La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Les ressources disponibles : bulletins, outils et publications

Présentations similaires


Présentation au sujet: "Les ressources disponibles : bulletins, outils et publications"— Transcription de la présentation:

1 Les ressources disponibles : bulletins, outils et publications
Gérard Gasganias Chef de projet Sécurité Microsoft France Cyril Voisin Chef de programme Sécurité Microsoft France

2 La stratégie sécurité de Microsoft
Authentification, Autorisation, Audit Mise à jour avancée Excellence de l’engineering Isolation et résilience Conseils, Outils, Réponse

3 Agenda Vulnérabilités, bulletins et alertes (MSRC)
La gestion des correctifs (WSUS, MBSA) La suppression des intrus (Antispyware, MSRT) La gestion des risques (MSRSAT)

4 Vie et mort d’une vulnérabilité…
Les attaques se produisent majoritairement ici La plupart des exploits sont conçues après la mise à disposition du correctif Vulnérabilité théorique Vulnérabilité à une attaque générale Mesure traditionnelle de la vulnérabilité Signalement volontaire Test, intégration et déploiement Ignorance Module Gap Produit installé Vulnérabilité découverte Vulnérabilité publique Composant corrigé Correctif publié Correctif déployé chez les clients .

5 Vie et mort d’une vulnérabilité…suite
151 180 331 Blaster Welchia/ Nachi Nimda 25 SQL Slammer Nombre de jours entre le correctif et l’exploitation Le temps avant exploitation Est devenu si court que le “patching” n’est plus une défense suffisante 9 jours sont nécessaires pour appliquer du “reverse engineering” au patch et découvrir la faille… 18 Sasser Blaster a été l’occasion de faire un constat important : le nombre de jours séparant la publication d’un correctif sur Internet et l’exploitation de la vulnérabilité qu’il corrige est en diminution vertigineuse. Ainsi, dans le cas de Blaster, seulement 25 jours ont été nécessaires pour produire le ver. Quant à Sasser, 17 jours ont été nécessaires. On parle bien de production ici ; en effet, nous avons maintenant la quasi-certitude que Blaster (qui a vu le jour en Chine) a été produit à partir du reverse engineering du code de la correction. Et force est de constater que l’on dispose maintenant d’outils de plus en plus sophistiqués permettant de produire un virus à partir du premier code d’exploitation de la vulnérabilité (on parle ici de ce que l’on appelle généralement « l’exploit ») avec de véritables frameworks permettant de créer un ver ou un virus. Cela peut se réaliser en trois étapes principales : Exploitation de l’exploit pour lui permettre, par exemple, de toucher plusieurs versions différentes du système Transformation de cet exploit en ver ou virus en le dotant d’un moyen de propagation automatique (à l’aide des fameux frameworks de développement de vers ou virus). Dotation de ce ver ou virus d’une « charge active » qui permettra de munir ce ver ou virus d’un élément malicieux ou nuisible (toujours à l’aide de ces fameux frameworks). Ce que nous a appris Blaster, c’est que les approches actuelles de correction des systèmes (le patch management) ne sont plus appropriées pour faire face à des menaces telles que Blaster : il faut changer complètement l’approche en permettant à la fois aux entreprises de corriger plus rapidement et plus facilement leur système d’information mais aussi de ne pas être dans l’obligation de corriger à chaque fois qu’une nouvelle vulnérabilité est découverte. Ceci relève d’une pratique que les experts en sécurité appellent « la défense en profondeur » ; nous y reviendrons.

6 Microsoft Security Response Center
Suivi des listes Sécurité Point central de coordination et communication Analyse et traitement des rapports de vulnérabilités Responsable du plan et de sa coordination au sein de Microsoft Travaille à la réduction des risques en modifiant les processus internes de développement par rapport à la sécurité Plan de réponse Sécurité de Microsoft Travaille avec les autorités légales et les décideurs Création d’une communauté d’échange avec les découvreurs des vulnérabilités Communauté et Communications

7 Le MSRC : un centre névralgique
Microsoft Security Response Center Éditeurs Sécurité Clients Microsoft Recherche Sécurité Partenaires Microsoft Décideurs Industrie Agences gouvernementales MSRC Presse Juridique Groupes Produits Equipes Support

8 Genèse d’un correctif de sécurité
Publication bulletin de sécurité : 2ème Mardi de chaque mois Coordination de toute la communication en ligne Envoi d’informations et de conseils aux clients Suivi des problèmes clients et de l’activité Presse Publication Création de contenu Écriture du bulletin de sécurité : Logiciels/composants affectés Description technique Contournements et atténuation FAQs Remerciements Validation du groupe de produit Relation avec l’auteur Communication Réponse rapide Analyse de la motivation et des besoins Échanges réguliers Communauté Encourager les rapports volontaires Priorité Analyse du rapport et des impacts possibles sur les clients Évaluation de la sévérité de la vulnérabilité et des risques d’exploitation Niveau de priorité décidé Le MSRC reçoit les rapports de vulnérabilité par: Site TechNet Sécurité – rapports anonymes MSRC s’engage à répondre à tous les rapports en 24 h Rapport de vulnérabilité MAJ des outils et règles MAJ « best practices » MAJ des outils de test MAJ du processus de développement et de design Test Plusieurs niveaux de test : Vérification de l’Installation et du packaging Profondeur Intégration Réseau Microsoft Réalisation du correctif Équipe Produit : Identifie l’impact de la vulnérabilité Recherche de variantes Analyse en profondeur du code et des spécifications Ecriture du correctif pour test

9 Sévérité des bulletins
L'exploitation de cette vulnérabilité peut permettre la propagation d'un ver Internet, tel que Code Red, Nimda ou Blaster, sans intervention de l'utilisateur Critique L'exploitation de cette vulnérabilité peut impacter l'intégrité, la confidentialité ou la disponibilité des données de l'utilisateur, l'intégrité ou la disponibilité des ressources de traitement Important L'exploitation de cette vulnérabilité a des conséquences sérieuses, mais atténuées par des facteurs tels que la configuration par défaut, l'audit, la nécessité d'une intervention de l'utilisateur ou la difficulté d'exploitation Modéré Faible L'exploitation de cette vulnérabilité est très difficile ou a un impact minime Plus d’information :

10 Le MSRC et les bulletins de sécurité
Avant la publication Pré-annonce des bulletins (J-3 = Jeudi) : MSRC Bulletin Notification nombre de bulletins niveau de sévérité anticipé aperçu des produits affectés démo Correctifs publiés sur le Download Center, WU et/ou Office Update, MU Notifications envoyées par aux clients Bulletins publiés les sites Microsoft Informations proactives pour la Presse Publication sur les newsgroups Sécurité / flux RSS Publication 2nd Mardi Après la publication Webcast d’informations sur les bulletins (Mercredi, 19h00) Suivi des bulletins et des problèmes client via le Support. Maintenance des bulletins

11 Les avis de sécurité (“Security Advisories”)
Fournit des informations et conseils à propos de modifications de logiciels et de mises à jour liées à la sécurité Quelques exemples de thèmes qui pourraient être traités : Améliorations de sécurité pour la “défense en profondeur" ou d’autres changements non liés à des vulnérabilités Conseils de protection qui pourraient s’appliquer à propos de vulnérabilités divulguées publiquement Complémente les bulletins de sécurité Microsoft Résumé des raisons de la publication de l’avis de sécurité Forum aux questions Actions suggérées Peut être mis à jour à n’importe quel moment où nous avons davantage d’informations Contenu Fait référence à un numéro d’article de la base de connaissance (Knowledge Base) pour davantage d’informations Inscription : Plus d’informations

12 Réponse à un incident de sécurité Aperçu
Processus d’entreprise pour faire face aux menaces de sécurité critiques Mobilisation de ressources Microsoft dans le monde entier Objectifs : Obtenir rapidement une bonne compréhension du problème Vous fournir à temps des informations pertinentes et cohérentes Fournir des outils des mises à jour de sécurité et d’autre éléments d’aide à la restauration du service normal

13 Réponse à un incident de sécurité
Watch Observation (détection d’un problème potentiel) Relations avec : Partenaires Chercheurs en sécurité et découvreurs de vulnérabilités Écoute des demandes clients au support, de celles de la presse Alert and Mobilize Évaluation du niveau de gravité Mobilisation des équipes de réponse et des groupes de support en 2 groupes : Emergency Engineering Team Emergency Communications Team Observation des demandes clients et niveau d’intérêt à propos de cet incident Assess and Stabilize Évaluation de la situation et des infos techniques disponibles Début du travail sur la solution Communication des conseils initiaux et des contournements Notification et information des employés de Microsoft Resolve Fourniture d’informations et d’outils pour rétablir la situation normale La solution appropriée est fournie : mise à jour de sécurité, outil ou correctif Revue des processus internes et dégagement des enseignements

14 Étude de cas : Sasser Watch Alert & Mobilize Assess & Stabilize
Publication des bulletins de sécurité d’avril 2004, incluant celui référencé MS qui traite d’une vulnérabilité corrigée dans LSASS Début de l’observation des lignes de support, des newsgroups et des activités des communautés et des demandes de la presse Watch (13-28 avril 2004) Premier rapports de l’arrivée prochaine de Sasser Alerte des équipes de réponse à un incident de sécurité et réunion dans les 2 salles des équipes d’urgence techniques et communications Alert & Mobilize (29 avril 2004) Début d’analyse technique et travail sur la solution (outil de nettoyage) Conseils initiaux communiqués Page Sasser sur Alertes par envoyées par les services de notification pour la sécurité Envoi des alertes aux partenaires et employés Publication de l’outil de suppression de Sasser (Sasser Worm Removal Tool) v1.0 sur le Centre de téléchargement Assess & Stabilize (30 avril - 3 mai 2004) v2.0 de l’outil de suppression de Sasser sur Windows Update Communication massive auprès des clients et partenaires pour aider à nettoyer les systèmes : Webcast technique Sasser (en anglais) Chats en ligne avec les support Mise à jour des sites Microsoft Outil de suppression mis à jour en permanence pour nettoyer de nouvelles variantes Resolve (4-10 mai 2004)

15 Étude de cas : MSN Messenger
Microsoft publie les bulletins de sécurité pour février 2005, dont MS qui traite d’une vulnérabilité corrigée dans la manipulation des fichiers PNG touchant MSN Messenger 6.1 & 6.2 Début de l’observation des lignes de support, des newsgroups et des activités des communautés et des demandes de la presse Watch (8-9 février 2005) Premiers rapports d’une exploitation publique pour MSN Messenger Alerte des équipes de réponse à un incident de sécurité et réunion dans les 2 salles des équipes d’urgence techniques et communications Alert & Mobilize (9 février 2005) Début de l’analyse technique Conseils initiaux, recommandant la mise à jour vers la dernière verion de MSN Messenger incluant la correction Page dédiée Alertes par envoyées par les services de notification pour la sécurité Envoi des alertes aux partenaires et employés Assess & Stabilize (9 février 2005) Décision de l’obligation de mise à jour de MSN Messenger pour pouvoir utiliser le service Notification de la décision d’obligation de mise à jour : Mise à jour des sites Web de l’entreprise Envoi des alertes aux partenaires et employés Le passage obligatoire par la mise à jour a réduit l’impact et la diffusion du ver Resolve (10-11 février 2005)

16 Agenda Vulnérabilité, bulletins et alertes (MSRC)
La gestion des correctifs (WSUS, MBSA) La suppression des intrus (Antispyware, MSRT) La gestion des risques (MSRSAT)

17 Solutions Techniques Mode « Pull » Mode « Push » Windows Update SUS 1
. WSUS (SUS 2.0) SMS Windows 98 , NT 4 , XP , Windows 98 , NT 4 , XP , Windows XP , 2000 , 2003 Windows XP , 2000 , 2003 2000 , 2003 2000 , 2003 Patches, Màj, SP , Patchs , Màj , SP Patches, SP Màj Office , SQL , Exchg . Patches, Màj, SP Communication directe Toutes applications Rapports avec l’Internet Fonctionnement au Rapports personnalisés travers d’un proxy Communication sécurisée ( https ) Création de groupes d’ordinateurs cibles API Scriptables ( côtés client et serveur ) MBSA Solution Microsoft complémentaire pour analyser le niveau Inventaire et gestion de la de protection des ordinateurs cibles base d’installations intégrées à SMS Pas de support pour Windows NT4 et W98

18 MBSA Automatise l'identification des correctifs de sécurité manquants et des problèmes de configuration de la sécurité Permet à un administrateur d'analyser d'un point central un grand nombre de systèmes Scriptable (Consolidation) 2 modes Graphique (GUI) Ligne de commande Disponible en version 1.2.1 Version 2.0 en beta

19 MBSA 2.0 Déploiement de l’agent
Microsoft Update Exécution de MBSA sur un système d’administration, en spécifiant une ou des cibles Tentative d’analyse (API) WSUSSCAN.CAB WUSCltV5aX64.exe WUSCltV5aX86.exe Si l’interface d’analyse (API) n’est pas disponible, téléchargement des composants de l’agent Pousse l’agent, accord explicite, puis essaie de nouveau l’API Si le site MU ne peut pas être utilisé, alors téléchargement de WSUSSCAN.CAB Comparaison de la version de l’agent dans le .CAB à la version de l’agent WUA Si version inférieure, alors on reprend en 3., puis on essaie de nouveau avec WSUSSCAN.CAB Console MBSA Machine cible

20 Site MU (Microsoft Update)
Analyse avec MBSA 2.0 Microsoft Update Exécution de MBSA depuis un système d’administration, en spécifiant la ou les cibles .CAB hors ligne Site MU (Microsoft Update) Par défaut, tentative avec le serveur WSUS (s’il est assigné) Tentative avec le site MU (par défaut) Si échec avec MU, alors on utilise le fichier .CAB WSUS Si le .CAB actuel n’est pas à jour, télécharger le nouveau Analyse avec le .CAB (API) Si WSUS et MU produisent tous les deux des résultats, les fusionner Console MBSA Utilisation du score par défaut pour les mises à jour non approuvés par WSUS Machine cible

21 Détection de mises à jour MBSA 2.0
Mises à jour de sécurité (aujourd’hui) Windows 2000 SP3 et + IIS 5.0 et + SQL Server 2000 / MSDE et + IE 5.01 SP3 et + Exchange 2000, 2003 et + Windows Media Player 6.4 et + Office XP, 2003 et + MSXML 2.5, 2.6, 3.0, 4.0 MDAC 2.5, 2.6, 2.7, 2.8 Microsoft Virtual Machine (JVM) Mises à jour de sécurité (nouveautés) DirectX .NET Framework Windows Messenger FrontPage Server Extensions Windows Media Player 10 Windows Script 5.1, 5.5, 5.6 Windows Server 2003, 64-Bit Edition Windows XP 64-Bit Edition Windows XP Embedded Edition Nouvelles plateformes Seulement à distance, uniquement pour les mises à jour XP Embedded IA64 Mises à jour seulement X64 Pas disponible tout de suite Service Packs de SQL et Exchange Mises à jour d’Office 2000 Commerce Server Content Mgt Server BizTalk Host Integration Server

22 MBSA – Rapports (GUI)

23 MBSA 2.0 démo

24 Options en ligne de commande
MBSA 1.2.x /hf /h ou /hf /i /c ou /i /hf /x /hf /sus /hf /fip /hf /fh /v MBSA 2.0 /target /catalog /xmlout or /n * /wa /listfile /ld * = OS+IIS+SQL+Motdepasse

25 MBSA 2.0 Actuellement en beta Analyse sans installation Performance
mbsacli.exe, wsusscan.dll et wsusscan.cab requis pour une analyse hors ligne Performance Possibilité de lancer plusieurs instances simultanément Supportera les CVE-IDs du Mitre quand le contenu sera ajouté à Microsoft Update Connecteur Visio

26 MBSA - Compléments Connecteur Visio Add-in COM pour Visio 2003
Visualisation des résultats MBSA 2 modes : Import des résultats dans le schéma du réseau Lancement du scan directement à partir du schéma

27 Agenda Vulnérabilité, bulletins et alertes (MSRC)
La gestion des correctifs (WSUS, MBSA) La suppression des intrus (Antispyware, MSRT) La gestion des risques (MSRSAT)

28 Que sont les logiciels espions ?
Comportement Description Exemples Aucun Inoffensif Pas de nuisance potentielle Notepad Publicité Spyware ou logiciel espion : Programme qui effectue un certain nombre d’opérations sans le consentement approprié de l’utilisateur Logiciel supportant de la pub Pop-ups non autorisés Affichage de pub Collecte de données Barre de recherche autorisée Collecte de données Collecte de données personnelles Changements de configuration Utilitaires de paramétrage Détournement du navigateur Potentiel de nuisance Changements de paramétrages Surveillance Contrôle parental Key-loggers Enregistrement des frappes clavier Numérotation Logiciel du fournisseur d’accès Numérotation vers site porno Numérotation automatique Utilisation de ressources à distance Application partage de cycle Porte dérobée Utilisation de ressources à distance Activité malfaisante Clairement malfaisant (virus, ver, troyen) Sasser Extrême

29 Quelques idées de l’ampleur
La cause d’au moins 1/3 de tous les crashes des applications Windows1 Problème majeur chez les OEMs : la cause numéro 1 des appels au support chez Dell2 Consommateurs 91 % des utilisateurs de l’Internet haut débit sont affectés3 En moyenne : 5+ « spyware » /  « adware » par machine4 Entreprise 5 92 % des managers des DI interrogés pensent que leurs sociétés ont des « spyware » 1Analyses MS Watson/OCA, Jan-Mar 2004 2FTC Workshop, Avril 2004 3,4NCSABroadband Consumer Survey, Earthlink Spy Audit, Avril 2004 5Websense Survey, Avril 2004

30 Microsoft Windows AntiSpyware
Lutte contre les logiciels espions Microsoft Windows AntiSpyware Aide à protéger les utilisateurs de Windows contre les logiciels espions et autres logiciels non désirés Détecter et supprimer les spywares Corrige les problèmes de ralentissement, de pop-ups, etc. Analyses planifiées pour maintenir sécurité et confidentialité Améliorer la sécurité de la navigation sur Internet Surveillance temps réel de plus de 50 points d'entrées Alertes personnalisables selon vos préférences Stopper les dernières menaces Communauté SpyNet™ : identifier les nouveaux spywares Mise à jour automatique des signatures

31 Microsoft Antispyware
démo

32 Windows AntiSpyware Plus de 10 millions de téléchargements (en 10 semaines) Retours positifs Signatures anti-spyware mises à jour toutes les semaines Site Microsoft Anti-spyware

33 Evolution de l’Anti-spyware
Windows Client Windows AntiSpyware Détection et suppression des spywares Protection continue Défenses à jour En entreprise Déploiement centralisé (client et signatures) Rapports étendus Options de configuration et contrôle Admin des signatures

34 Outil de suppression des logiciels malfaisants (MSRT)
Complémente les technologies traditionnelles des Antivirus en fournissant un outil qui supprime virus et vers les plus répandus Mise à jour tous les mois pour supprimer les nouveaux logiciels malfaisants Ciblé vers les consommateurs sans antivirus Déployable en entreprise comme partie intégrante d’une stratégie de défense en profondeur Disponible à travers Windows Update Auto Update Interface en ligne (ctrl ActiveX sur Download Center

35 Outil de suppression des logiciels malfaisants
Remplace toutes les versions précédentes des logiciels d’éradication de codes malfaisants produits par Microsoft Cible Blaster, Sasser, MyDoom, DoomJuice, Zindos, Berbew (aussi connu comme Download.Ject), Gaobot et Nachi Disponible dans les 23 langues supportés par Windows XP Plus d’informations sur le déploiement de cet outil en entreprise dans l’article de la KB (http://support.microsoft.com/kb/891716)

36 Agenda Vulnérabilité, bulletins et alertes (MSRC)
La gestion des correctifs (WSUS, MBSA) La suppression des intrus (Antispyware, MSRT) La gestion des risques (MSRSAT)

37 Pas simplement des technos…

38 Les 3 facettes de la sécurité
Technologies OS Annuaire Correctifs IPSEC Kerberos PKI Chiffrement de fichiers SSL/TLS Clusters Détection d’intrusion Gestion de systèmes Supervision Pare-feu Antivirus Archivage Politique d’accès Installation Réparation Gestion des événements Gestion des perfs Gestion du Changement / de la Configuration Processus Restauration Sauvegarde Réponse à Incident Évaluation de risques Architecture sécurisée La sécurité ne peut s’obtenir que si on tient compte de ses 3 dimensions : Organisationnelle (les processus) Il faut disposer d’une politique de sécurité, évaluer ses risques, avoir une veille sécurité, avoir une gestion de la configuration de son environnement, une gestion du changement, être en mesure de détecter un incident et pouvoir y réagir efficacement, faire des sauvegardes et surtout pouvoir faire des restaurations. Humaine (les personnes) Parmi elles on compte les utilisateurs qui, malgré leurs droits limités, peuvent faire fuir les informations vers l’extérieur ou les corrompre. Bien entendu, les administrateurs avec leurs privilèges élevés ont une responsabilité élevée en matière de sécurité. Enfin, il faut aussi compter avec les développeurs qui peuvent créer des applications « passoires » sur des infrastructures sécurisées. En effet, certaines applications mal programmées se trouvent être de véritables invites de commande pour les attaquants. Technologique (les technologies) Ce n’est pas ce qui manque. Nous aborderons plusieurs mais rappelez-vous qu’à elles seules elles ne sont pas la solution à tous les problèmes. Attention au penchant naturel des informaticiens à toujours vouloir solutionner des problèmes de sécurité par l’ajout de technologies de sécurité… Personnes Admin. de l’Entreprise Admin. Du Domaine Service/ Support Développeur Utilisateur

39 Microsoft Security Risk Self-Assessment (MSRSAT)
Évaluer les faiblesses de votre environnement en matière de sécurité informatique Questionnaire détaillé Traite infrastructure, applications, opérations et personnel Multilangue, mise à jour en ligne Possibilité de comparaison anonyme

40 MSRSAT démo

41 Abonnez-vous Flash Sécurité : Grand public : https://profile.microsoft.com/RegSysSubscriptionCnt/SubCntDefault.aspx?LCID=1036&SIC=1 IT Pro : https://profile.microsoft.com/RegSysSubscriptionCnt/SubCntDefault.aspx?LCID=1036&SIC=1 Alerte et Bulletins RSS Feed, Instant Messaging, Notification Service (+ Comprehensive)

42 Ressources Général (Abonnements bulletins, alertes, newsflash)
Security Guidance Center : Outils : Comme l’informatique Interne de Microsoft sécurise-t-elle Microsoft ? E-Learning Clinics : https://www.microsoftelearning.com/security Événements et Webcasts : Hotline sécurité : code 55

43 Microsoft France 18, avenue du Québec Courtaboeuf Cedex


Télécharger ppt "Les ressources disponibles : bulletins, outils et publications"

Présentations similaires


Annonces Google