-102) : un workshop de deux heures sur la sécurité des systèmes industriels et comment manipuler des protocoles industriels pour piloter de manière illégitime des automates

Le setup de la démonstration (1/2)

Le setup de la démonstration (2/2)

De nombreuses activités en parallèle étaient disponibles à la 29ème édition de la RSA conférence et pour ses 36 000 participants
  • Le salon des exposants, avec plus de 600 stands de vendeurs présentant leurs solutions
  • La RSA Sandbox avec 12 stands permettant des expériences interactives et des sessions hands-on sur des sujets comme les systèmes industriels, l’IoT, la supply chain, les systèmes de vote, l’aérospatial ou encore la sécurité des voitures
  • Des keynotes sur des sujets d’actualité et d’innovation
  • Et plus d’une quinzaine de sessions en parallèle rien que pour les présentations

Nous vous présentons ci-dessous le compte-rendu d’une sélection de présentations et activités.

RSAC Innovation Sandbox Contest

Cet événement du lundi après-midi a retenu notre attention. Il s’agit d’une compétition pour récompenser les startups les plus innovantes en cybersécurité. Dix finalistes ont été sélectionnés et chaque startup a 3 minutes pour pitcher sa solution et ensuite quelques minutes pour répondre aux questions du jury afin de les convaincre de remporter le prix du RSAC Innovation Sandbox.


La liste ci-dessous constitue la présentation des 10 startups finalistes.

Vulcan

Vulcan est une plateforme de gestion des vulnérabilités. La solution permet d’orchestrer et d’automatiser le process de correction des vulnérabilités dynamiquement, de la détection à la résolution. 
  • Des politiques de correction prédéfinies permettent l’automatisation du process. 
  • Une priorisation par niveau de risque est implémentée pour chaque vulnérabilité. 
  • La solution la plus pertinente est appliquée, que ce soit l’application d’un patch ou un changement de configuration et la solution peut être déployée automatiquement

Tala

Tala propose un WAF côté client afin de protéger les applications web contre l’injection de code malveillant et le vol de données, via des attaques côté client.

Sqreen

Sqreen est une plateforme permettant de gérer la sécurité des applications :
  • Protéger les applications en empêchant les fuites de données, en stoppant la réutilisation de comptes et en bloquant les actions illogiques d’un point de vue business
  • Améliorer la visibilité en supervisant les incidents en temps réel, rendant automatique l’inventaire des applications et en configurant la gestion des incidents
  • Sécuriser le code en identifiant des vulnérabilités critiques et en les corrigeant

Securiti.ai

Securiti.ai propose une solution permettant d’automatiser en un seul endroit toutes les principales fonctions nécessaires à la conformité sur la protection des données personnelles. Elle permet aux entreprises de donner des droits aux personnes sur leurs données, d'être les dépositaires responsables des données des personnes, de se conformer aux réglementations mondiales en matière de data privacy comme le CCPA et de renforcer leurs marques. La plateforme collecte et gère le consentement de plusieurs sources, y compris les propriétés Web, les formulaires Web et les applications SaaS.

Obsidian

Obsidian est une plateforme de détection et de réponse aux incidents Cloud, en particulier dans les environnements SaaS. Elle offre une visibilité unifiée des utilisateurs, des privilèges et de l'activité en SaaS, permettant de détecter et d'enquêter sur les incidents, de découvrir les menaces internes et de sécuriser les applications SaaS sans affecter la productivité.

Inky

Inky propose une solution de protection contre le phishing. Il s’agit d’une plateforme de protection des emails, basée dans le Cloud, utilisant le deep learning pour détecter des comportements anormaux dans les mails envoyés par des expéditeurs connus. Des classifieurs sont utilisés pour déterminer l’expéditeur apparent. En cas de suspicion, une bannière est présente dans le mail pour avertir l’utilisateur.

ForAllSecure

ForAllSecure propose la solution Mayhem, une solution de fuzzing  permettant de détecter automatiquement des vulnérabilités. Cette solution peut être utilisée directement par les développeurs tout au long du cycle de développement logiciel afin de les aider à détecter des failles rapidement et automatiser les tests, avec quasiment aucun faux positif (selon l’éditeur). 

Elevate Security

Elevate Security propose une solution innovante de sensibilisation à la cybersécurité en ajoutant une certaine forme de compétition entre les utilisateurs. En effet, chaque utilisateur a un score selon son comportement et des mails personnels sont envoyés afin de les stimuler. De nombreux tableaux de bord permettent de suivre les évolutions et de communiquer avec le management.

Bluebracket

 Bluebracket propose une solution permettant de sécuriser le code :
  • Découvrir et classifier le code : en fournissant un blueprint (une carte) des environnements de code, Bluebracket permet de comprend où le code est localisé et comment y accéder
  • Surveiller les risques : bluebracket détecte les risques associés au code afin d’éviter toute mauvaise manipulation d’information
  • Protéger les codes sensibles et appliquer des politiques de sécurité

AppOmni

AppOmni propose une solution permettant d’empêcher les fuites de données en SaaS à travers une supervision et un système d’alerte continus. Elle peut se connecter à tous les plus grands Cloud Provider via OAuth et scanner, sécuriser et surveiller les applications SaaS. La solution agit comme un pare-feu pour les données, supervise les flux, ainsi que l’utilisation des comptes et génére des alertes en temps réel.

Et le grand gagnant 2020 est 🥁 ...

Il faut avouer que l’exercice n’est pas évident ! 3 minutes pour exposer clairement sa solution et présenter ses avantages, c’est peu. Mais les start-ups ont réussi avec brio. 
Suite à la présentation des 10 finalistes, le jury a délibéré et s’est mis d’accord sur le grand gagnant de 2020 : securiti.ai, la solution de gestion de data privacy.


A few keynotes 

Le mardi matin, nous avons suivi les keynotes qui lançaient l’ouverture de la RSA conférence. Cette année, le thème de la conférence : the human element. Après une courte introduction par George Takei, l’acteur de Star Trek, nous avons pu écouter des monstres de la cybersécurité comme Rohit Ghai, le président de RSA qui nous a raconté l’histoire de la cybersécurité, en rappelant l’importance de la place de l’homme dans un monde où l’intelligence artificielle augmente les capacités des attaquants et des défenseurs. 
Suite à cette première keyote qui a donné le ton, nous avons pu écouter Steve Grobman, CTO de McAfee, Chris Krebs, directeur de la Cybersecurity and Infrastructure Security Agency ou encore des cryptographes de renom tel qu'Adi Shamir, Ron Rivest et Whitfield Diffie discuter des actualités et des challenges de 2020. 
Mais la keynote qui a le plus retenu notre attention est celle de Wendy Nather, la RSSI groupe de Cisco qui nous a parlé de la démocratisation de la cybersécurité. Et si nous donnions le pouvoir de la cybersécurité aux gens ? 3 étapes pour y arriver :
  • Changer le modèle : du contrôle à la collaboration
  • Simplifier le design afin d’augmenter le niveau d’acceptation des utilisateurs 
  • Ouvrir la culture


The emerging role of the CPSO

Speaker : Stephanie Domas, CPSO de MedSec
Objectif du talk : Présenter le rôle de Chief Product Security Officer (CPSO) : notamment, en quoi est-il différent du RSSI ? pourquoi un CPSO et quelles doivent être ses compétences ?

Tout d’abord, Stéphanie a expliqué pourquoi la sécurité produit est nécessaire : les ventes de produits représentent une part de revenue importante pour les entreprises, la perte de confiance dans un produit peut ruiner une entreprise, les clients ajoutent des clauses de sécurité pour les produits dans les contrats et la responsabilité des produits est de plus en plus mise en cause dans les incidents de sécurité.
Le CPSO doit donc superviser la sécurité des produits dans l’entreprise, ainsi qu’implémenter et piloter un programme de sécurité produit. Parmi les responsabilités du CPSO, on retrouve la sécurité dans le design, la gestion des risques cyber, la gestion des vulnérabilités, la réponse à incident et la définition et mise en œuvre de politiques et procédures et ce durant tout le cycle de vie du produit, de la conception au lancement.
Ces responsabilités peuvent paraître similaires à celles d’un RSSI, mais l’exécution de ces responsabilités est très différente pour un CPSO et la sécurité des produits est un domaine complètement différent de la sécurité d’un environnement d’entreprise.
Et Stéphanie montre ces différences en prenant l’exemple de la réponse à incident où le CPSO doit gérer une dimension toute autre puisque les incidents sont bien souvent remontés via les clients : l’équipe R&D doit donc tout d’abord recréer l’incident et une fois recréé, des aspects légaux doivent être pris en compte comme le planning de patch à respecter, du nouveau code doit être écrit, une nouvelle version du produit doit être construite, puis testée, puis publiée. 
Pour réaliser l’ensemble des activités du CPSO, le CPSO doit avoir un certain nombre d’atouts :
  • Des compétences techniques
  • Un background de R&D et une bonne connaissance du cycle de vie des produits
  • La dévotion 
  • Le changement de culture 
  • Être au niveau des C-level et non enterré dans la R&D

Le CPSO représente donc un besoin unique pour une entreprise vendant des produits et doit être différent du RSSI. 
Bien que courte (30 minutes seulement), la présentation était très intéressante, mais ce qui a rendu l’intervention encore plus intéressante était les questions posées par les participants, notamment sur le positionnement du CPSO dans l’entreprise. Bien que le côté R&D soit important, il est préférable que le N+1 du CPSO soit le RSSI ou même le CEO. Mais tout dépend de l’historique de l’entreprise !


Defending Serverless Infrastructure in the Cloud

Speaker : Eric Johnson, Principal security engineer chez Puma Security
Objectif du talk : Comprendre les attaques sur les environnements serverless (Function as a Service) i.e. Red team, afin de pouvoir les défendre i.e. Blue team 

Eric a présenté plusieurs types d’attaques en environnement serverless. Toutes partaient du prérequis qu’une première vulnérabilité applicative avait déjà été exploitée pour obtenir un shell. Exploiter les faiblesses de configuration par défaut du filtrage, exposant sur Internet les secrets ainsi que les espaces de stockage
  • Accéder aux secrets, parfois stockés en dur dans le code ou dans un fichier de configuration
  • Récupérer les variables d’environnements via une LFI ou une vulnérabilité d’injection de commande
  • Profiter de rôle d’exécution trop privilégié pour accéder à des ressources externes à la fonction
  • Utiliser des authentifiants volés pour accéder à des ressources Cloud non suffisamment cloisonnées
  • Utiliser les répertoires accessibles en écriture pour assurer la persistance 

Toutes les attaques de cette session peuvent être reproduites sur les Cloud Azure, AWS et GCP avec la solution Serverless Prey de Puma Security.
Plusieurs solutions existent pour se protéger de ce type d’attaques et pour réduire la surface d’attaque :
  • Utiliser les logs des Cloud providers pour détecter les tentatives d’accès non autorisées
  • Implémenter du contrôle d’accès réseau avec des Virtual Private Cloud afin de n’exposer aucun service sur Internet par défaut et ouvrir les flux uniquement strictement nécessaires
  • Activer les logs sur les flux VPC
  • Configurer des service endpoints privés entre la fonction et les ressources Cloud

Le chemin est relativement long avant d’utiliser les fonctions pour détecter des compromissions mais la première étape est de faire un inventaire de ses fonctions et de scanner ses répertoires à la recherche de vulnérabilités et de mauvaise pratique de stockage des secrets. Ensuite vient la mise en place de monitoring et de système d’alerte.


Serverless attack vectors

Speaker : Teri Radichel, CEO de 2nd Sight Lab
Objectif du talk : Présenter les vecteurs d’attaque possibles sur des fonctions (environnements serverless)

Contrairement à la conférence précédente, cette présentation était centrée sur les vulnérabilités applicatives et non les possibilités d’exploitation une fois qu’un reverse shell est obtenu. 
Ce qu’il faut retenir est que ces fonctions en environnement serverless utilisent toujours des softwares et sont toujours installés sur des serveurs managés par les Cloud providers. Les attaquants utilisent donc des vulnérabilités web classiques pour compromettre ces fonctions. D’ailleurs, l’OWASP a publié un Top 10 des vulnérabilités serverless et celles-ci sont très similaires au Top 10 bien connu des vulnérabilités web. On retrouve notamment toutes les familles d’injection.
La seule différence est l’environnement et les spécificités des services Cloud. Conclusion du talk : le serverless, c’est la même chose mais en différent.


The Industrial Cyberthreat Landscape: 2019 Year in Review – Keynote

Speaker : Robert Lee, CEO de Dragos
Objectif de la keynote : Présenter les nouvelles menaces sur les environnements industriels et les enseignements tirés par l’équipe Dragos au cours de l’année 2019

Dragos a publié comme chaque année son Year in Review. Voici les principaux éléments à retenir :
  • Plus de 50% des vulnérabilités identifiées ne constituent aucun risque pour les environnements industriels. En effet, il existe d’autres moyens pour arriver au même résultat. Il convient donc de patcher intelligemment.
  • Beaucoup de choses ont été dites sur l’attaque Triton de 2018 et elles ne sont pas toutes vraies mais un point important est le fait que Saudi Aramco (qui n’était pas la victime) a fait partie de l’équipe de réponse à incident. Cela montre que l’aide de la communauté est importante dans les environnements industriels.
  • Chiffres sur les vulnérabilités ICS
    • 24% des vulnérabilités sont liées aux protocoles industriels. 
    • La majeure partie des vulnérabilités sont encrées profondément dans les réseaux industriels et nécessitent un accès préalable pour les exploiter.
    • 55% des vulnérabilités ont un patch associé mais aucune solution de remédiation alternative ; 26% des vulnérabilités n’ont même pas de patchs associés 
  • 11 groupes d’attaquants sont répertoriés sur les systèmes industriels et leurs activités ont été mappées avec le framework MITRE ATT&CK for ICS
  • Ces groupes d’attaquant ciblent de plus en plus les solutions d’accès distants comme le VPN
  • Les différentes réponses à incident ont permis de tirer les leçons suivantes
    • 100% des organisations ont des périmètres faibles et avaient des connections réseaux routables depuis la bureautique et Internet
    • Les organisations ont une visibilité faible sur leur environnement et dans tous les cas incidents, une récupération manuelle des logs a été nécessaire

Ces retours montrent que les attaquants sont de plus en plus outillés pour cibler les systèmes industriels alors que le niveau de sécurité des organisations reste relativement faible.
Les recommandations de Robert sont de mettre en place un processus de réponse à incident, augmenter le niveau de visibilité sur ses systèmes, activer la double authentification pour les accès distants et appliquer une approche basée sur les risques pour la gestion des patchs. 


Advanced Persistent Threats: the future of Kubernetes attacks

Speakers : Ian Coldwater, Lead Infrastructure Security Engineer chez Salesforce et Brad Geesaman, co fondateur de Darkbit.io 
Objectif du talk : Présenter des attaques avancées sur les versions les plus récentes de Kunernetes

Kubernetes est de plus en plus populaire et les attaquants aussi se penchent sur les possibilités de Kubernetes. Le niveau de sécurité a augmenté depuis le début de Kubernetes et les évolutions vont vite avec de nouvelles versions tous les 90 jours en moyenne. Comme l’installation de nouvelles versions prend du temps, cela nous laisse la possibilité d’étudier les nouvelles fonctionnalités et en particulier la sécurité.
Que peuvent faire les attaquants ? Le but ultime n’est pas toujours d’être admin d’un cluster car certains attaquant possèdent déjà potentiellement des privilèges élevés. Ce talk est donc plus orienté post-exploitation et présente des attaques avancées et des moyens d’assurer la persistance.
Plusieurs types d’attaques sont possibles :
  • L’utilisation des validated webhooks associés à une application malveillante en dehors du cluster : une utilisation possible est de faire une application permettant de récupérer tous les secrets. Ceux-ci étant en clair et simplement encodés en base 64, il est très facile de les utiliser directement.
  • Les logs trop longs : il y a une différence de taille importante entre celle autorisée pour la création d’un pod et le journal de création du pod. Il est donc possible d’ajouter du bruit important dans la requête de création du pod afin que les actions malveillantes ne soient pas loguées
  • Un exemple particulier est la création d’un shadow serveur API afin de bypasser le serveur API principal et requêter tous les secrets sans être détecté.

Il est possible d’aller encore plus loin avec Kubernetes et d’utiliser Kubernetes comme un C2 : C2bernetes ! Une version light de Kubernetes (K3s) peut être utilisée pour créer son infrastructure C2 et se propager à travers plusieurs clusters. Ian et Brad ont démontré la possibilité de déployer le C2 et de compromettre des nodes des 3 plus grands Cloud providers sans laisser de trace : Azure, AWS et GCP.
Et ce n’est pas tout : de nouvelles fonctionnalités peuvent déjà être étudiées et les dynamic Kubelet configuration peuvent permettre de reconfigurer Kubernetes lui-même et par exemple désactiver l’authentification. Une présentation vraiment passionnante avec des démonstrations bluffantes


Cloud Threat Hunting

Speakers : Sherri Davidoff, Matt Durrin - LMG Security
Objectif du talk : Comment mettre en place une plateforme efficace d’investigation dans le cloud 

Leur approche s’appuie sur une boucle en 3 étapes : « Test, Fine-tune, Repeat ». Après avoir rappelé quelques erreurs opérationnelles à éviter (par exemple : oublier d’activer CloudWatch), les speakers ont pris un cas d’usage d’Amazon Firehose, un produit AWS permettant de créer un stream de données entre vos sources de logs et des puits comme Amazon RedShift ou Splunk. Ils ont ensuite déroulé une investigation consistant à regarder des événements AWS particuliers dans les logs (nommément : « Listbuckets, « ListFunctions, GetObject »).
Les speakers en ont profité pour critiquer Azure, très peu adapté selon eux aux investigations en raison : 
  • De résultats différents pour 2 requêtes successives identiques
  • De difficultés à télécharger de larges volumes de données
  • … et même du blocage de l’interface de téléchargement au-delà de 1500 résultats.

Une présentation intéressante sur le suivi d’une investigation mais malheureusement peu de contre-mesures proposées.


AI Security Engineering — Modelling/Detecting/Mitigating New Vulnerabilities

Speakers : Andrew Marshall, Jugal Parikh, Raul Rojas - Microsoft Corporation
Objectif du talk : Démontrer les enjeux de l’injection de données falsifiées dans des modèles d’apprentissage supervisés
Comme souvent outre-Atlantique, au lieu des bases théoriques, la présentation commence par un exemple parlant, en l’occurrence la perturbation de trajectoires de véhicules autonomes après application d’un filtre sur des panneaux de signalisation (un panneau STOP est catégorisé par l’algorithme comme un panneau de vitesse). Les applications de l’injection de données sont nombreuses et très réelles désormais (valables dans le milieu des plateformes pétrolières aussi bien que pour des contenus terroristes contournant la détection reconnaissance automatique par les outils des services de renseignement, en passant par du « bruit » ajouté à des phrases permettant de complétement changer la compréhension par OK Google.
Modifier seulement 3% des données de test permet de changer plus de 10% des résultats, rendant le modèle presque inutile.
Des méthodes de défense existent, mais ne garantissent pas 100% de robustesse
  • Définition de senseurs d’anomalie
  • Validation et assainissement des entrées, vérification d’intégrité
  • Apprentissage robuste
  • Micromodels, STRIP, Human in the loop, TRIM

En conclusion, il ne faut pas s’appuyer sur des données dont la confiance est trop faible.


Plusieurs débats sur la 5G

Coordinating a Competitive 5G Strategy among Freemarket Democracies 

Participants : 
  • Admiral Dennis Blair, Sasakawa USA
  • Michael Chertoff, Chertoff Group
  • Arthur Coviello, Rally Ventures
  • William Roth, Sasakawa USA
  • Christy Wyatt, Absolute


How to Reduce Supply Chain Risk: Lessons from Efforts to Block Huawei

Participants :
  • Katie Arrington, US Dept of Defense / OUSD for Acquisitions
  • Donald (Andy) Purdy, Huawei Technologies USA
  • Bruce Schneier, Harvard Kennedy School
  • Craig Spiezle, Agelight Advisory and Research Group
  • Kathryn Waldron, R Street Institute



Plusieurs débats autour de la 5G ont été organisés cette année, et nous vous recommandons vivement de regarder les vidéos, notamment du second débat. 
Voici les points qui ont retenu notre attention :
  • Les personnalités du département de la Défense déclarent ouvertement qu’aucune collaboration avec la Chine n’est possible, qu’aucune confiance dans les équipements Huawei n’est envisageable, et qu’il est par conséquent absolument impossible de trouver une solution à la mainmise des industriels chinois sur les équipements 5G.
  • Le second débat a fait l’objet d’échanges très intenses entre Katie Arrington et Bruce Schneier, le dernier déniant en bloc la possibilité que les USA puissent compenser les avantages de Huawei, la première priorisant certains objectifs, et avançant que le DoD y travaillait déjà d’arrache-pied, qu’il était nécessaire et possible en particulier de reconstruire une supply chain américaine. 


Nos impressions sur la conférence

L’organisation de la conférence ridiculise en importance et en rigueur la quasi-totalité des conférences auxquelles nous avons pu participer, avec pas moins de 36 000 participants, des dizaines de speakers, et des dizaines d’événements en parallèle. En tant que speaker, nous avions un speaker manager s’assurant du respect des deadlines d’envoi des supports, de la relecture de ces derniers et de l’intégration des modifications demandées par le comité de lecture… 
Le contenu des conférences était relativement peu technique, avec des thèmes très orientées sur les tendances de fond de la cybersécurité au niveau mondial, et une mise en valeur importante des enjeux fondamentaux des prochaines années (la 5G, Zero Trust, la sécurité des produits, toujours plus de solutions et produits Cloud, etc.).
De nombreuses personnalités de la cybersécurité étaient présentes, et notamment dans les Keynotes : des cryptographes de renom (Ron Rivest, Adi Shamir, Diffie, etc.), Bruce Schneier, et des personnes à des postes à hautes responsabilités (SVP Microsoft, directeur RSA, Groupe CISO de grands groupes comme CISCO)
Les échanges avec les éditeurs étaient très instructifs, une pléthore de solutions très innovantes étaient mise en lumière de façon parfois grandiose (l’Aston Martin de Sentinel One…).


Alexandrine TORRENTS
Arnaud SOULLIE
Charles IBRAHIM

Aucun commentaire:

Enregistrer un commentaire