Surveillance SSL pour DevOPS & Prévision des Coûts !

Bonjour cher lecteur ! Aujourd’hui, nous allons parler de SSL et TLS, et des vulnérabilités ! Ce n’est pas nouveau que SSL est le standard de facto pour les communications sécurisées de masse de notre monde numérique interconnecté. Il n’est pas non plus nouveau qu’étant l’une des bases de l’échange d’informations sécurisées, le fait de mettre en œuvre SSL/TLS et d’acheter un certificat de confiance auprès de Thawte, Verisign ou GoDaddy ne garantit pas la sécurité de vos actifs orientés Internet, qu’il s’agisse de sites web, de services clients ou de portails de paiement. Rappelons-nous rapidement combien de vulnérabilités SSL avons-nous vues ces quatre dernières années ? De mémoire je peux en rappeler 7. Ces vulnérabilités sont si célèbres qu’elles ont même reçu des noms et des logos, mais juste pour en énumérer les plus bruyants : attaque BEAST, CRIME, attaques RC4 de mars 2013, Heartbleed, POODLE, FREAK et LogJam. Pour résumer, comment vérifie-t-on la mise en œuvre sécurisée de SSL/TLS ? Il existe une solution gratuite et disponible publiquement pour effectuer une vérification à la demande de leurs actifs publics. Une question se pose, à quelle fréquence vérifiez-vous votre site web ? C’est encore une autre tâche manuelle parmi de nombreuses tâches qui incombe à votre équipe de sécurité informatique ou même aux administrateurs informatiques. Et, pour être honnête, chez SOC Prime nous sommes obsédés par l’automatisation des tâches routinières et répétitives. Comme vous l’avez peut-être déjà entendu, nous avons publié un add-on gratuit et open-source qui utilise Qualys SSL Labs l’API ouverte pour automatiser les analyses SSL sur une base quotidienne pour n’importe quel nombre de domaines que vous pouvez avoir. Et cela se fait sans publier les résultats de l’analyse en public. Au lieu de cela, le SSL Framework transmet des données d’analyse en temps réel aux solutions SIEM les plus adoptées dans l’industrie, telles que HPE ArcSight ESM, IBM QRadar et Splunk. L’idée derrière l’intégration SIEM est que vous avez une visibilité en direct de toutes vos implémentations de certificats SSL, leurs scores de sécurité et remédiations, ainsi qu’un accès en deux clics au rapport complet de SSL Labs sans avoir à le stocker entièrement dans le SIEM lui-même. Quelques exemples sont sur les captures d’écran ci-dessous :

J’ai presque oublié de mentionner l’email qui m’a poussé à écrire cet article. En fait, comme dans toute entreprise de R&D, nous avons des développeurs qui créent des choses et des DevOps qui s’amusent avec les conséquences de ces créations prenant vie ! Puisque SOC Prime, comme toute autre entreprise présente sur Internet, utilise des certificats SSL pour le site web public, nous devons suivre en continu non seulement le statut de sécurité du certificat mais aussi son temps d’expiration, son statut de révocation et tous les autres paramètres. Par conséquent, j’ai reçu un appel urgent de notre DevOps hier soir disant qu’ils ont reçu une notification automatique indiquant qu’un de nos certificats SSL Thawte expirera dans 60 jours. D’abord, j’ai pensé, wow, notre CFO doit vraiment être persistant avec la planification et la gestion des coûts, alors il a même pris soin que des alertes soient envoyées pour l’expiration des certificats SSL… ce qui est un peu trop demander d’un CFO ! Même dans une startup en cybersécurité… Vous avez peut-être deviné que cet email provenait en fait de notre déploiement interne du SSL Framework, qui a été mis en production il y a plus de 10 mois, et que l’alerte automatique a été activée pour tous les participants au processus de gestion des certificats. Voici quelques détails sur l’alerte :

Ainsi, nous pouvons conclure avec confiance que SSL Framework agit comme un module d’augmentation de l’intelligence humaine et est applicable aux opérations DevOps ! Je plaisante, cependant, l’outil a définitivement prouvé sa valeur encore une fois.

p.s. Oh, ai-je mentionné que le package prend 5 minutes à configurer et est disponible en téléchargement gratuitement sur des places de marché officielles telles que Splunkbase, HPE ArcSight Marketplace and IBM Global Solutions Directory ainsi que directement sur le site de SOC Prime. Alors, NE LAISSEZ PAS la porte de vos services de revenus déverrouillée – automatisez l’analyse de sécurité de la mise en œuvre SSL et devancez les menaces ! Soyez prudent.