La Saint Hacker tombe le 8 Avril
2014.
Saurez-vous faire face à la fin de
support de Windows XP ?

Edouard Viot
StormShiel...
Problématique fin de support Windows XP
Plus de correctif de sécurité après avril 2014
8 vulnérabilités par mois en moyenn...
Le paradoxe Windows XP
•

Postes de Production

•

•

Postes de paiement CB

Postes classiques

•

•
•

Figés pour plusieu...
Scénario d’intrusion avant 2014
Scénario d’intrusion avant avril 2014

Network

O DAY

Network

Endpoin
t

Endpoint

PATC
H

Patch

CONNU ET MAITRISE

Pat...
Scénario d’intrusion après avril 2014

Network

O DAY

Network

Endpoin
t

Endpoint

PATC
H

Patch

CONNU ET MAITRISE
Advanced Evasion Techniques
Fonctionnement des Advanced Evasion Techniques (AET)
Ces techniques permettent d’éviter la détection et le blocage des att...
Fonctionnement des AET : exemple d’attaque

Détection de l’attaque
sur le réseau

ATTAQUE

SIGNATURE

A

B

C

D

E

F

G
...
Fonctionnement des AET
Fragmentation du message d’attaque

ATTAQUE

FRAGMENTATION

A

B

A

B

C

C

D

E

D

F

E

G

F

...
Fonctionnement des AET
Exemple des techniques d’évasion

MESSAGE
FRAGMENTE

A

B

C

D

E

F

G

H

ENVOI DU MESSAGE AVEC ...
Faiblesse des antivirus
Faiblesse des antivirus

Identifier, neutraliser et éliminer des logiciels malveillants

Base de signatures comparée au fi...
Faiblesse des antivirus

Fonctionnement d’une
base de signature

ATTAQUE

SIGNATURE

A

B

C

D

E

F

G

D

E

F

G

H
Faiblesse des antivirus
Chiffrement du code

MALWARE
NOUVEAU
MALWARE

EXECUTION

A

А

B

C

D

E

F

G

H

Routine de
Б
Ц...
Faiblesse des antivirus
Mutation du code

MALWARE

A

B

C

D

E

F

G

H

AUTRE FORME

A

B

C

D
D

E
Z

F
E

G
Z

F

G
...
Faiblesse des antivirus : moteur heuristique

L’analyse heuristique se base sur un comportement pour déterminer si ce
dern...
Le moteur HIPS de

Identifier, neutraliser et éliminer des logiciels malveillants
Une efficacité prouvée contre les attaqu...
Lancer une attaque sur XP
Avant avril 2014

Après avril 2014

Chercher une vulnérabilité inconnue
ou l’acheter

Attendre l...
Le risque de rebond

La plupart des attaques se découpe en deux phases :
1. Primo-infection d’une machine faible
2. Rebond...
Comment gérer ce nouveau risque ?
Options

Migration
Custom support
Microsoft
Virtualisation / VDI
ExtendedXP
HIPS de StormShield

Service de veille
HIPS

« We particularly like the company's focus on advanced HIPS
techniques to block unknown threats, using a combination...
Offre de service

Chaque vulnérabilité est analysée afin de savoir:
• Si elle peut fonctionner potentiellement sur le post...
Conclusion

Appliquer une protection comportementale qui permet de
bloquer les attaques connues et non connues.
Connaître ...
Merci pour votre attention
N’hésitez pas à poser vos questions

Contact:
Edouard Viot
eviot@arkoon.net
06 79 33 74 97
La Saint Hacker tombe le 8 Avril 2014. Saurez-vous faire face à la fin de support de Windows XP ?
La Saint Hacker tombe le 8 Avril 2014. Saurez-vous faire face à la fin de support de Windows XP ?
La Saint Hacker tombe le 8 Avril 2014. Saurez-vous faire face à la fin de support de Windows XP ?
La Saint Hacker tombe le 8 Avril 2014. Saurez-vous faire face à la fin de support de Windows XP ?
La Saint Hacker tombe le 8 Avril 2014. Saurez-vous faire face à la fin de support de Windows XP ?
La Saint Hacker tombe le 8 Avril 2014. Saurez-vous faire face à la fin de support de Windows XP ?
La Saint Hacker tombe le 8 Avril 2014. Saurez-vous faire face à la fin de support de Windows XP ?
Prochain SlideShare
Chargement dans…5
×

La Saint Hacker tombe le 8 Avril 2014. Saurez-vous faire face à la fin de support de Windows XP ?

1 165 vues

Publié le

A partir du 8 avril 2014, Microsoft cessera les mises à jour de sécurité sous Windows XP. Une aubaine pour les hackers qui, en recherche constante de vulnérabilités, trouveront là un terrain de jeu facile et à la portée des plus novices d'entre eux ! Pour les entreprises qui n’auront pas encore migré ou les systèmes industriels qui ne le pourront pas, les postes sous XP deviendront un cauchemar : maillon faible du SI, ces machines seront LE vecteur d’infection privilégié pour perturber l’entreprise. Venez découvrir lors d’un atelier didactique l'ampleur du problème et étudier les alternatives qui s'offrent à vous pour gérer ce risque et trouver des parades. Session présentée par le partenaire : Arkoon-Netasq

Speakers : Edouard Viot (Arkoon-Netasq)

Publié dans : Technologie
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
1 165
Sur SlideShare
0
Issues des intégrations
0
Intégrations
63
Actions
Partages
0
Téléchargements
24
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

La Saint Hacker tombe le 8 Avril 2014. Saurez-vous faire face à la fin de support de Windows XP ?

  1. 1. La Saint Hacker tombe le 8 Avril 2014. Saurez-vous faire face à la fin de support de Windows XP ? Edouard Viot StormShield Product Marketing Manager Arkoon-Netasq
  2. 2. Problématique fin de support Windows XP Plus de correctif de sécurité après avril 2014 8 vulnérabilités par mois en moyenne depuis deux ans, dont de nombreuses critiques permettant de contrôler la victime. Des postes sans défense Les technologies sur base de signature inefficaces contre les exploitations de vulnérabilité. Tout nouvelle vulnérabilité restera « 0day » ad vitam aeternam. Une recrudescence des attaques Trouver des vulnérabilités coûte cher sur un OS non supporté. Les pirates les moins expérimentés sauront lancer des attaques imparables contre les postes XP.
  3. 3. Le paradoxe Windows XP • Postes de Production • • Postes de paiement CB Postes classiques • • • Figés pour plusieurs années, perte de garantie en cas de migration Risque sur la production en cas de brèche de sécurité Nombreux et dispersés, difficiles à migrer Risque de perte de conformité à PCI DSS Plan de migration en retard Les postes XP seront la tête de pont idéale pour infecter le reste du réseau
  4. 4. Scénario d’intrusion avant 2014
  5. 5. Scénario d’intrusion avant avril 2014 Network O DAY Network Endpoin t Endpoint PATC H Patch CONNU ET MAITRISE Patch
  6. 6. Scénario d’intrusion après avril 2014 Network O DAY Network Endpoin t Endpoint PATC H Patch CONNU ET MAITRISE
  7. 7. Advanced Evasion Techniques
  8. 8. Fonctionnement des Advanced Evasion Techniques (AET) Ces techniques permettent d’éviter la détection et le blocage des attaques par les systèmes de sécurité informatique. Les AET permettent de faire transiter un contenu malveillant sur un système vulnérable en évitant une détection. Utilisation de combinaisons inhabituelles de propriétés de protocoles rarement utilisées.
  9. 9. Fonctionnement des AET : exemple d’attaque Détection de l’attaque sur le réseau ATTAQUE SIGNATURE A B C D E F G D E F G H
  10. 10. Fonctionnement des AET Fragmentation du message d’attaque ATTAQUE FRAGMENTATION A B A B C C D E D F E G F H G H ENVOI DU MESSAGE… RECONSTRUCTION DU MESSAGE PAR L’IPS A B C D E F G
  11. 11. Fonctionnement des AET Exemple des techniques d’évasion MESSAGE FRAGMENTE A B C D E F G H ENVOI DU MESSAGE AVEC UN LONG DELAI ENTRE CHAQUE PARTIE ENVOI DU MESSAGE A B C D E F Objectif : provoquer un timeout de l’IPS pour qu’il arrête d’analyser le message G
  12. 12. Faiblesse des antivirus
  13. 13. Faiblesse des antivirus Identifier, neutraliser et éliminer des logiciels malveillants Base de signatures comparée au fichier à vérifier Méthode heuristique: comportement découvrir un code malveillant par son
  14. 14. Faiblesse des antivirus Fonctionnement d’une base de signature ATTAQUE SIGNATURE A B C D E F G D E F G H
  15. 15. Faiblesse des antivirus Chiffrement du code MALWARE NOUVEAU MALWARE EXECUTION A А B C D E F G H Routine de Б Ц Д déchiffrement Е Ф Г Х Routine de déchiffrement A А B Б C Ц D Д E Е F Ф G Г H Х
  16. 16. Faiblesse des antivirus Mutation du code MALWARE A B C D E F G H AUTRE FORME A B C D D E Z F E G Z F G H SIGNATURE Le malware effectue la même action mais son code est différent ou modifié
  17. 17. Faiblesse des antivirus : moteur heuristique L’analyse heuristique se base sur un comportement pour déterminer si ce dernier est ou non un virus. Cette analyse se fait à l’exécution du programme. Permet de détecter des nouveaux virus et de nouvelles variantes des virus déjà existants. Son efficacité est vraiment faible ou génère un nombre important de faux positifs. Utile sur des souches assez communes, mais pas utile pour des malwares sophistiqués
  18. 18. Le moteur HIPS de Identifier, neutraliser et éliminer des logiciels malveillants Une efficacité prouvée contre les attaques 0day : - 100% des buffer overflows sur Acrobat Reader bloqués - 100% sur Flash Base de signatures comparé au fichier à vérifier - 91% de blocage pour les navigateurs Méthode heuristique: découvrir un code malveillant par son comportement Des attaques célèbres bloquées par StormShield: Conficker, Aurora, Duqu, Bercy, etc.
  19. 19. Lancer une attaque sur XP Avant avril 2014 Après avril 2014 Chercher une vulnérabilité inconnue ou l’acheter Attendre la découverte d’une vulnérabilité sous XP ou OS supérieur Repackager son malware pour qu’il utilise cette vulnérabilité Etudier le rapport et / ou le patch pour exploiter cette vulnérabilité Lancer l’attaque Repackager son malware pour qu’il utilise cette vulnérabilité Renouveler l’opération quand un patch aura été publié pour cette vulnérabilité Lancer l’attaque Entre 3 et 12 mois / Entre 10 000 et 100 000 euros Immédiat, gratuit
  20. 20. Le risque de rebond La plupart des attaques se découpe en deux phases : 1. Primo-infection d’une machine faible 2. Rebond vers les machines « cibles » Les postes Windows XP, mêmes minoritaires, seront des vecteurs d’infection massifs.
  21. 21. Comment gérer ce nouveau risque ?
  22. 22. Options Migration Custom support Microsoft Virtualisation / VDI ExtendedXP
  23. 23. HIPS de StormShield Service de veille
  24. 24. HIPS « We particularly like the company's focus on advanced HIPS techniques to block unknown threats, using a combination of configuration policies, such as application control, very fine-grained device control and a flexible firewall policy, as well as proactive HIPS capabilities, such as features for blocking keyloggers and targeted attacks designed from the ground up to work together » Gartner
  25. 25. Offre de service Chaque vulnérabilité est analysée afin de savoir: • Si elle peut fonctionner potentiellement sur le poste du client • Si StormShield la bloque de manière proactive Pour chaque vulnérabilité, un rapport est fourni avec: • Description de la vulnérabilité • Si StormShield ne bloque pas, des conseils sont donnés pour être en mesure de la bloquer (par configuration de StormShield ou du système d’exploitation)
  26. 26. Conclusion Appliquer une protection comportementale qui permet de bloquer les attaques connues et non connues. Connaître les vulnérabilités qui peuvent toucher le poste, savoir s’en prémunir. Il est primordial de connaître le risque auquel nous faisons face, de savoir si nous le gérons par rapport à l’existant, et sinon comment le traiter.
  27. 27. Merci pour votre attention N’hésitez pas à poser vos questions Contact: Edouard Viot eviot@arkoon.net 06 79 33 74 97

×