1 / 42

Intrusions en entreprise : Retours d'expériences

Intrusions en entreprise : Retours d'expériences . 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft. Agenda. Bilan des évènements de 2010 Attaques ciblées et maitrisées Aurora MS10-015 Alureon StuxNet Incidents directement traités par CSS Security Vols d’information

bing
Download Presentation

Intrusions en entreprise : Retours d'expériences

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Intrusions en entreprise : Retours d'expériences 10 Février 2011Jean GautierIngénieur SécuritéMicrosoft

  2. Agenda • Bilan des évènements de 2010 • Attaques ciblées et maitrisées • Aurora • MS10-015 Alureon • StuxNet • Incidents directement traités par CSS Security • Vols d’information • Extorsion • Leçons clés à tirer de ces expériences…

  3. De plus en plus connectés…

  4. De plus en plus de risques… • StuxNet- Un 'Cyber Missile' conçu pour attaquer les installations nucléaires Iraniennes. 100000 machines infectées, principalement en Iran. (Symantec Octobre 2010) • Des sondes sophistiquées comportent des vulnérabilités exposant le réseau électrique américain. (NYT Avril 2010) • Des militants Iraquiens ont développé un équipement permettant d'intercepter les flux vidéo des drones américains Predator. Pour un cout estimé de 26$. (WSJ Decembre 2009) • Des dossiers médicaux de milliers de patients exposés en 2010 (HealthCareITNews Avril 2010). • Un australien provoque un rejet toxique en s'introduisant dans le système informatique de la décharge. (TheRegister, Octobre 2001)

  5. Des risques partout dans le monde

  6. Une accélération forte • Le délai patch->exploit diminue: • Slammer (année) • Blaster (mois) • Zotob (jours) • 9 Aout – publication • 14 Aout – nouveau malware • Les process se rôdent: • Attente des publications • Reverse Engineering (outils, partage) • Démonstration de faisabilité (PoC; toolkits, collaboration) • Les vulnérabilités 0Day explosent Quelques exemples récents…

  7. 2010… Les grands évènements de l’année

  8. Aurora • Rendue publique en Janvier 2010 par Google • Une vulnérabilité 0Day dans Internet Explorer • Un exploit ciblant spécifiquement Internet Explorer 6 • Des cibles à haute visibilité: • Google, Adobe, Juniper, Rackspace,ont admis avoir été attaqués • D’autres noms circulent…

  9. Les leçons d’Aurora • Des attaques aux enjeux élevés • Des browsers obsolètes moins bien protégés • Le mail utilisé comme vecteur initial d’attaque Et pourtant, aucune conséquence immédiate et sérieuse contre l’attaquant

  10. Alureon • Publication de MS10-015 le 9 février 2010 • Immédiatement des millions de machines entrent dans un cycle de redémarrages/plantages (BSoD) • Microsoft arrête alors la distribution de MS10-015. • Un rootkitresponsable. • Dans les jours qui suivent, une nouvelle version du rootkitest déployée.

  11. Les leçons d’Alureon • Une sophistication encore inégalée • Un rootkit beaucoup plus répandu qu’anticipé • Une ingéniosité et un talent évident des auteurs • Un même rootkit, de multiples malwares Ce n’est pas parce que tu ne me détectes pas que je n’existe pas (moteurs anti-virus à la traine, technologies inadaptées)

  12. StuxNet • Attention Danger! • On change d’échelle… • Un malware « immense » • Exploitant plusieurs 0day… (RCE, EoP) • Cible: les centrifugeuses contrôlées par WinCC (SCADA) opérant à très grande vitesse

  13. Les leçons de StuxNet • Des équipes de plusieurs pays collaborent… • Des réseaux « ultra protégés » compromis • Des systèmes « intouchables » touchés StuxNet est la première « arme » publiquement connue

  14. 2010… Les incidents majeurs traités ces 6 derniers mois par CSS Security

  15. Incident A – Points clés • Emails ciblés témoignant d’un véritable travail de social engineering • Intrusion sur plus de 6 mois • Élévation progressive de privilège • Fuite d’informations sensibles • Des attaquants patients et discrets • Plusieurs Chevaux de Troie utilisés (17), beaucoup d’outils d’administration à distance.

  16. Incident A - Leçons • De nouvelles difficultés! • Comment analyser les milliers de systèmes potentiellement impactés: • Différents malwares, déployés sur quelques systèmes parmi des milliers • Reprise de contrôle d’Active Directory • Des dizaines de comptes de service impliqués • Des dizaines d’applications à reconfigurer, tester… • Des milliers de mots de passe à changer • L’éducation et le partage d’information avec les utilisateurs sont un point clé de la réussite

  17. Incident B – Points Clés • Intrusion via une injection SQL sur une application Web • Suivie de l’exploration discrète et patiente des réseaux en DMZ puis Corporate (pendant 9 mois) • Elévation de privilège jusqu’à la compromission d’Active Directory • Usage de la technique « Pass The Hash » • Le client reconstruit entièrement sa forêt….

  18. Incident B – Leçons • Les DMZs ne sont pas (plus) étanches, la segmentation réseau a ses limites • Attention aux machines ET aux réseaux sur lesquels des comptes privilégiés sont utilisés • La vigilance est importante pour détecter les anomalies

  19. Incident C&D – Points clés • Infection de type drive-by exploitant une vulnérabilité corrigée depuis des mois dans une runtime • Attaque ciblée par mail, véritable bijou de social engineering

  20. Incident C&D - Leçons • Attention aux mises à jour des applications et run-time. • C’est plus long, plus difficile que les mises à jour d’OS mais plus que jamais nécessaire… • Les filtres de mail ne sont pas efficaces. • Le social engineering quand il est: • Personnel • Placé dans le temps • Contextuel est imparable…

  21. Méthodologies Advanced Persistent Threats

  22. APTs: Advanced Persistent Threats Méthode APTs : • Etude des cibles • Footprinting, Scanning • Réseaux sociaux, social engineering  le + Facile • Entrer: infection via Zero Day, SPAM, … • Contrôle – Backdoors • Etendre – Outils de vol de mots de passe, • Vol d’information - via des serveurs dédiés • Persistance - Rootkits, Mises à jour régulières

  23. Advanced: Utilisation d’un large spectre de techniques: SPAM, 0day, drive by, … tout dépend de la “posture” de la cible • Persistent : Les objectifs sont clairement définis Pas des opportunités découvertes “au hasard” L’attaque passe par différentes phases, elle n’est pas constante en intensité et profondeur. • Threat: Des hommes sont derrière ces attaques: expérimentés, motivés, financés. Il ne s’agit pas d’attaques automatisées via des malwares “opportunistes” Source: http://en.wikipedia.org/wiki/Advanced_Persistent_Threat

  24. La méthodedite “Chinoise”

  25. La malédiction du laptop d’entreprise

  26. Le laptop “Corporate” • Employé le jour, consommateur la nuit: • Infecté le soir à la maison • Ramené le matin dans le réseau d’entreprise • Le Cheval de Troie est désormais dans le périmètre • Et si ce laptop est celui d’un administrateur…

  27. Evolution des contrôles • La protection doit se déplacer vers les terminaisons et sur les données • Le réseau n’est plus le point central de l’application de la politiquede sécurité Evolving Security Controls Data Self-Protection Mesures de sécurité Host People and Process Network Temps

  28. Défense en profondeur... Que faire? Politique, Procédures, & Education Sécurité physique ACL, chiffrement Données Application Durcissementd’application, antivirus Durcissement de l’OS, patch management, authentification, HIDS Machine Réseau interne Segmentation, IPSec, NIDS Firewalls, VPN quarantaine Périmètre Gardes, serrures, … Education, formation La protection est inutile sans la détection!! Le contrôle du trafic en sortie est essentiel

  29. MSDN et TechNet: l’essentiel des ressources techniques à portée de clic • Portail administration et infrastructure pour informaticiens • Portail de ressources technique pour développeurs http://technet.com http://msdn.com

  30. A BotNet

  31. BotNet Networks

  32. Couleurs • Palette de couleurs à utiliser • Liens : http://www.microsoft.com (#fce62f RVB 252 230 47) #fce62f RVB 252 230 47 #35ddfd RVB 53 212 253 #ff4e00 RVB 255 78 0 #fc2feb RVB 252 47 235 #5afd35 RVB 90 253 53 #ffffff RVB 255 255 255 #000000 RVB 0 0 0 #999999 RVB 153 153 153 #dddddd RVB 221 221221 #0f53a0 RVB 15 83 160 #5b12b5 RVB 91 18 181 #ffa71c RVB 255 167 28 Pour fond blanc : Puces :

  33. Titre de la diapositive Titre du bloc 1 Texte sans puce • Texte avec puce Titre du bloc 2 Texte sans puce • Texte avec puce

  34. Vidéo Titre de la vidéo

  35. Démo Titre de la démo

  36. Annonce Titre de l’annonce

  37. Titre de la diapositive (code) • Fond blanc pour slide de code

  38. Tableau

  39. Graphique

  40. Camembert

More Related