Jumbo2010 - Fotolia
Sécurité : Patrowl automatise la découverte de son exposition
Cette solution open source peut aider à intégrer la sécurité dans les processus DevOps, d’une part, et à améliorer graduellement la posture de sécurité des actifs patrimoniaux.
Au sein du Cert de la Banque de France, Nicolas Mattiocco travaille au sein de la red team, une équipe chargée de construire et simuler des scénarios d’attaques - une approche dictée par le besoin d’étendre la capacité d’anticipation de la menace en améliorant la connaissance de son patrimoine.
C’est dans cet environnement qu’est né le projet open source TheHive, sous la houlette de Saäd Kadhi, avec une double ambition initiale : « abaisser la barrière d’entrée et essayer d’automatiser au maximum les tâches qui peuvent l’être ». Il n’est donc pas vraiment surprenant de retrouver cette philosophie au cœur du projet Patrowl, lancé par Nicolas Mattiocco sur son temps libre, et testé au sein du Cert de l’institution : là encore, il est question d’automatiser le plus de tâches possible, mais cette fois-ci dans la perspective de la découverte de vecteurs d’attaque.
Patrowl se présente donc comme une plateforme visant à industrialiser l’utilisation d’une multitude d’outils visant à évaluer son exposition au risque d’attaque informatique. Au programme, on trouve ainsi le scanner de réseau Nmap, l’analyseur Nessus, le moteur de recherche de vulnérabilité Web Arachni, mais également des outils d’interrogation de VirusTotal, d’UrlVoid, ou encore des SSL Labs de Qualys, entre autre.
Puisque Patrowl se présente comme une plateforme, il peut être enrichi d’autres moteurs, qu’il s’agisse d’exécutables locaux, de scripts, ou encore de services distants. Le tout étant que ces moteurs puissent être connectés via une API Rest Json. Selon Nicolas Mattiocco, il faut compter une journée homme de travail environ pour développer un moteur simple.
Un module de détection des fuites de données sur GitHub est également disponible. L’intégration du framework AIL du Circl n’est pas exclue. Nicolas Mattiocco estime en outre que l’interfaçage avec les outils d’Alsid, pour la sécurité des annuaires Active Directory, pourrait ne pas manquer d’intérêt.
En attendant, la plateforme profite également d’un moteur de recherche et d’inventaire de sous-domaines, et d’un analyseur de code statique – basé sur les pratiques de référence de l’Owasp. Patrowl peut également solliciter les moteurs d’analyse d’observable exposés par Cortex, le compagnon de TheHive.
L’interface graphique Web de Patrowl permet de gérer les listes d’actifs et de groupes, les règles d’analyse, leur programmation. Mais aussi de consulter les résultats d’analyses et divers tableaux de bord. Les éléments les plus critiques observés peuvent être transmis à un système de gestion des informations et des événements de sécurité (SIEM), ou un outil d’ITSM comme Jira ou ServiceNow.
En fait, les cas d’usage de Patrowl s’étendent bien au-delà de ceux autour desquels il a été conçu initialement. Bien sûr, la plateforme peut être naturellement utilisée pour surveiller l’exposition de ses systèmes sur Internet, l’apparition de fuites de données, la recherche de vecteurs d’attaque au sein de son infrastructure, etc.
Mais comme le souligne Nicolas Mattiocco, il est possible d’inscrire Patrowl dans une véritable stratégie d’amélioration continue et d’intégration de la sécurité au cœur des processus DevOps d’une organisation : la plateforme peut être utilisée en amont du passage en production pour valider les applications, tout en étant utilisée sur le reste de l’infrastructure pour engager l’élimination graduelle, mais continue, des vulnérabilités qu’elle présente.
Patrowl peut être utilisé gratuitement. Mais via GreenLock Advisory, Nicolas Mattiocco prévoit également de proposer des services payants : support premium, développement personnalisé, flux de renseignements sur les menaces personnalisés, conseil, etc.