Donnez votre avis !                   Depuis votre smartphone, sur :                    http://notes.mstechdays.fr    De n...
Traitement des incidents                               SSI                            Philippe VIALLE   Ingénieur senior s...
Traitement des incidents                               SSI                                   Patrick Chuzel             In...
Agenda                        Mardi 12 février 2013, 17h30     Partie 1                Introduction     Partie 2          ...
Equipe européennne de           sécurité – CSS Security                     Que faisons-nous ?Sécurité
Equipe CSS Sécurité France / EMEA      • Bulletins de sécurité           – France / EMEA      • Support de l’antivirus pos...
Partie 1           Les incidents SSI                     Ph. VialleSécurité
Des cibles ? (publiques)Sécurité
Des tendances marketing : APT      • « APT » = Advanced Persistent Threat.           – Menace persistante, s’appuyant sur ...
Des idées reçues à abattre      • « 100% des correctifs Microsoft déployés =        parc sécurisé. »           – Non !    ...
Défense en profondeur (« DiD »)Sécurité
Des croyances à oublier      • « Machines Linux / Unix / Apple =        indifférentes au risque viral »           – Sauf s...
Des idées à abattre      • « La menace ne vient que de l’extérieur… »           – Clé USB, disque dur / mini-NAS          ...
Histoire d’un site web « simple »Sécurité
Evolutions…      • Visibilité supérieure           – (Impact si déni de service ?)      •    Vrai CMS pour le contenu du s...
L’histoire se poursuit…Sécurité
Mais la gestion sécurité…?      • Site Internet devient extranet…      • Site Internet devient également… intranet !      ...
« Et là, tout s’enchaîne… »      • Injection, depuis Internet, de code dans les pages        du site « inter/intranet »   ...
Nouveaux flux ?Sécurité
Variantes      • Comment déployer un code malin / une porte        dérobée, en entreprise :           –   dans le temps,  ...
La vie, la vraie…      • Mots de passe administrateur local, commun        de machines en machines (pire : en DMZ).       ...
Le point d’entrée…?      • Suite accès à serveur intégré à l’AD, et via un        compte disposant du privilège SeDebug : ...
D’autres idées à abattre      • « Isolation AD = entre domaines »           – Frontière du modèle de sécurité AD = forêt  ...
Des retours d’expérience      • Cloisonnement réseau :           – Sans lui, inventaire réseau du code malin = plus précis...
Autres retours d’expérience      • Zones d’échange métier = cibles !           – MS Exchange              • Quantité/diver...
Quelques rappels opérationnels      • Cloisonnement réseau à 100% = utopie           – Interconnexion = fondement même rés...
Des choses plus « exotiques » ?      • Ne pas télécharger des outils bien connus           – Mais récupérer code source + ...
Partie 2           Rootkit, le retour                      P. ChuzelSécurité
Quelques chiffres [MMPC]      • Décembre 2012           – 20 millions de logiciels potentiellement malins,             ana...
Merci de votre attention !Sécurité
Sources      • http://technet.microsoft.com/en-        us/library/cc512681.aspx      • http://hackmageddon.com/2012-cyber-...
Prochain SlideShare
Chargement dans…5
×

Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et recommandations

451 vues

Publié le

Le support Sécurité pour l'Europe de Microsoft assure le traitement des incidents de sécurité pour ses clients, que ce soit attaques virales ou intrusions proprement dites. Cette présentation, tirée de retours d’expérience de cas réels et assez fréquents, vous immergera dans la réalité des incidents de sécurité, avec les impacts (dont effets de bord), aspects méconnus, et état de la menace actuelle. Bienvenue dans le monde de la cybercriminalité, la réalité dépasserait-elle la fiction ?

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
451
Sur SlideShare
0
Issues des intégrations
0
Intégrations
1
Actions
Partages
0
Téléchargements
18
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive
  • Notation
  • Intro Serveurs / Entreprise / Reseaux / IT
  • Intro Serveurs / Entreprise / Reseaux / IT
  • Intro Serveurs / Entreprise / Reseaux / IT
  • Intro Serveurs / Entreprise / Reseaux / IT
  • Image : http://mashable.com/2012/07/09/dns-malware-hype/
  • Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et recommandations

    1. 1. Donnez votre avis ! Depuis votre smartphone, sur : http://notes.mstechdays.fr De nombreux lots à gagner toutes les heures !!! Claviers, souris et jeux Microsoft… Merci de nous aider à améliorer les TechDayshttp://notes.mstechdays.fr
    2. 2. Traitement des incidents SSI Philippe VIALLE Ingénieur senior sécurité, support EMEA Microsoft C|EH, CISSP http://www.microsoft.com/fr-fr/security/default.aspxSécurité
    3. 3. Traitement des incidents SSI Patrick Chuzel Ingénieur senior sécurité d’escalade, support EMEA Microsoft MCSD http://www.microsoft.com/fr-fr/security/default.aspxSécurité
    4. 4. Agenda Mardi 12 février 2013, 17h30 Partie 1 Introduction Partie 2 Retours d’expérience sur les incidents Partie 3 Rootkit, le Retour Démo / questionsSécurité
    5. 5. Equipe européennne de sécurité – CSS Security Que faisons-nous ?Sécurité
    6. 6. Equipe CSS Sécurité France / EMEA • Bulletins de sécurité – France / EMEA • Support de l’antivirus postes et serveurs – FCS, FEP, SCEP. • Traitement des incidents de sécurité France / EMEA – Traitement des intrusions, attaques. – Traitement des alertes virales. – Analyse de machines (“est-elle compromise ou non ?”). • Formateurs sécurité et investigation NTIC – Conférences web, générales ou ciblées sur produits. – Sessions présentielles (plusieurs jours).Sécurité
    7. 7. Partie 1 Les incidents SSI Ph. VialleSécurité
    8. 8. Des cibles ? (publiques)Sécurité
    9. 9. Des tendances marketing : APT • « APT » = Advanced Persistent Threat. – Menace persistante, s’appuyant sur panoplie d’outils (pas forcément avancés…). • Bien plus rare que ce qu’on peut en lire ! – NB : traitement en cours au Support de quelques cas réellement « hors du commun »… • Information & outils d’attaque disponibles : – Vulnerabilités + codes d’exploitation prêts à l’emploi. – Environnements de dev gratuits (y compris pour codes malveillants), ou prestation de service.Sécurité
    10. 10. Des idées reçues à abattre • « 100% des correctifs Microsoft déployés = parc sécurisé. » – Non ! • Cf rapport SIR v13 : Oracle Java, Adobe PDF & Acrobat… – /! Urgence à déployer les correctifs non Microsoft • « Antivirus déployé = parc sécurisé » – Non ! • Sécurité en multi-couches • Antivirus = « liste noire », 100% efficace = impossible • Nb: Antivirus ciblé par attaquants.Sécurité
    11. 11. Défense en profondeur (« DiD »)Sécurité
    12. 12. Des croyances à oublier • « Machines Linux / Unix / Apple = indifférentes au risque viral » – Sauf si hébergement de ressources accessibles via protocole compatible SMB ! • « panier viral » persistant ! • Sécurisation complexe via clients uniquement. – Codes malins avec téléchargeur : • Version compilée MacOS, si système est Apple, • Version compilée Win32/64, si système est Microsoft. – NB : MS SCEP supporte MacOS et Linux…Sécurité
    13. 13. Des idées à abattre • « La menace ne vient que de l’extérieur… » – Clé USB, disque dur / mini-NAS • (perso ?) – PC portable perso connecté au LAN – PC portable prestataire connecté au LAN – Ordiphone personnel connecté au LAN • 3/4G, WiFi, Blue-Tooth, connectivité USB, etc. – Liaison ADSL achetée, « non cadrée » (isolation) – Duperie des utilisateurs, • pour contourner la sécurité à leur insu.Sécurité
    14. 14. Histoire d’un site web « simple »Sécurité
    15. 15. Evolutions… • Visibilité supérieure – (Impact si déni de service ?) • Vrai CMS pour le contenu du site web • Vraies données à afficher, et à rafraîchir • Interconnexion avec d’autres services internes • Population cible élargie – Internet, mais aussi… interne ! – Pourquoi refaire l’architecture pour l’usage interne ?Sécurité
    16. 16. L’histoire se poursuit…Sécurité
    17. 17. Mais la gestion sécurité…? • Site Internet devient extranet… • Site Internet devient également… intranet ! – Quid des niveaux de risque respectifs ? • Intranet = interne = « niveau de risque minimum » ? • Intranet exposé aux risques Internet ? – Niveau de risque différent de celui du LAN • Besoin de sécurité différent de celui historique ! – Peu de changements sécurité au final… • Coûts de la sécurité ? • Évolution « au fil de l’eau », sans mise à plat / audit.Sécurité
    18. 18. « Et là, tout s’enchaîne… » • Injection, depuis Internet, de code dans les pages du site « inter/intranet » – 1 à plusieurs codes d’exploitation. • (ou) Injection d’une bannière pointant sur source externe : – Code viral / codes d’exploitation. • Puis ? Laisser faire le temps… – Déploiement sur le parc… de l’attaque   Bonus : utilisation du site internet compromis comme canal de contrôle de BotNet…Sécurité
    19. 19. Nouveaux flux ?Sécurité
    20. 20. Variantes • Comment déployer un code malin / une porte dérobée, en entreprise : – dans le temps, – discrètement, – avec une portée globale sur l’entité ciblée, – « gratuitement » ? • En le faisant via les outils de gestion de parc ! – Gestion de parc / administration = cibles. • Création / modification de paquetages de déploiement.Sécurité
    21. 21. La vie, la vraie… • Mots de passe administrateur local, commun de machines en machines (pire : en DMZ). – Aussi dangereux qu’un compte admin du domaine. • AD identique en DMZ et sur le LAN de prod. – Aucune isolation, rebond possible sur prod ! • Mauvaise cartographie des flux : – Confusion entre flux de supervision et malveillants. • Filtrage réseau faible : – Règles pare-feu autorisant… toute session TCP. – Détection (NIDS), mais pas de blocage, ni supervision.Sécurité
    22. 22. Le point d’entrée…? • Suite accès à serveur intégré à l’AD, et via un compte disposant du privilège SeDebug : – Énumération des comptes ayant ouvert une session (interactive ou non) • Dont administrateur du domaine, ou local ? – Extraction / vol des condensats des mots de passe • Pass the hash (avec réutilisation de l’identité AD) • Keyloggers fréquents. – Propagation de l’intrusion : • Exploration d’autres machines, • Création/modification de comptes.Sécurité
    23. 23. D’autres idées à abattre • « Isolation AD = entre domaines » – Frontière du modèle de sécurité AD = forêt • Aucune isolation entre domaines – Multi-forêt recommandée • Notamment 1 pour administrer • « Pas de risque si accès uniquement à des sites partenaires / connus » – Possibilité de compromission à leur insu… – Possibilité de détournement de l’accès réseau… • Résolution de nom, etc.Sécurité
    24. 24. Des retours d’expérience • Cloisonnement réseau : – Sans lui, inventaire réseau du code malin = plus précis que celui de la DSI… – Peu souvent mis en œuvre • /! routage dynamique… • Principaux ennemis ? – À la frontière entre intrusion logique et physique : • La clé USB ! – RExp Conficker, Stuxnet, etc. – Insuffisance de cartographie des flux.Sécurité
    25. 25. Autres retours d’expérience • Zones d’échange métier = cibles ! – MS Exchange • Quantité/diversité de données insoupçonnée… – SharePoint – Partages réseau SMB • Douloureux, peu anticipé, criticité sous-estimée… • Mais sont également ciblés : – AD : annuaire de personnes • Exfiltré en HTTP(s), flux sortants (donc peu contrôlés…) – Journaux de sécurité • Si activés  et pas seulement en échecs…Sécurité
    26. 26. Quelques rappels opérationnels • Cloisonnement réseau à 100% = utopie – Interconnexion = fondement même réseaux IP • Mais sans cloisonnement : – Compromission transverse, et non pas de zone ! • Pare-feu = statique = premier barrage – Insuffisant (un routeur pourrait faire l’affaire…) • Sonde NIDS / NIPS = filtrage dynamique, adaptable – WAF = protection applicatif webSécurité
    27. 27. Des choses plus « exotiques » ? • Ne pas télécharger des outils bien connus – Mais récupérer code source + compiler en local • Plus discret par rapport aux systèmes de filtrage • Identifier le moteur antiviral utilisé par la cible – Remodeler code malin existant pour y échapper • Même variante, empaqueteur différent ! • Se propager via les zones de synchro de l’AD – Sysvol / Netlogon • Cibler des systèmes ou des matériels particuliers…Sécurité
    28. 28. Partie 2 Rootkit, le retour P. ChuzelSécurité
    29. 29. Quelques chiffres [MMPC] • Décembre 2012 – 20 millions de logiciels potentiellement malins, analysés • 100 000 ont mené à création de signatures • Blocage de 4 millions de fichiers (uniques) – Base complète : 72 millions de fichiers détectés. • Collecte de données sur 1 milliard de machines – Vision étendue des menaces en circulation !Sécurité
    30. 30. Merci de votre attention !Sécurité
    31. 31. Sources • http://technet.microsoft.com/en- us/library/cc512681.aspx • http://hackmageddon.com/2012-cyber- attacks-timeline-master-index/ • http://www.intelligenceonline.fr/intelligence -economique/2012/07/19/attaque- chinoise-contre-astrium,104644072-BRESécurité

    ×