Security Control Audit (SCA) Service

Security Control Audit (SCA) Service

Security Control Audit (SCA) Service

Continuous Security Validation Managed Service for Cyber-Threat Simulation & Mitigation

Automation and orchestration solutions are not limited to the realm of Cyber Defense. In fact, your adversaries—hackers—are constantly targeting you using automated tools such as vulnerability scanners, port scanners, and more.

Their primary goal is simple: to massively test for exploitable flaws and vulnerabilities in services exposed to the Internet. Let’s take a few examples of recent Common Vulnerabilities and Exposures (CVEs) that made headlines:

  • CVE-2020-5902 | Multiple vulnerabilities in F5 BIG-IP TMUI

  • CVE-2019-19781 | Vulnerability in Citrix Application Delivery Controller and Gateway

  • CVE-2018-13379 | Multiple vulnerabilities in Fortinet FortiOS

  • CVE-2020-0609 | Multiple vulnerabilities in Windows RDP Gateway Server

First of all, were you aware that your security control devices (Fortinet, Citrix, F5, etc.) may have one or more publicly disclosed vulnerabilities—potentially compromising the very protections you’ve invested time and money in configuring?

Moreover, as advanced threats increasingly combine sophisticated techniques and constantly evolve to bypass defenses, how can you be sure your organization is resilient against the latest advanced attack scenarios (cf. MITRE ATT&CK Framework)?

To keep up with the growing number and speed of evolving threats, a new approach is required—one that continuously validates the effectiveness of your existing security controls.

e-Xpert Solutions SA introduces its new managed security service, Security Control Audit (SCA)—powered by the expertise of AT-Defense SOC analysts and the PICUS Security Continuous Adversary Simulation Platform.

How does the service work?

Unlike traditional vulnerability scanners, the platform simulates real-world cyberattacks by emulating both victim and attacker systems within your production network. This enables continuous assessment of your security controls’ configuration effectiveness—without disrupting business-critical applications.

The base service includes three victim probes:

Network

To attack the red-colored network probe deployed in the DMZ, the simulated attack must first pass through network defenses such as a Web Application Firewall (WAF), an Intrusion Prevention System (IPS), or a proxy. The goal here is to verify whether the WAF effectively blocks attacks targeting services exposed to the Internet and hosted in the DMZ.

Email

The email probe uses a generic mailbox, typically protected by a Mail Transfer Agent (MTA) or email security gateway. This probe receives emails containing malicious attachments and phishing links. The objective is to test whether the MTA-based security control properly blocks these types of threats.

Endpoint

The endpoint probe is deployed as a lightweight agent on a representative corporate workstation. It attempts to retrieve malicious content via the Web Proxy and/or Next Generation Firewall (NGFW) with IPS and/or Sandboxing capabilities.
The first objective is to verify whether the Web Proxy or NGFW effectively blocks access to malicious content. If malicious content reaches the workstation, the second objective is to assess whether the endpoint protection (e.g., Next-Gen Antivirus) can detect and block the attack at the moment of execution.

If a security control component (WAF, NGFW, Next-Gen Antivirus, MTA) fails to block an attack, it is clear evidence that adjustments are needed to address the weakness in that control.
e-Xpert Solutions will provide a detailed report on the security posture of each assessed component, along with mitigation recommendations as part of the final reporting.

SCA Service Features

  • Automatically and continuously (24/7) test the resilience of your security infrastructure—just like the most advanced cybercriminals do today.
  • Evaluate the effectiveness of existing security controls against both known and emerging threats.
  • Precisely tailor mitigation actions for each specific threat sample.
  • Identify security risks through in-depth analysis of your security posture reports.

SCA Service Benefits

  • What is the real-world effectiveness of your current security controls against today’s threats?
  • What prioritized actions should your teams take to improve the efficiency of your security controls?
  • What are the most cost-effective investments to maintain or strengthen to significantly enhance your security posture?

e-Xpert Solutions offers two service options:

  1. A one-time audit, performed once or several times per year.
  2. A recurring monthly service with weekly alerting in case anomalies are detected—for example, when a configuration change causes a drop in your security performance indicators.
Le firewall applicatif, un “must” en mode managé !

Le firewall applicatif, un “must” en mode managé !

Le firewall applicatif, un “must” en mode managé !

Les dernières années ont vu une augmentation significative du développement d’applications web au détriment des applications natives.

Les avantages sont multiples. Côté utilisateur, la tâche est facilitée par le fait que les applications soient accessibles depuis n’importe où, n’importe quel périphérique et ce, sans nécessiter l’installation de logiciels spécifiques ou de clients lourds pour pouvoir être utilisées. Côté administrateur, plus besoin de maintenir à jour les versions de ces clients lourds ni de se soucier des prérequis système nécessaires sur les postes clients. Au final, cela se traduit par un cycle de vie de l’application simplifié et moins couteux.

Mais qu’en est-il au niveau de la sécurité intrinsèque à ces applications ? Nombre de ces applications, auparavant accessibles uniquement depuis le réseau interne de l’entreprise ou à travers un VPN, sont maintenant disponibles également depuis internet et depuis des périphériques non-maitrisés. Ceci les rend plus sensibles à d’éventuelles failles de sécurité et susceptibles de devenir la cible de pirates.

Qu’elles soient déployées “on-premises”, dans un cloud privé, public ou mises à disposition via un service Saas, il convient d’en protéger l’accès par la mise en place d’un firewall applicatif, Web Application Firewall ou WAF, qui au même titre que les applications qu’il protège, pourra également être hébergé ou fourni sous différentes formes.

 

Les compétences requises

Certains acteurs du marché promettent des firewalls applicatifs qui peuvent presque fonctionner tout seuls et sans besoin préalable de compétences en cybersécurité, notamment grâce au machine learning, l’intelligence artificielle ou plus simplement, l’utilisation de politiques de filtrage simplifies basées sur des standards tels que OWASP 10.

Mais la réalité est tout autre. Ceux ayant tenté de mettre en place de genre de solutions se sont heurtés à des problèmes bien plus complexes que celui de définir une politique de filtrage initiale.

Sans une personnalisation adéquate des politiques de sécurité, il y aura 2 possibilités ; soit le niveau de filtrage ne sera pas optimal, trop faible et donc potentiellement trop vulnérable face à des attaquants de plus en plus expérimentés ; soit dans le cas d’un filtrage trop restrictif, l’impact sur les utilisateurs sera trop important, risquant ainsi de mettre en péril le bon fonctionnement des applications. Comme on le sait dans tout projet de cybersécurité, l’adhérence des utilisateurs est extrêmement importante et il convient donc de trouver un juste milieu entre ces 2 extrêmes.

Certes, les outils de machine learning peuvent aider, par exemple à construire une politique de filtrage basée sur des recommandations en fonction du trafic web passé mais cela ne remplacera jamais les connaissances et le bon sens d’ingénieurs compétents et connaissant le fonctionnement des applications à protéger.

Compétences en programmation, réseau et la connaissance de l’application et des différents types d’attaques (Injection SQL et injection de code, Verb tampering, Cross-Site Scripting, session hijacking, brute force, etc) et une maitrise sans faille des architectures, langages et protocoles web, notamment HTTP, XML ou AJAX sont autant de caractéristiques indispensables.

On comprend aisément que les compétences nécessaires pour gérer une telle technologie de manière efficace sont rarement concentrées à l’intérieur d’une entreprise, et encore moins au sein d’une même équipe. Généralement l’interaction entre les équipes applicatives, réseau et sécurité est nécessaire, mais souvent la coopération entre les différents intervenants est laborieuse, chacun souhaitant garder uniquement la responsabilité sur la partie qui lui incombe à l’origine, l’efficacité dans la gestion du service s’en ressent donc fortement.

Notre service Managed WAF

Au vu de l’expérience acquise lors des nombreux projets implémentés au cours des dernières années et afin de répondre à cette problématique, e-Xpert Solutions a mis sur pied un service managé afin de fournir à ses clients une approche clé en main pour la gestion de leur WAF.

Nos ingénieurs prennent en charge les diverses étapes du cycle de vie d’un projet WAF, dont voici un extrait non-exhaustif :

  • Analyse des applications à protéger (technologies, langages, services mis à disposition, etc)
  • Définition d’une politique de filtrage initiale offrant un bon niveau de protection
  • Intégration dans les processus d’automatisation pour le déploiement de nouvelles applications
  • Application en mode non disruptif
  • Apprentissage du trafic de production
  • Personnalisation et fine-tuning de la politique
  • Intégration dans les processus de change management et réponse à incident du client
  • Mise en place en mode bloquant
  • Prise en charge des incidents, de l’analyse à la remédiation, en 24/7 si nécessaire et avec un niveau de SLA élevé
  • Mise à disposition d’un reporting temps réel avec une présentation mensuelle ou trimestrielle
  • Suivi des politiques déployées tout au long du cycle de vie des applications afin de s’inscrire dans un processus d’amélioration continue
  • Monitoring de l’état de santé des plateformes WAF sous-jacentesCôté commercial, une approche pragmatique, basée sur le nombre d’applications à protéger est proposée, ceci afin de répondre tant aux grands clients qu’à ceux plus modestes ou ne souhaitant protéger qu’une portion de leurs applications.N’hésitez pas à solliciter vos contacts usuels pour découvrir comment le service pourrait s’appliquer dans votre contexte et ainsi décharger vos équipes opérationnelles.
Notre pôle Recherche & Développement

Notre pôle Recherche & Développement

Notre pôle Recherche & Développement

Souvent confrontés à des situations où les équipements ne répondent pas aux attentes, ne communiquent pas entre eux ou qu’aucune solution du marché ne couvre les besoins de sécurité de nos clients : depuis 2015, nous avons misé sur la création d’un pôle de Recherche et Développement pour donner suite aux demandes spécifiques de nos clients.
Nos experts du pôle de recherche et développement vous accompagnent pour comprendre votre besoin et proposer les solutions sur-mesure les mieux adaptées à votre contexte et vos attentes.

Réalisations graphiques

Adaptation des solutions à votre image et workflows

Dans la mise en œuvre de solutions de sécurité qui interagissent directement les utilisateurs tels qu’une solution d’authentification forte multi-facteurs, il est parfois nécessaire d’adapter le design et les scripts à l’usage unique du client.

En effet, les modèles standards de page d’authentification fournis de base avec les solutions demandent souvent à être personnalisés pour répondre aux spécificités et processus dédiés des clients.

Dans ce contexte, l’équipe de développement d’e-Xpert Solutions peut prendre en charge cette demande et adapter la solution intégrée sans avoir à faire appel à un développeur externe. L’équipe peut aussi apporter son support et expertise aux développeurs internes du client (ex : page de login avec authentification forte d’un e-Banking, ou en une page d’enregistrement d’un collaborateur).

Réalisations de scripts

Adaptation des solutions à votre contexte technique.

Dans d’autres contextes, dans le but de faire communiquer deux solutions entre elles au travers de leurs API respectives, il faut comprendre et mettre en place des scripts spécifiques et respectant les bonnes pratiques de sécurité.

Par nature, certaines solutions de contrôle de sécurité permettent aussi la mise en place de flexibilité et de customisation poussée. L’exemple parfait est illustré par les iRule de F5. Ce sont des fonctions puissantes et flexibles du produit BIG-IP® LTM qui améliorent considérablement votre capacité à personnaliser votre changement de contenu en fonction de vos besoins exacts. L’expertise combinée du pôle R&D et des ingénieurs certifiés sur les solutions F5 permet alors de coder ces « iRules » avec beaucoup de précision. Parmi nos dernières réalisations, nous pouvons citer la mise en place d’une intégration du VPNSSL F5 avec le Firewall Check Point pour automatiser l’assignement des règles Firewall aux clients VPN en fonction de leur appartenance à un groupe Active Directory. Pour ce faire, une iRule à été développée permettant de fournir la correspondance nom d’utilisateur / adresse IP du client VPN au Firewall Check Point pour la sélection automatique des bonnes règles Firewall.

Notre équipe a également développé des services et applications in-house. Ces dernières sont disponibles à la vente pour nos clients.

 

en_GB