La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft.

Présentations similaires


Présentation au sujet: "2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft."— Transcription de la présentation:

1

2 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft

3 3 Agenda Bilan des évènements de 2010 Attaques ciblées et maitrisées Aurora MS Alureon StuxNet Incidents directement traités par CSS Security Vols dinformation Extorsion Leçons clés à tirer de ces expériences…

4 4

5 5 StuxNet - Un 'Cyber Missile' conçu pour attaquer les installations nucléaires Iraniennes machines infectées, principalement en Iran. (Symantec Octobre 2010) Des sondes sophistiquées comportent des vulnérabilités exposant le réseau électrique américain. (NYT Avril 2010) Des militants Iraquiens ont développé un équipement permettant d'intercepter les flux vidéo des drones américains Predator. Pour un cout estimé de 26$. (WSJ Decembre 2009) Des dossiers médicaux de milliers de patients exposés en 2010 (HealthCareITNews Avril 2010). Un australien provoque un rejet toxique en s'introduisant dans le système informatique de la décharge. (TheRegister, Octobre 2001)

6 6

7 7 Une accélération forte Le délai patch->exploit diminue: Slammer (année) Blaster (mois) Zotob (jours) 9 Aout – publication 14 Aout – nouveau malware Les process se rôdent: Attente des publications Reverse Engineering (outils, partage) Démonstration de faisabilité (PoC; toolkits, collaboration) Les vulnérabilités 0Day explosent Quelques exemples récents…

8 8 2010… Les grands évènements de lannée

9 9 Aurora Rendue publique en Janvier 2010 par Google Une vulnérabilité 0Day dans Internet Explorer Un exploit ciblant spécifiquement Internet Explorer 6 Des cibles à haute visibilité: Google, Adobe, Juniper, Rackspace, ont admis avoir été attaqués Dautres noms circulent…

10 10 Les leçons dAurora 1. Des attaques aux enjeux élevés 2. Des browsers obsolètes moins bien protégés 3. Le mail utilisé comme vecteur initial dattaque Et pourtant, aucune conséquence immédiate et sérieuse contre lattaquant

11 11 Alureon Publication de MS le 9 février 2010 Immédiatement des millions de machines entrent dans un cycle de redémarrages/plantages (BSoD) Microsoft arrête alors la distribution de MS Un rootkit responsable. Dans les jours qui suivent, une nouvelle version du rootkit est déployée.

12 12 Les leçons dAlureon Une sophistication encore inégalée Un rootkit beaucoup plus répandu quanticipé Une ingéniosité et un talent évident des auteurs Un même rootkit, de multiples malwares Ce nest pas parce que tu ne me détectes pas que je nexiste pas (moteurs anti-virus à la traine, technologies inadaptées)

13 13 StuxNet Attention Danger! On change déchelle… Un malware « immense » Exploitant plusieurs 0day… (RCE, EoP) Cible: les centrifugeuses contrôlées par WinCC (SCADA) opérant à très grande vitesse

14 14 Les leçons de StuxNet Des équipes de plusieurs pays collaborent… Des réseaux « ultra protégés » compromis Des systèmes « intouchables » touchés StuxNet est la première « arme » publiquement connue

15 … Les incidents majeurs traités ces 6 derniers mois par CSS Security

16 16 Incident A – Points clés s ciblés témoignant dun véritable travail de social engineering Intrusion sur plus de 6 mois Élévation progressive de privilège Fuite dinformations sensibles Des attaquants patients et discrets Plusieurs Chevaux de Troie utilisés (17), beaucoup doutils dadministration à distance.

17 17 Incident A - Leçons De nouvelles difficultés! Comment analyser les milliers de systèmes potentiellement impactés: Différents malwares, déployés sur quelques systèmes parmi des milliers Reprise de contrôle dActive Directory Des dizaines de comptes de service impliqués Des dizaines dapplications à reconfigurer, tester… Des milliers de mots de passe à changer Léducation et le partage dinformation avec les utilisateurs sont un point clé de la réussite

18 18 Incident B – Points Clés Intrusion via une injection SQL sur une application Web Suivie de lexploration discrète et patiente des réseaux en DMZ puis Corporate (pendant 9 mois) Elévation de privilège jusquà la compromission dActive Directory Usage de la technique « Pass The Hash » Le client reconstruit entièrement sa forêt….

19 19 Incident B – Leçons Les DMZs ne sont pas (plus) étanches, la segmentation réseau a ses limites Attention aux machines ET aux réseaux sur lesquels des comptes privilégiés sont utilisés La vigilance est importante pour détecter les anomalies

20 20 Incident C&D – Points clés Infection de type drive-by exploitant une vulnérabilité corrigée depuis des mois dans une runtime Attaque ciblée par mail, véritable bijou de social engineering

21 21 Incident C&D - Leçons Attention aux mises à jour des applications et run-time. Cest plus long, plus difficile que les mises à jour dOS mais plus que jamais nécessaire… Les filtres de mail ne sont pas efficaces. Le social engineering quand il est: Personnel Placé dans le temps Contextuel est imparable…

22 22 Méthodologies Advanced Persistent Threats

23 23 Méthode APTs : a.Etude des cibles –Footprinting, Scanning –Réseaux sociaux, social engineering le + Facile b.Entrer: infection via Zero Day, SPAM, … c.Contrôle – Backdoors d.Etendre – Outils de vol de mots de passe, e.Vol dinformation - via des serveurs dédiés f.Persistance - Rootkits, Mises à jour régulières

24 24 Advanced: Utilisation dun large spectre de techniques: SPAM, 0day, drive by, … tout dépend de la posture de la cible Persistent : Les objectifs sont clairement définis Pas des opportunités découvertes au hasard Lattaque passe par différentes phases, elle nest pas constante en intensité et profondeur. Threat: Des hommes sont derrière ces attaques: expérimentés, motivés, financés. Il ne sagit pas dattaques automatisées via des malwares opportunistes Source:

25 25 La méthode dite Chinoise

26 26 La malédiction du laptop dentreprise

27 27 Le laptop Corporate Employé le jour, consommateur la nuit: Infecté le soir à la maison Ramené le matin dans le réseau dentreprise Le Cheval de Troie est désormais dans le périmètre Et si ce laptop est celui dun administrateur…

28 28 La protection doit se déplacer vers les terminaisons et sur les données Le réseau nest plus le point central de lapplication de la politique de sécurité Evolution des contrôles

29 29 Politique, Procédures, & Education Sécurité physique Périmètre Réseau interne Machine Application Données Défense en profondeur... La protection est inutile sans la détection!! Le contrôle du trafic en sortie est essentiel

30 30 MSDN et TechNet : lessentiel des ressources techniques à portée de clic Portail administration et infrastructure pour informaticiens Portail de ressources technique pour développeurs

31

32 32 A BotNet

33 33 BotNet Networks

34 34 Couleurs Palette de couleurs à utiliser Liens : (#fce62f RVB ) #fce62f RVB #35ddfd RVB #ff4e00 RVB #fc2feb RVB #5afd35 RVB #ffffff RVB # RVB # RVB #dddddd RVB #0f53a0 RVB #5b12b5 RVB #ffa71c RVB Pour fond blanc : Puces :

35 35 Titre de la diapositive Titre du bloc 1 Texte sans puce Texte avec puce Titre du bloc 2 Texte sans puce Texte avec puce

36 36 Vidéo Titre de la vidéo

37 37 Démo Titre de la démo

38 38 Annonce Titre de lannonce

39 Titre de la diapositive (code) Fond blanc pour slide de code

40 40 Tableau Titre du tableau Colonne 1Colonne 2Colonne 3Colonne 4Colonne 5

41 41 Graphique

42 42 Camembert


Télécharger ppt "2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft."

Présentations similaires


Annonces Google