La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Les évolutions du risque : la cible : le poste de travail et les outils communiquant Vincent Salacroup Kaspersky Lab France.

Présentations similaires


Présentation au sujet: "Les évolutions du risque : la cible : le poste de travail et les outils communiquant Vincent Salacroup Kaspersky Lab France."— Transcription de la présentation:

1 Les évolutions du risque : la cible : le poste de travail et les outils communiquant Vincent Salacroup Kaspersky Lab France

2 Lévolution des Codes Malicieux de 1990 à 2003 Virus de secteur de boot Poste de travail Génération 1 Virus Poste de travail Génération 2 Virus denvoi en masse Internet Génération 3 Virus réseau Génération 4 Poste de travail Serveur LAN Poste de travail Portable Firewall Serveur de messagerie Internet Firewall Portable Serveur Poste de travail Serveur Poste de travail Serveur Poste de travail Réseau surchargé Machines protégées

3 Lévolution des Codes Malicieux de 2003 à 2008 : la génération qui change la donne Spyware –Les codes malicieux ont une durée de vie de plus en plus courte. –Le nombre de ce type de code est en pleine explosion. Rootkit –Devenus lélément hybride indispensable pour un réseau ZOMBIE pouvant transporter des : backdoors : portes dérobées installées à linsu de lutilisateur par des modifications des règles des pare-feux botnets : renvoient ladresse IP internet au pirate pour pouvoir accéder à la machine victime via la backdoor BotNet (la machine devient Zombie) -Sur un plan technique le Spyware est appelé botnet. -Le nombre de réseaux de machines piloté par des communautés de pirates utilisant des BotNet est en pleine explosion. Estimation : Environ réseaux Zombies sont en production en Europe.

4 Pourquoi cela change la donne ? Les recherches épidémiologiques des laboratoire des Editeurs Antivirus changent car ils sont confrontés à plusieurs types de techniques comme : –La publication des eGènes malicieux sur une période courte : Ne pas être détectés par les antivirus –Lexploitation des réseaux Zombies sont maintenant très nombreux –Les advanced worms (vers évolués) réplications émergentes utilisant des techniques de multi-threading Toutes ces techniques ont pour seul objectif, pour le Cyber-criminel : être efficace malgré la surveillance de lantivirus, de lutilisateur et de ladministrateur des machines concernées.

5 Parallélisme dun advanced worm Worm à technologie séquentielleWorm à technologie Multithread >500 minparallélisme>35 sec Tom Vogt Simulation

6 17:24 17:33 17:3817:41 Antidote en téléchargement pour tous ! Temps de Traitement – 3 minutes Temps de Traitement TOTAL avec vérification des virus dumpers – 17 minutes

7 La réactivité en question ? 17 minutes est une valeur se rapprochant du ZeroDAY MAIS pas suffisante. Les réseaux zombies sont toujours là ! Sachant que les keyloggers et rootkits actuels changent leurs codes en moyenne toutes les 30 minutes, pour entretenir les réseaux zombies.

8 Nombre de Codes Malicieux par Jour

9 Statitiques des Labs Kaspersky Les attaques en masse ne sont plus dactualité Entre 200 et 1200 codes malicieux sont ajoutés chaque 24 heures Mai 2007, stats de nos Labs : TrojWare – Adware Malware PornWare RiskWare TrojWare VirWare X-Files Total: Rootkits, Keyloggers, Downloader, Exploits, BotNets ! Rien que pour le mois de mai 2007! Rootkits, Keyloggers, Downloader, Exploits, BotNets ! Rien que pour le mois de mai 2007!

10 Fréquence des mises à jours Signature Updates per Month

11 La mesure du risque ProtectionProbability of infection Great Antivirus 99,9%1% Bad Antivirus 90%65% Very Bad Antivirus 50%99,9% There is no such thing as 100% protection

12 LEvolution du profil des Cyber- criminels et de leur Organisation

13 De 1990 à 2003 Objectifs pour le Pirate : –Lexploit technologique ou destime. Le pirate est souvent un Etudiant. –Détruire des machines ou des données. –Bloquer la production des outils informatiques. Conséquences pour les Entreprises : –Financières. –Perte de productivité. –Problème dimage pour les entreprises. –Destruction dinformation.

14 De 2003 à 2008 Objectifs pour le Pirate : –Gagner de largent –Etre le plus invisible possible avec ses codes Malicieux de lutilisateur et de ladministrateur. –Exploiter la puissance de calcul des machines à leur disposition. –Récupérer un maximum de données personnelles ou professionnels –Communiquer des informations entre les pirates sans être identifié (Terrorisme) Conséquences pour les Entreprises : –Financières –Perte de productivité –Fuite dinformation vers lextérieur –Problème juridique lié à lexploitation pirate des machines dune entreprise à des fins malicieux (Espionnage industriel, etc….) –Les administrateurs informatiques peu informés des sujets liés à la sécurité pensent encore que sils nont pas de problème, cest quils nont effectivement pas de problème. Cest plus forcement vrai. Les Editeurs Antivirus pensent eux quils ont potentiellement des problèmes mais quils ne le savent pas.

15 Aujourdhui le poste client, outil de production de lentreprise, richesse pour le Cyber- Criminel La réelle production dune entreprise seffectue au plus proche de lutilisateur = Le pirate va chercher à latteindre. Les utilisateurs ont de plus en plus soif de libertés (postes nomades, protocoles peer to peer, accès Internet) = Les vecteurs de contaminations changent. Les Enjeux de la sécurité et les investissements des entreprises étaient réalisé sur les passerelles de messagerie. Aujourdhui lensemble de la communauté des entreprises se refocalise sur la protection des postes de travail et sur la sécurisation des nouveaux vecteurs de propagation. Le nombre de Pc dans les entreprises et chez les particuliers ont augmenté avec la démocratisation de lutilisation dapplications métiers dans les entreprises et avec la démocratisation des accès Internet. Cest une augmentation a deux chiffres.

16 Le poste client, de plus en plus victime des attaques. Fort de ces constatations, les pirates focalisent leur attaques en ciblant directement les postes utilisateurs. Les technologies dinfection serveurs telles que slammer (SQL server) ou CodeRed (linux apache) sont devenues obsolètes. La mobilité des postes de travail (télétravail, postes nomades) complique la tâche de surveillances et de préventions des équipes informatiques des entreprises. Elles sont obligées de sadapter à ces nouveaux vecteurs de propagation. De nouveaux équipements communiquant échangent des informations avec les stations de travail (fixes ou mobiles). Les portables téléphoniques se transforment en équipement « intelligents » contenant parfois plus dinformations critiques que lordinateur traditionnel (agendas, carnet dadresses, informations personnelles, répondeur téléphonique…)

17 Smartphones un réseau cible Les portables téléphoniques « intelligents » offrent de meilleurs capacités que les ordinateurs traditionnels Ils touchent avec assurance les personnes ciblées. Ils sont toujours allumés. Les capacités de stockage sont de plus en plus importantes. Ils sont 100 fois plus nombreux que les ordinateurs. Ils sont « hyper communiquant » (Wifi, Bluetooth, 3G, ….) Ils contiennent des données personnelles et professionnels. Ils offrent les capacités de géo localisations de lappareil. Les équipes informatiques se préoccupent pas réellement de la sécurité de ces équipements. Le taux de renouvellement des matériels est deux fois plus important.

18 Codes Malicieux spécifiques Mobilité

19 De quoi ces virus sont-ils capables ? Ces Virus peuvent faire... Paralyser totalement le mobile Destruction ou Encryption des données utilisateurs Donner des appels et envoyer des SMS Décharger la batterie Diffusion de son code aux autres Mobiles Infection du PC pendant la synchronisation Média TRES exposé aux prochaines attaques et prochainement un élément clef des BotNets.

20 PhB, Mars –Infection des files (Virus.WinCE.Duts) –Ouvrir un accès distant vers Internet (Backdoor.WinCE.Brador) –Envoyer des SMS (Trojan-SMS.J2ME.RedBrowser) –Bloquer le fonctionnement du téléphone (Trojan.SymbOS.Skuller, Rommwar) –Bloquer les fonctions d'anti-virus après infection –Déposer d'autres viruses (Trojan.SymbOS.Doombot avec ComWar) –Effacer des données (Trojan.SymbOS.Cardblock, Worm.MSIL.Cxover) –Vol des données (Worm.SymbOS.StealWar, Trojan- Spy.SymbOS.Flexispy) –Utilisation frauduleuse du PC (Worm.MSIL.Cxover) Quelques exemples de virus

21 PhB, Mars Très tôt matin dans le métro Un utilisateur reçoit un fichier via Bluetooth (Cabir.a) La batterie se vide beaucoup plus rapidement que d'habitude Le résultat: un appel au support technique de 3 heures et 50 euros plus tard, l'utilisateur à installé un nouveau firmware Une infection typique

22 PhB, Mars Une infection typique (2) Eté 2006 en Grèce sur un yacht en pleine mer. Un portable reçoit une notification d'envois de MMS raté. Le résultat: l'utilisateur a payé pour un grand nombre de MMS envoyés. Cette attaque arrive très fréquemment, mais la pluspart des utilisateurs ne s'en apperçoivent jamais...

23 Comment se prémunir ? Installer une solution antivirus et ladministrer est nécessaire mais pas suffisant. LAntivirus nest que 75% de la solution pour votre sécurité du poste. La mise en place doutils de sécurité complémentaires et de politiques de sécurité minimaliste permettront de limiter les risques. Les politiques de Filtrage URL, Antivirus HTTP ou de Filtrage AntiSpam sur les passerelles sont à ce jour des éléments permettant de limiter les effets de bords lié au comportement du Maillon Faible de la sécurité dans lEntreprise : le facteur Humain Pourquoi ?

24 Les attaques sont plus complexes Le spam existe car des utilisateurs y répondent et achètent ! Le phishing existe car il est difficile pour un utilisateur de voir si il est bel et bien sur le serveur de sa banque ! Les serveurs WEB, serveurs de mails et serveurs DNS furtifs continuent de se propager dans des rootkits installés sur les postes des utilisateurs Lusurpation VoIP arrive…Qui sen méfiera?

25 Facteur aggravant : les utilisateurs ne changent pas ! Les utilisateurs continueront dutiliser des petits utilitaires, des cracks… car sur un pc on ne peut pas tout acheter ! –Utiliser que les gratuits reconnus. Les autres peuvent être eux même le code malicieux. Ils continueront de répondre à des offres promotionnelles ou à redonner leurs identités bancaires ! Ils continueront de payer en ligne sans pour autant se soucier de la sécurité Ils accepteront que des sites sécurisés ne possèdent pas de certificats valides !

26 Les utilisateurs ne changent pas ! Les sécurités des OS se font par rapport à une demande auprès de lutilisateur de façon plus directe et explicite Mais cela ne changera pas la démarche dinfection, car si lutilisateur accepte que lapplication sinstalle, cest pour lutiliser

27 Pour les entreprises quelques mesures simples et peu coûteuses Sécurité anti-incendie/antivirus même stratégie Si on fait lanalogie entre la sécurité antivirale (propagation, infection, destruction) et la sécurité anti- incendie on peut mettre en parallèle les éléments suivants : Lantivirus (élément curatif) nest que lextincteur. Est-ce suffisant ? Il manque (en analogie) : Les détecteurs de fumées et le central dappel (Console dadministration et administrateur de la solution) Les pompiers eux-mêmes qui effectuent un travail de prévention et denquêtes.(équipes informatiques coordonnées) Les affiches qui informent des directions à prendre en cas dincendie (procédures écrites en cas dinfection : Comment réagir ? Ce quil faut faire…Ce quil est strictement interdit de faire…Avec qui communiquer en interne ? Définition des champs dintervention) Des utilisateurs capables de prendre des initiatives pour éviter les paniques (chef de services formés)

28 Ce quil faut retenir –Les pirates ont grandi. Les étudiants sont devenu des professionnels offrant leurs services au plus offrant. (Société privé, Gouvernements (Cyber Guerre : Irak, Yougoslavie..), Mafias, autres…) –Les comportement des utilisateurs eux ne changent pas. –La majorité des codes malveillants découverts sont des codes à but lucratifs dont lobjectif est dutiliser la machine victime en tant que hôte confortable pour des actions Internet (SPAM, Attaques de sites web) –Certains codes malicieux ont des pouvoirs émergeant extrêmement fulgurant –Sur le principe du projet SETI, les pirates vont exploiter les postes de travail à leur disposition pour réaliser des actions choisies. Emergence de réseaux Zombie basé sur le principe de fonctionnement du Peer to Peer. –Les infections Virales transites maintenant via le Surf Internet. Les infections Virales transitant via les messageries ont été remplacé par les Spams. Les Pirates utilisent les Spams pour inviter les utilisateurs des machines à aller visiter des sites Web infectés (Sites Web événementiels (ex : Jeux olympiques….) = Maintenir et croître le réseau de machines Zombie –Les vecteurs de propagation ont changé ces dernières années (telephonie etc…) –La durée de vie programmé par les pirates des codes malicieux sur une machine est passé des plusieurs semaines, plusieurs mois à quelques minutes. –Le nombre de codes malicieux à référencer dans les bases Antivirus est passé de 25 à 50 codes par jour à 200 à 1200 codes par jour. –Le techniques de détections historiques (Pattern Matching) sont mises en difficultés. Poids et consommation des bases de connaissance deviennent très consommatrices. Le principe de fonctionnement de cette technique de détection est rendue obsolète. Conséquence : Emergence de nouveaux Editeurs exploitant des techniques de détections complémentaires ou alternatives.

29 Ne faites plus confiance à vos fichiers! La vérité nest pas toujours au bout de lhameçon ! Questions ?


Télécharger ppt "Les évolutions du risque : la cible : le poste de travail et les outils communiquant Vincent Salacroup Kaspersky Lab France."

Présentations similaires


Annonces Google