La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Les évolutions du risque : la cible : le poste de travail et les outils communiquant Vincent Salacroup Kaspersky Lab France.

Présentations similaires


Présentation au sujet: "Les évolutions du risque : la cible : le poste de travail et les outils communiquant Vincent Salacroup Kaspersky Lab France."— Transcription de la présentation:

1 Les évolutions du risque : la cible : le poste de travail et les outils communiquant
Vincent Salacroup Kaspersky Lab France

2 L’évolution des Codes Malicieux de 1990 à 2003
Virus de secteur de boot Virus Virus d’envoi en masse Serveur LAN Poste de travail Internet Firewall Serveur de messagerie Poste de travail Poste de travail Poste de travail Poste de travail Portable Génération 1 Génération 2 Génération 3 Poste de travail Virus réseau Réseau surchargé Portable Serveur Poste de travail Serveur Internet Machines protégées Génération 4 Firewall Poste de travail Serveur Poste de travail Serveur

3 L’évolution des Codes Malicieux de 2003 à 2008 : la génération qui change la donne
Spyware Les codes malicieux ont une durée de vie de plus en plus courte. Le nombre de ce type de code est en pleine explosion. Rootkit Devenus l’élément hybride indispensable pour un réseau ZOMBIE pouvant transporter des : backdoors : portes dérobées installées à l’insu de l’utilisateur par des modifications des règles des pare-feux botnets : renvoient l’adresse IP internet au pirate pour pouvoir accéder à la machine victime via la backdoor BotNet (la machine devient Zombie) Sur un plan technique le Spyware est appelé botnet. Le nombre de réseaux de machines piloté par des communautés de pirates utilisant des BotNet est en pleine explosion. Estimation : Environ réseaux Zombies sont en production en Europe.

4 Pourquoi cela change la donne ?
Les recherches épidémiologiques des laboratoire des Editeurs Antivirus changent car ils sont confrontés à plusieurs types de techniques comme : La publication des eGènes malicieux sur une période courte : Ne pas être détectés par les antivirus L’exploitation des réseaux Zombies sont maintenant très nombreux Les ‘advanced’ worms (vers évolués) réplications émergentes utilisant des techniques de multi-threading Toutes ces techniques ont pour seul objectif, pour le Cyber-criminel : être efficace malgré la surveillance de l’antivirus, de l’utilisateur et de l’administrateur des machines concernées.

5 Parallélisme d’un advanced worm
Worm à technologie séquentielle Worm à technologie Multithread >500 min parallélisme >35 sec Tom Vogt Simulation

6 Antidote en téléchargement pour tous !
17:24 17:33 17:38 17:41 Temps de Traitement – 3 minutes Temps de Traitement TOTAL avec vérification des virus dumpers – 17 minutes

7 La réactivité en question ?
17 minutes est une valeur se rapprochant du ZeroDAY MAIS pas suffisante. Les réseaux zombies sont toujours là ! Sachant que les keyloggers et rootkits actuels changent leurs codes en moyenne toutes les 30 minutes, pour entretenir les réseaux zombies.

8 Nombre de Codes Malicieux par Jour

9 Statitiques des Labs Kaspersky
Les attaques en masse ne sont plus d’actualité Entre 200 et 1200 codes malicieux sont ajoutés chaque 24 heures Mai 2007, stats de nos Labs : Adware    Malware      PornWare    RiskWare   TrojWare     VirWare      X-Files           Total: Rootkits, Keyloggers, Downloader, Exploits, BotNets ! Rien que pour le mois de mai 2007!

10 Fréquence des mises à jours
Signature Updates per Month

11 There is no such thing as 100% protection
La mesure du risque Protection Probability of infection Great Antivirus 99,9% 1% Bad Antivirus 90% 65% Very Bad Antivirus 50% There is no such thing as 100% protection

12 L’Evolution du profil des Cyber-criminels et de leur Organisation

13 De 1990 à 2003 Objectifs pour le Pirate :
L’exploit technologique ou d’estime. Le pirate est souvent un Etudiant. Détruire des machines ou des données. Bloquer la production des outils informatiques. Conséquences pour les Entreprises : Financières. Perte de productivité. Problème d’image pour les entreprises. Destruction d’information.

14 De 2003 à 2008 Objectifs pour le Pirate :
Gagner de l’argent Etre le plus invisible possible avec ses codes Malicieux de l’utilisateur et de l’administrateur. Exploiter la puissance de calcul des machines à leur disposition. Récupérer un maximum de données personnelles ou professionnels Communiquer des informations entre les pirates sans être identifié (Terrorisme) Conséquences pour les Entreprises : Financières Perte de productivité Fuite d’information vers l’extérieur Problème juridique lié à l’exploitation pirate des machines d’une entreprise à des fins malicieux (Espionnage industriel, etc….) Les administrateurs informatiques peu informés des sujets liés à la sécurité pensent encore que s’ils n’ont pas de problème, c’est qu’ils n’ont effectivement pas de problème. C’est plus forcement vrai. Les Editeurs Antivirus pensent eux qu’ils ont potentiellement des problèmes mais qu’ils ne le savent pas.

15 Aujourd’hui le poste client, outil de production de l’entreprise, richesse pour le Cyber-Criminel
La réelle production d’une entreprise s’effectue au plus proche de l’utilisateur = Le pirate va chercher à l’atteindre. Les utilisateurs ont de plus en plus soif de libertés (postes nomades, protocoles peer to peer, accès Internet) = Les vecteurs de contaminations changent. Les Enjeux de la sécurité et les investissements des entreprises étaient réalisé sur les passerelles de messagerie. Aujourd’hui l’ensemble de la communauté des entreprises se refocalise sur la protection des postes de travail et sur la sécurisation des nouveaux vecteurs de propagation. Le nombre de Pc dans les entreprises et chez les particuliers ont augmenté avec la démocratisation de l’utilisation d’applications métiers dans les entreprises et avec la démocratisation des accès Internet. C’est une augmentation a deux chiffres.

16 Le poste client, de plus en plus victime des attaques.
Fort de ces constatations, les pirates focalisent leur attaques en ciblant directement les postes utilisateurs. Les technologies d’infection serveurs telles que slammer (SQL server) ou CodeRed (linux apache) sont devenues obsolètes. La mobilité des postes de travail (télétravail, postes nomades) complique la tâche de surveillances et de préventions des équipes informatiques des entreprises. Elles sont obligées de s’adapter à ces nouveaux vecteurs de propagation. De nouveaux équipements communiquant échangent des informations avec les stations de travail (fixes ou mobiles). Les portables téléphoniques se transforment en équipement « intelligents » contenant parfois plus d’informations critiques que l’ordinateur traditionnel (agendas, carnet d’adresses, informations personnelles, répondeur téléphonique…)

17 Smartphones un réseau cible
Les portables téléphoniques « intelligents » offrent de meilleurs capacités que les ordinateurs traditionnels Ils touchent avec assurance les personnes ciblées. Ils sont toujours allumés. Les capacités de stockage sont de plus en plus importantes. Ils sont 100 fois plus nombreux que les ordinateurs. Ils sont « hyper communiquant » (Wifi, Bluetooth, 3G, ….) Ils contiennent des données personnelles et professionnels. Ils offrent les capacités de géo localisations de l’appareil. Les équipes informatiques se préoccupent pas réellement de la sécurité de ces équipements. Le taux de renouvellement des matériels est deux fois plus important.

18 Codes Malicieux spécifiques Mobilité

19 De quoi ces virus sont-ils capables ? Ces Virus peuvent faire ...
Paralyser totalement le mobile Destruction ou Encryption des données utilisateurs Donner des appels et envoyer des SMS Décharger la batterie Diffusion de son code aux autres Mobiles Infection du PC pendant la synchronisation Média TRES exposé aux prochaines attaques et prochainement un élément clef des BotNets.

20 Quelques exemples de virus
Infection des files (Virus.WinCE.Duts)‏ Ouvrir un accès distant vers Internet (Backdoor.WinCE.Brador)‏ Envoyer des SMS (Trojan-SMS.J2ME.RedBrowser)‏ Bloquer le fonctionnement du téléphone (Trojan.SymbOS.Skuller, Rommwar)‏ Bloquer les fonctions d'anti-virus après infection Déposer d'autres viruses (Trojan.SymbOS.Doombot avec ComWar)‏ Effacer des données (Trojan.SymbOS.Cardblock, Worm.MSIL.Cxover)‏ Vol des données (Worm.SymbOS.StealWar, Trojan- Spy.SymbOS.Flexispy)‏ Utilisation frauduleuse du PC (Worm.MSIL.Cxover)‏ PhB, Mars 2006

21 Une infection typique Très tôt matin dans le métro
Un utilisateur reçoit un fichier via Bluetooth (Cabir.a)‏ La batterie se vide beaucoup plus rapidement que d'habitude Le résultat: un appel au support technique de 3 heures et 50 euros plus tard, l'utilisateur à installé un nouveau “firmware“ PhB, Mars 2006

22 Une infection typique (2)‏
Eté 2006 en Grèce sur un yacht en pleine mer. Un portable reçoit une notification d'envois de MMS raté. Le résultat: l'utilisateur a payé pour un grand nombre de MMS envoyés. Cette attaque arrive très fréquemment, mais la pluspart des utilisateurs ne s'en apperçoivent jamais ... PhB, Mars 2006

23 Comment se prémunir ? Installer une solution antivirus et l’administrer est nécessaire mais pas suffisant. L’Antivirus n’est que 75% de la solution pour votre sécurité du poste. La mise en place d’outils de sécurité complémentaires et de politiques de sécurité minimaliste permettront de limiter les risques. Les politiques de Filtrage URL, Antivirus HTTP ou de Filtrage AntiSpam sur les passerelles sont à ce jour des éléments permettant de limiter les effets de bords lié au comportement du Maillon Faible de la sécurité dans l’Entreprise : le facteur Humain Pourquoi ?

24 Les attaques sont plus complexes
Le spam existe car des utilisateurs y répondent et achètent ! Le phishing existe car il est difficile pour un utilisateur de voir si il est bel et bien sur le serveur de sa banque ! Les serveurs WEB, serveurs de mails et serveurs DNS furtifs continuent de se propager dans des rootkits installés sur les postes des utilisateurs L’usurpation VoIP arrive…Qui s’en méfiera?

25 Facteur aggravant : les utilisateurs ne changent pas !
Les utilisateurs continueront d’utiliser des petits utilitaires, des cracks… car sur un pc on ne peut pas tout acheter ! Utiliser que les gratuits reconnus. Les autres peuvent être eux même le code malicieux. Ils continueront de répondre à des offres promotionnelles ou à redonner leurs identités bancaires ! Ils continueront de payer en ligne sans pour autant se soucier de la sécurité Ils accepteront que des sites sécurisés ne possèdent pas de certificats valides !

26 Les utilisateurs ne changent pas !
Les sécurités des OS se font par rapport à une demande auprès de l’utilisateur de façon plus directe et explicite Mais cela ne changera pas la démarche d’infection, car si l’utilisateur accepte que l’application s’installe, c’est pour l’utiliser

27 Pour les entreprises quelques mesures simples et peu coûteuses Sécurité anti-incendie/antivirus même stratégie Si on fait l’analogie entre la sécurité antivirale (propagation, infection, destruction) et la sécurité anti-incendie on peut mettre en parallèle les éléments suivants : L’antivirus (élément curatif) n’est que l’extincteur. Est-ce suffisant ? Il manque (en analogie) : Les détecteurs de fumées et le central d’appel (Console d’administration et administrateur de la solution) Les pompiers eux-mêmes qui effectuent un travail de prévention et d’enquêtes.(équipes informatiques coordonnées) Les affiches qui informent des directions à prendre en cas d’incendie (procédures écrites en cas d’infection : Comment réagir ? Ce qu’il faut faire…Ce qu’il est strictement interdit de faire…Avec qui communiquer en interne ? Définition des champs d’intervention) Des utilisateurs capables de prendre des initiatives pour éviter les paniques (chef de services formés)

28 Ce qu’il faut retenir Les pirates ont grandi. Les étudiants sont devenu des professionnels offrant leurs services au plus offrant. (Société privé, Gouvernements (Cyber Guerre : Irak, Yougoslavie..), Mafias, autres…) Les comportement des utilisateurs eux ne changent pas. La majorité des codes malveillants découverts sont des codes à but lucratifs dont l’objectif est d’utiliser la machine victime en tant que hôte confortable pour des actions Internet (SPAM, Attaques de sites web) Certains codes malicieux ont des pouvoirs émergeant extrêmement fulgurant Sur le principe du projet SETI, les pirates vont exploiter les postes de travail à leur disposition pour réaliser des actions choisies. Emergence de réseaux Zombie basé sur le principe de fonctionnement du Peer to Peer. Les infections Virales transites maintenant via le Surf Internet. Les infections Virales transitant via les messageries ont été remplacé par les Spams. Les Pirates utilisent les Spams pour inviter les utilisateurs des machines à aller visiter des sites Web infectés (Sites Web événementiels (ex : Jeux olympiques….) = Maintenir et croître le réseau de machines Zombie Les vecteurs de propagation ont changé ces dernières années (telephonie etc…) La durée de vie programmé par les pirates des codes malicieux sur une machine est passé des plusieurs semaines, plusieurs mois à quelques minutes. Le nombre de codes malicieux à référencer dans les bases Antivirus est passé de 25 à 50 codes par jour à 200 à 1200 codes par jour. Le techniques de détections historiques (Pattern Matching) sont mises en difficultés. Poids et consommation des bases de connaissance deviennent très consommatrices. Le principe de fonctionnement de cette technique de détection est rendue obsolète. Conséquence : Emergence de nouveaux Editeurs exploitant des techniques de détections complémentaires ou alternatives.

29 Ne faites plus confiance à vos fichiers!
La vérité n’est pas toujours au bout de l’hameçon ! Questions ?


Télécharger ppt "Les évolutions du risque : la cible : le poste de travail et les outils communiquant Vincent Salacroup Kaspersky Lab France."

Présentations similaires


Annonces Google