2. À PROPOS DE L’ACEI
• L'Autorité canadienne pour les enregistrements Internet (ACEI) gère un service
disponible en tout temps : le registre de noms de domaine .CA qui compte plus
de 2,6 millions de domaines.
• Le DNS du .CA répond au dela de 30 milliards de requêtes chaque mois.
• L'ACEI soutient la croissance d'un Internet robuste et fiable à l'avantage de
toute la population canadienne.
Il s'agit de l'organisation responsable d'une partie essentielle de l'infrastructure d'Internet. À présent, elle
offre ses services aux organisations afin de les aider à sécuriser leurs systèmes DNS au Canada.
3. L’ACEI CONTRIBUE À AMENER L’INTERNET AU CANADA
En contribuant à
soutenir un réseau
national de points
d’échange
Internet (IXP)
Plus rapide
Plus fiable
Souverain
3
TORIX
VANIX
MonctonIX
YYCIX
YEGIX
MBIX
OTTIX
QIX
HFXIX
YXEIX
WEDIX
4. D’ABORD – SERVICE DNS D-ZONE ANYCAST POUR LE
CANADA
Sites du nuage 1
Miami, FL
Los Angeles, CA
Londres, R.-U.
• Paris
• Francfort
• Stockholm
• Amsterdam
Hong Kong
Calgary, AB
Toronto, Ontario
Winnipeg, MB
Sites du nuage 2
Vancouver, Colombie-
Britannique
Montréal, QC
Ashburn
• Chicago
Halifax, N.-É.
Stockholm
• Netnod
• Solix
• StHIX
Sydney, Australie
Service Anycast visant à contribuer au maintien en ligne des sites Web et des
applications – appairé avec les IXP
5. LES RÉSEAUX ZOMBIES ET LES LOGICIELS RANÇONNEURS
SONT À LA MODE
5
Non-dispendieux+ argent vite fait = attaque parfaite
Ce que tout le monde dit
Les logiciels malveillants tels que Locky (et ses variantes), CryptXXX, Cerber, Ghost
Push, Spora, etc. offrent aux pirates une foule d’outils « professionnels » et les
attaques affichent une croissance de 752 %.
En 2016, on estime que Locky et Goldeneye ont permis d’engranger 1 milliard $.
Ce que nous avons observé
Les réseaux zombies tels que Marai et Reaper sont en hausse, le nombre de requêtes
malveillantes ayant atteint les 101 millions sur notre réseau au printemps 2017.
1 Nomimum Data Science Security Report, 3e trimestre, par rapport à 2016
6. LES ATTAQUANTS ET LES VOLEURS UTILISENT TOUS LES OUTILS
SE TROUVANT À LEUR DISPOSITION
6 Plus grandes menaces par fonction
7. MAINTENANT – PARE-FEU DNS D-ZONE
• Service DNS récursif activé par procédure
• Appairage des emplacements avec des IXP canadiens
– Maintien les données au Canada
– Performance améliorer
• Les serveurs récursifs à haut rendement peuvent
augmenter la vitesse du trafic
– Taux de présence en antémémoire (cache) de 95 %
– Les réseaux CDN (content delivery networks)
recourent à des emplacements récursifs pour
acheminer le contenu
• Nœuds en place à Toronto et à Calgary et projets de
déploiement plus vaste
7
8. RÉSULTATS DU PARE-FEU DNS D-ZONE
• Plus de 225 000 utilisateurs canadiens*
• 2 000 requêtes par seconde
• Tous utilisent une protection contre les logiciels
malveillants, l’hameçonnage et les logiciels rançonneurs
• 30 % utilisent le filtrage de contenu, dont la plupart avec
des filtres personnalisés adaptés à l’organisation
• Bon nombre d’entre eux utilisent une fonction de liste
noire sélective
8
En tant que service exclusif au Canada, nous observons un bon
taux d’adoption et sommes déjà en mesure de produire une
science des données élaborée au Canada
*Outre les centaines de millions de Nominum
9. ATTÉNUATION DES MENACES AU-DELÀ DU RÉSEAU – LE DNS
EST LA STRUCTURE D’INTERNET
• Le DNS fait partie d'une
démarche approfondie de
défense multicouche facile et
rentable.
– 91,3 % des logiciels
malveillants utilisent le DNS1
– Le DNS est utilisé à des fins
de distribution et pour
commander et contrôler
– IoT
– Appareils personnels
Périmètre
Réseau
Hôte
Application
Données
DNS
1 Rapport 2016 de Cisco sur la sécurité
11. 86 % DES AJOUTS QUOTIDIENS À LA LISTE DE BLOCAGE SONT
FONDÉS SUR LA SCIENCE DES DONNÉES
11
Cheval de
Troie
–Sphinx
–Sinowal**
–Bedep**
–Dyre
–Suppobox
Fraude
–Tofsee
–Bamital*
Logiciels
rançonneurs
–Locky*
–Dorifel
–Reveton
–Cryptowall
–Cryptolocker
Ver
–Proslikefan
Application
Potentiellement
Indésirable
–Chinad
–Necurs
–NewGOZ
–Virut
Zombie
... Les 14 % restants sont fondés sur des sources de
données commerciales et publiques
12. LE TEMPS EST UN FACTEUR CRUCIAL POUR LA
DÉTECTION RAPIDE DES NOUVELLES ATTAQUES
12
Prévues DDoS Autres menaces
13. LA VITESSE TUE SAUVE
L’HAMEÇONNAGE : QUI CLIQUE QUAND?
13
% CUMULATIF DES CLIENTS
80,5 % des victimes ont cliqué dans
les 9 heures suivant le lancement
NOMBRE D’HEURES DEPUIS LE LANCEMENT
14. 14
Traqueur de
menaces
– Nombre de requêtes malveillantes
le plus élevée dans une même
journée
– 217 million
– Croissance du nombre mensuel
moyen de requêtes malveillantes
– 47 %
– Croissance du nombre mensuel
moyen de domaines malveillants
– 18 %
15. PROGRAMME INDÉPENDANT OU AJOUT?
• Les organisations tirent profit de la défense approfondie parce que chaque couche protège le
fondement et la sauvegarde des autres couches
• Les solutions de partage des données relatives aux menaces ou de produit/fournisseur unique
comportent des faiblesses intrinsèques – en particulier dans les scénarios d’attaques du jour
zéro
• Les réseaux de distribution massive d’attaques malveillantes ont pour effet d’empirer le
« brouillard de la guerre » vu le caractère crucial du temps de réaction et le rythme
d’intervention différent de chaque solution
15
Couche Fournisseur Correctifs
matériels et
logiciels (patches)
Données sur les
menaces
Mise à jour des
bibliothèques de
menaces
Filtre des pourriels Fournisseur A TI locales* Source A Fournisseur A + TI
Antivirus Fournisseur B TI locales* Source B Fournisseur B + TI
Pare-feu de
périmètre
Fournisseur C TI locales* Source C Fournisseur C + TI
Pare-feu DNS Fournisseur de
services nuagiques
Fournisseur de
services nuagiques
Source D Temps réel
Cadre simple pour assurer la protection des PC des internautes
*À moins que l’on recoure à des options nuagiques
16. POURQUOI LA DÉFENSE EN PROFONDEUR?
• En matière de TI, la réalité
historique dit que sa va faire
faillite éventuellement; il
convient donc de se doter de
sauvegardes (backup).
• La nouvelle réalité veut que
tout subisse un jour une
attaque; le profil de risque a
donc changé.
• De tous les types de défense, la
défense par DNS est la plus
facile à intégrer, ne nécessite
aucune maintenance et est la
plus rentable.
16
Exemple : Pourcentage des souches de logiciels malveillants
bloquées par un échantillon de 17 solutions antivirus
Source : Nominum Data Science
17. LE DNS EST LA STRUCTURE D'INTERNET
• Le DNS fait partie d'une
démarche approfondie de
défense multicouche.
– Degré de protection
graduel
– Simple à mettre en
place
– Protège tous les
appareils
Périmètre
Réseau
Hôte
Application
Données
DNS
18. RECOMMENDATIONS
• Exploitation du DNS en tant que couche de défense
• Verrouillage des requêtes DNS
• Exploitation du DNS à la fois comme :
– Couche de défense
– Aperçu de l’activité du réseau
18