SlideShare une entreprise Scribd logo
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin
Présentation du Projet de Fin d’Études
Pour l’Obtention du Diplôme d’Ingénieur d’État
en Télécommunications et Technologies de l’Information
Étude et benchmark de solutions Sandboxing
Étudier les solutions de Sandboxing disponibles sur le marché et établir des recommandations et
bonnes pratiques de solutions de détection proactive de menaces avancées.
Réalisée par :
M. AOUAD Zakaria
Membres du jury :
M. BELMEKKI El Mostapha [Encadrant - INPT]
M. BATTAS Ahmed [Examinateur 1 - INPT]
M. BAINAAmine [Examinateur 2 - INPT]
M. AIT KADDOUR Azeddine [Parrain - CBI]
1/30
Analyse et conception
2
Contexte du projet
1
Étude technique de la solution
3
Benchmark des produits de la solution
4
Mise en place, déroulement et test
5
Conclusion et perspectives
6
Plan
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 2/30
Organisme d’accueil Présentation du projet
CBI
1 Contexte du projet 2 3 4 5 6
Problématiques et objectifs Conduite du projet
• Multinationale Marocaine
• Créée en 1970
• Existe dans 7 villes au Maroc
• 3 pays à échelle internationale
• Secteurs d’activités
• Organisation CBI
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 3/30
Organisme d’accueil Présentation du projet
1 Contexte du projet 2 3 4 5 6
Problématiques et objectifs Conduite du projet
Sécurité
informatique
Techniques
Organisationnels
Juridiques
Humains
Intégrité
Disponibilité
Confidentialité
Existant
Sandbox
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 4/30
Organisme d’accueil Présentation du projet
1 Contexte du projet 2 3 4 5 6
Problématiques et objectifs Conduite du projet
Problématiques
Naissance et développement des ‘menaces récentes’.
Accroissement du taux de risque d'être attaqué.
Contrainte du temps de traitement des fichiers.
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 5/30
Organisme d’accueil Présentation du projet
1 Contexte du projet 2 3 4 5 6
Problématique et objectifs Conduite du projet
Objectifs
Diminuer ,voire limiter, la vulnérabilité de pénétration des réseaux d’entreprise.
Éviter l’accès ainsi que les modifications des ressources et des biens sensibles sans autorisation.
Détecter les différentes ‘menaces récentes’ dans un délai exacte, prédéfini et surtout court.
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 6/30
Organisme d’accueil Présentation du projet
1 Contexte du projet 2 3 4 5 6
Problématique et objectifs Conduite du projet
Diagramme de Gantt
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 7/30
Analyse de la théorie et des hypothèses
2 Analyse et conception
1 3 4 5 6
Architecture LAN Constat et résultats
Théorie
PME
Communications intranet/internet des utilisateurs ?
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 8/30
Analyse de la théorie et des hypothèses
2 Analyse et conception
1 3 4 5 6
Architecture LAN Constat et résultats
Analyse des hypothèses
Simplification
d’administration du réseau
et distribution dynamique
de sa configuration
Résolution bidirectionnelle
entre l’adresse IP et le nom
de domaine
Assurer la messagerie
sécurisée
Création d’environnement
de partage et de
téléchargement des
fichiers
Serveur DHCP Serveur DNS Serveur Mail Serveur de partage
Stockage des scripts
backend et frontend des
sites-web
Serveur Web Backend
Gestion des requêtes web
client/serveur
Serveur Proxy
Stockage des biens, des
données, des fichiers et des
informations vulnérables
Serveur Base de données
Gestion d’accès à ces
différentes biens
Serveur d’Authentification
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 9/30
Analyse de la théorie et des hypothèses
2 Analyse et conception
1 3 4 5 6
Architecture LAN Constat et résultats
Architecture réseau local sécurisée
Load balancer
distribuer des demandes
en fonction de données
spécifiques à
l'application
augmenter la capacité
(utilisateurs simultanés)
et la fiabilité des
applications.
répartissent les
demandes en fonction
des données contenues
dans les protocoles de
couche d'application
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 10/30
IPS
Mécanisme de
prévention de toute
activité suspecte
Réagissant en temps
réel en stoppant le
trafic suspect en
bloquant le port
1er niveau du firewalling
2ème niveau du firewalling
Routeurs
Switch
Analyse de la théorie et des hypothèses
2 Analyse et conception
1 3 4 5 6
Architecture LAN Constat et résultats
Protection contre les menaces prédéfinies.
Constat
Protection contre les intrusions.
Protection contre les attaques de signatures déterminées.
Vulnérabilité à 30%.
Résultats
Les attaques
Zero Days
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 11/30
Analyse de la théorie et des hypothèses
2 Analyse et conception
1 3 4 5 6
Architecture LAN Constat et résultats
Attaques Zero Days
Une attaque ZeroDays est une menace qui exploite une vulnérabilité inconnue.
Toute menace qui n’a jamais été vue ou traitée.
Les menaces Zero Days ne sont pas détectées par les antivirus.
Chaque année, plus que 12 exploits Zero Days se publient.
Microsoft et Google offrent des récompenses financières pouvant aller jusqu’à 100 000 dollars.
- Heartbleed
- Aurora
- Le piratage de RSA
- Stuxnet de l'Agence Internationale de l'Énergie Atomique (AIEA)
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 12/30
Sandbox
Sandbox
3 Étude de la technologie Sandbox
1 2 4 5 6
Principe Relation Antivirus/Sandbox
Définition de la technologie
Flexibilité Sandbox
Un environnement isolé pour exécuter un programme qui n’aurait pas été testé, certifié ou dont on ignore
la provenance.
Elle analyse et trie les fichiers entrants avant qu'ils n'interagissent avec les postes de travail ou serveurs
de l'entreprise.
Le principe du Sandboxing consiste à décompresser ces fichiers afin de vérifier leur intégrité et de
détecter d’éventuels virus et malwares en recréant l’environnement utilisateur.
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 14/30
Sandbox
3 Étude de la technologie Sandbox
1 2 4 5 6
Principe Relation Antivirus/Sandbox
Principe de fonctionnement
Flexibilité Sandbox
Nouveau
fichier
Lancement
Test de
comportement
Décision
finale
Fin du test
Exécution dans un environnement
virtualisé qui est totalement
déconnecté des serveurs internes
de l'entreprise.
La Sandbox «lance» le fichier suspect et regarde ce qu'il se passe.
Si son comportement est tout à
fait normal, il est noté comme
sain. Sinon, il sera identifié
comme une vraie menace.
La menace est totalement
maîtrisée avant qu’elle ne
réalise ses dégâts.
- Analyse de la réputation
- Emulation en temps réel
- Décompression
- Machine learning
La Sandbox «lance» et essaye de decortiquer le malware.
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 15/30
Sandbox
3 Étude de la technologie Sandbox
1 2 4 5 6
Principe Relation Antivirus/Sandbox
Rapport d’affinité entre la Sandbox et l’antivirus
Flexibilité Sandbox
Une Sandbox voit ce que les antivirus ne voient pas.
le Sandboxing complète le rôle de l'antivirus, car les deux outils fonctionnent très différemment.
On estime aujourd'hui qu'un antivirus détecte 60% des menaces.
En y ajoutant une fonction de Sandboxing, ce taux repasse alors à plus de 95%.
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 16/30
Sandbox
3 Étude de la technologie Sandbox
1 2 4 5 6
Principe Relation Antivirus/Sandbox
Avantages
Flexibilité Sandbox
Grâce à la baisse des coûts régulière de la virtualisation et la croissance du cloud, les technologies utilisées
par les Sandboxes sont plus facilement accessibles et mutualisables.
Traitement dans quelques minutes et reporting prêt à diffuser et à consulter.
Multi Choix de déploiement:
Cloud publique
Cloud privé
Déploiement locale
Déploiement hybride
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 17/30
Description
4 Étude et Benchmark des Solutions Sandboxing
1 2 3 5 6
Benchmark technique Benchmark commercial
Description des produits
• FSA-500F
• FSA-1000F
• FSA-2000
• FSA-3000
• ATD 3000
• ATD 6000
• ATD 3100
• ATD 6100
• Wildfire 500
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 18/30
Description
4 Étude et Benchmark des Solutions Sandboxing
1 2 3 5 6
Benchmark technique Benchmark commercial
FortiSandbox
Base de données
Signatures antivirus extrêmes qui ont pu être manqué
P.J. URL
- Inspection
- Analyse avancée
GUI
Fichier téléchargé dans
l’environnement de test.
GUI
Soumission d’URL pour
l’identification des pages
web ainsi que leur
contenu
Analyse du
comportement
% à chaque
inspection
Total
Niveau du
risque
Faible moyen élevé
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 19/30
Description
4 Étude et Benchmark des Solutions Sandboxing
1 2 3 5 6
Benchmark technique Benchmark commercial
Wildfire
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 20/30
NGFW PAN
Vérification de
l’autorisation de la
signature
Autorisé Non autorisé
Hachage
Calcule
Vérification BD
Présence
d’hachage
dans Wildfire
Pas de
Présence
d’hachage
Verdict
Pas de
Présence
d’hachage
Benign Grayware Phishing Malware
Vérification
de taille et
comparaison
Supérieur
Inférieur
Analyse
de
Wildfire
Verdict
Générer la
signature de
l’échantillon
Description
4 Étude et Benchmark des Solutions Sandboxing
1 2 3 5 6
Benchmark technique Benchmark commercial
Analyse de l’échantillon
ATD
Détection des malwares
facilement identifiables
Décortiquer le comportement
de l’échantillon
- Signatures des virus
- Analyse de la réputation
- Émulation en temps réel
Détection des malwares
furtives et avancées
- Analyse statique approfondie
- Décompression
- Machine Learning
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 21/30
Sévérité
-6 -2 -1 0 1 2 3 4 5
Description
4 Étude et Benchmark des Solutions Sandboxing
1 2 3 5 6
Benchmark technique Benchmark commercial
Paramètres du benchmark technique
Paramètres
De
jugement
OS
supportés
Mode
d’existence
Protocoles
supportés
Fichiers
supportés
Durée de
traitement
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 22/30
Description
4 Étude et Benchmark des Solutions Sandboxing
1 2 3 5 6
Benchmark technique Benchmark commercial
Prix des solutions Sandboxing
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 23/30
Environnement du test
5 Mise en place, déroulement et test
1 2 3 4 6
Configuration Test
Préparation du laboratoire du test
Outils utilisés :
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 24/30
Environnement du test
5 Mise en place, déroulement et test
1 2 3 4 6
Configuration Test
Étapes majeures de la configuration
Configuration réseau :
Définir les zones et les interfaces.
Créer et définir les profils de management.
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 25/30
Wildfire
Configuration Wildfire :
Définir la taille maximale/extensions.
Affecter le lien du cloud public/adresse du serveur du cloud privée.
Environnement du test
5 Mise en place, déroulement et test
1 2 3 4 6
Configuration Test
Étapes majeures de la configuration
FortiSandbox
Configuration réseau de FortiSandbox et
FortiGate.
Configuration de FortiGate comme
passerelle pour FortiSandbox.
Création d’un compte valide pour la
réception des alertes.
Activation de Sandboxing au niveau de
FortiGate et tester les connexions.
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 26/30
Environnement du test
5 Mise en place, déroulement et test
1 2 3 4 6
Configuration Test
Méthodologies du test
L’utilisation de la console de Metasploit pour exploiter les failles sur le système d’exploitation.
L’utilisation du Python pour créer un script d’un fichier infecté.
L’utilisation du langage Java pour préparer un fichier de changement d’hachage.
L’utilisation des fichiers prédéfinis de test publiés par les vendeurs des produits Sandbox.
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 27/30
Msfvenom
Conclusion
5 Conclusion et perspectives
1 2 3 4 6
perspectives
Récapitulatif
Proposition d’une architecture d’un réseau local sécurisé.
Étude technique de la technologie Sandbox.
Étude explicite des solutions Sandboxing.
Déploiement et configuration des différentes solutions.
Un benchmark technique et commerciale.
Résultats du benchmark
Principes
de la
sécurité
Capital
Largeur
Métiers
Les
biens
Flux
des
données
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 28/30
Conclusion
5 Conclusion et perspectives
1 2 3 4 6
perspectives
Future visions
Validation des tests.
Développement d’un fichier infecté.
Amélioration d’une solution Sandbox OpenSource.
Développement d’une solution Sandbox from scratch.
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 29/30
Merci de votre
attention!
Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin
Présentation du Projet de Fin d’Études
Pour l’Obtention du Diplôme d’Ingénieur d’État
en Télécommunications et Technologies de l’Information
Étude et benchmark de solutions Sandboxing
Étudier les solutions de Sandboxing disponibles sur le marché et établir des recommandations et
bonnes pratiques de solutions de détection proactive de menaces avancées.
Réalisée par :
M. AOUAD Zakaria
Membres du jury :
M. BELMEKKI El Mostapha [Encadrant - INPT]
M. BATTAS Ahmed [Examinateur 1 - INPT]
M. BAINAAmine [Examinateur 2 - INPT]
M. AIT KADDOUR Azeddine [Parrain - CBI]
1/30

Contenu connexe

Tendances

Supervision V2 ppt
Supervision V2 pptSupervision V2 ppt
Supervision V2 ppt
jeehane
 
Supervision de réseau informatique - Nagios
Supervision de réseau informatique - NagiosSupervision de réseau informatique - Nagios
Supervision de réseau informatique - Nagios
Aziz Rgd
 

Tendances (20)

Mémoire : Cloud iaas Slim Hannachi
Mémoire :  Cloud iaas Slim HannachiMémoire :  Cloud iaas Slim Hannachi
Mémoire : Cloud iaas Slim Hannachi
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemes
 
Rapport stage
Rapport stageRapport stage
Rapport stage
 
Supervision informatique
Supervision informatiqueSupervision informatique
Supervision informatique
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
 
Installation de snort avec pulled pork
Installation de snort avec pulled porkInstallation de snort avec pulled pork
Installation de snort avec pulled pork
 
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
 
Rapport projet fin d'étude
Rapport projet fin d'étudeRapport projet fin d'étude
Rapport projet fin d'étude
 
Rapport de projet de fin d"études
Rapport de projet de fin d"étudesRapport de projet de fin d"études
Rapport de projet de fin d"études
 
Rapport PFE: PIM (Product Information Management) - A graduation project repo...
Rapport PFE: PIM (Product Information Management) - A graduation project repo...Rapport PFE: PIM (Product Information Management) - A graduation project repo...
Rapport PFE: PIM (Product Information Management) - A graduation project repo...
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)
 
Supervision V2 ppt
Supervision V2 pptSupervision V2 ppt
Supervision V2 ppt
 
Rapport PFE VoIP
Rapport PFE VoIPRapport PFE VoIP
Rapport PFE VoIP
 
Rapport de Stage PFE - Développement d'un Projet ALTEN MAROC Concernant le Sy...
Rapport de Stage PFE - Développement d'un Projet ALTEN MAROC Concernant le Sy...Rapport de Stage PFE - Développement d'un Projet ALTEN MAROC Concernant le Sy...
Rapport de Stage PFE - Développement d'un Projet ALTEN MAROC Concernant le Sy...
 
Supervision de réseau informatique - Nagios
Supervision de réseau informatique - NagiosSupervision de réseau informatique - Nagios
Supervision de réseau informatique - Nagios
 
Cours - Supervision SysRes et Présentation de Nagios
Cours - Supervision SysRes et Présentation de NagiosCours - Supervision SysRes et Présentation de Nagios
Cours - Supervision SysRes et Présentation de Nagios
 
Mise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseauMise en place d'une solution du supérvision réseau
Mise en place d'une solution du supérvision réseau
 
Protection-dun-réseau-dentreprise-via-un-firewall.pdf
Protection-dun-réseau-dentreprise-via-un-firewall.pdfProtection-dun-réseau-dentreprise-via-un-firewall.pdf
Protection-dun-réseau-dentreprise-via-un-firewall.pdf
 
Rapport atef
Rapport atefRapport atef
Rapport atef
 

Similaire à Sandbox technology

SecuriteReseauxSecuriteReseauxSecuriteReseaux
SecuriteReseauxSecuriteReseauxSecuriteReseauxSecuriteReseauxSecuriteReseauxSecuriteReseaux
SecuriteReseauxSecuriteReseauxSecuriteReseaux
mia884611
 

Similaire à Sandbox technology (20)

PRESENTTION_DU_PROJET_DE_SUPER_021337.docx
PRESENTTION_DU_PROJET_DE_SUPER_021337.docxPRESENTTION_DU_PROJET_DE_SUPER_021337.docx
PRESENTTION_DU_PROJET_DE_SUPER_021337.docx
 
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
2016 12-14 - Colloque SSI - L'analyse des risques intégrés aux projets si
 
Habilitation to conduct research (Habilitation à diriger des recherches)
Habilitation to conduct research (Habilitation à diriger des recherches)Habilitation to conduct research (Habilitation à diriger des recherches)
Habilitation to conduct research (Habilitation à diriger des recherches)
 
Cc Presentation Tsec Tri(31mai2010)
Cc Presentation Tsec Tri(31mai2010)Cc Presentation Tsec Tri(31mai2010)
Cc Presentation Tsec Tri(31mai2010)
 
Développement d’un outil en HTML5 pour la déclaration d’incident en contexte ...
Développement d’un outil en HTML5 pour la déclaration d’incident en contexte ...Développement d’un outil en HTML5 pour la déclaration d’incident en contexte ...
Développement d’un outil en HTML5 pour la déclaration d’incident en contexte ...
 
SecuriteReseauxSecuriteReseauxSecuriteReseaux
SecuriteReseauxSecuriteReseauxSecuriteReseauxSecuriteReseauxSecuriteReseauxSecuriteReseaux
SecuriteReseauxSecuriteReseauxSecuriteReseaux
 
Rapport Splunk.pdf
Rapport Splunk.pdfRapport Splunk.pdf
Rapport Splunk.pdf
 
Analyse de la propriete intellectuel
Analyse de la propriete intellectuelAnalyse de la propriete intellectuel
Analyse de la propriete intellectuel
 
Security Day "Définitions, Risques et Droits" par Fouad Guenane
Security Day "Définitions, Risques et Droits" par  Fouad Guenane Security Day "Définitions, Risques et Droits" par  Fouad Guenane
Security Day "Définitions, Risques et Droits" par Fouad Guenane
 
Pfe m2 glsi_elhadji_yacouba
Pfe m2 glsi_elhadji_yacoubaPfe m2 glsi_elhadji_yacouba
Pfe m2 glsi_elhadji_yacouba
 
Gestion ddes risques
Gestion ddes risquesGestion ddes risques
Gestion ddes risques
 
De l’open source à l’open cloud
De l’open source à l’open cloudDe l’open source à l’open cloud
De l’open source à l’open cloud
 
Présentation finale.pptx
Présentation finale.pptxPrésentation finale.pptx
Présentation finale.pptx
 
OUTILS de GOUVERNANCE de l'UGAIA
OUTILS de GOUVERNANCE de l'UGAIAOUTILS de GOUVERNANCE de l'UGAIA
OUTILS de GOUVERNANCE de l'UGAIA
 
FIC 2018 Presentation & Demo - 23 & 24 January
FIC 2018 Presentation & Demo - 23 & 24 JanuaryFIC 2018 Presentation & Demo - 23 & 24 January
FIC 2018 Presentation & Demo - 23 & 24 January
 
Snort
SnortSnort
Snort
 
Fichier récupéré 1
Fichier récupéré 1Fichier récupéré 1
Fichier récupéré 1
 
Modélisation et simulation des réseaux L2 Info UKA 2024.pptx
Modélisation et simulation des réseaux L2 Info UKA 2024.pptxModélisation et simulation des réseaux L2 Info UKA 2024.pptx
Modélisation et simulation des réseaux L2 Info UKA 2024.pptx
 
VOIP.pdf
VOIP.pdfVOIP.pdf
VOIP.pdf
 
output
outputoutput
output
 

Sandbox technology

  • 1. Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin Présentation du Projet de Fin d’Études Pour l’Obtention du Diplôme d’Ingénieur d’État en Télécommunications et Technologies de l’Information Étude et benchmark de solutions Sandboxing Étudier les solutions de Sandboxing disponibles sur le marché et établir des recommandations et bonnes pratiques de solutions de détection proactive de menaces avancées. Réalisée par : M. AOUAD Zakaria Membres du jury : M. BELMEKKI El Mostapha [Encadrant - INPT] M. BATTAS Ahmed [Examinateur 1 - INPT] M. BAINAAmine [Examinateur 2 - INPT] M. AIT KADDOUR Azeddine [Parrain - CBI] 1/30
  • 2. Analyse et conception 2 Contexte du projet 1 Étude technique de la solution 3 Benchmark des produits de la solution 4 Mise en place, déroulement et test 5 Conclusion et perspectives 6 Plan Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 2/30
  • 3. Organisme d’accueil Présentation du projet CBI 1 Contexte du projet 2 3 4 5 6 Problématiques et objectifs Conduite du projet • Multinationale Marocaine • Créée en 1970 • Existe dans 7 villes au Maroc • 3 pays à échelle internationale • Secteurs d’activités • Organisation CBI Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 3/30
  • 4. Organisme d’accueil Présentation du projet 1 Contexte du projet 2 3 4 5 6 Problématiques et objectifs Conduite du projet Sécurité informatique Techniques Organisationnels Juridiques Humains Intégrité Disponibilité Confidentialité Existant Sandbox Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 4/30
  • 5. Organisme d’accueil Présentation du projet 1 Contexte du projet 2 3 4 5 6 Problématiques et objectifs Conduite du projet Problématiques Naissance et développement des ‘menaces récentes’. Accroissement du taux de risque d'être attaqué. Contrainte du temps de traitement des fichiers. Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 5/30
  • 6. Organisme d’accueil Présentation du projet 1 Contexte du projet 2 3 4 5 6 Problématique et objectifs Conduite du projet Objectifs Diminuer ,voire limiter, la vulnérabilité de pénétration des réseaux d’entreprise. Éviter l’accès ainsi que les modifications des ressources et des biens sensibles sans autorisation. Détecter les différentes ‘menaces récentes’ dans un délai exacte, prédéfini et surtout court. Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 6/30
  • 7. Organisme d’accueil Présentation du projet 1 Contexte du projet 2 3 4 5 6 Problématique et objectifs Conduite du projet Diagramme de Gantt Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 7/30
  • 8. Analyse de la théorie et des hypothèses 2 Analyse et conception 1 3 4 5 6 Architecture LAN Constat et résultats Théorie PME Communications intranet/internet des utilisateurs ? Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 8/30
  • 9. Analyse de la théorie et des hypothèses 2 Analyse et conception 1 3 4 5 6 Architecture LAN Constat et résultats Analyse des hypothèses Simplification d’administration du réseau et distribution dynamique de sa configuration Résolution bidirectionnelle entre l’adresse IP et le nom de domaine Assurer la messagerie sécurisée Création d’environnement de partage et de téléchargement des fichiers Serveur DHCP Serveur DNS Serveur Mail Serveur de partage Stockage des scripts backend et frontend des sites-web Serveur Web Backend Gestion des requêtes web client/serveur Serveur Proxy Stockage des biens, des données, des fichiers et des informations vulnérables Serveur Base de données Gestion d’accès à ces différentes biens Serveur d’Authentification Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 9/30
  • 10. Analyse de la théorie et des hypothèses 2 Analyse et conception 1 3 4 5 6 Architecture LAN Constat et résultats Architecture réseau local sécurisée Load balancer distribuer des demandes en fonction de données spécifiques à l'application augmenter la capacité (utilisateurs simultanés) et la fiabilité des applications. répartissent les demandes en fonction des données contenues dans les protocoles de couche d'application Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 10/30 IPS Mécanisme de prévention de toute activité suspecte Réagissant en temps réel en stoppant le trafic suspect en bloquant le port 1er niveau du firewalling 2ème niveau du firewalling Routeurs Switch
  • 11. Analyse de la théorie et des hypothèses 2 Analyse et conception 1 3 4 5 6 Architecture LAN Constat et résultats Protection contre les menaces prédéfinies. Constat Protection contre les intrusions. Protection contre les attaques de signatures déterminées. Vulnérabilité à 30%. Résultats Les attaques Zero Days Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 11/30
  • 12. Analyse de la théorie et des hypothèses 2 Analyse et conception 1 3 4 5 6 Architecture LAN Constat et résultats Attaques Zero Days Une attaque ZeroDays est une menace qui exploite une vulnérabilité inconnue. Toute menace qui n’a jamais été vue ou traitée. Les menaces Zero Days ne sont pas détectées par les antivirus. Chaque année, plus que 12 exploits Zero Days se publient. Microsoft et Google offrent des récompenses financières pouvant aller jusqu’à 100 000 dollars. - Heartbleed - Aurora - Le piratage de RSA - Stuxnet de l'Agence Internationale de l'Énergie Atomique (AIEA) Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 12/30
  • 14. Sandbox 3 Étude de la technologie Sandbox 1 2 4 5 6 Principe Relation Antivirus/Sandbox Définition de la technologie Flexibilité Sandbox Un environnement isolé pour exécuter un programme qui n’aurait pas été testé, certifié ou dont on ignore la provenance. Elle analyse et trie les fichiers entrants avant qu'ils n'interagissent avec les postes de travail ou serveurs de l'entreprise. Le principe du Sandboxing consiste à décompresser ces fichiers afin de vérifier leur intégrité et de détecter d’éventuels virus et malwares en recréant l’environnement utilisateur. Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 14/30
  • 15. Sandbox 3 Étude de la technologie Sandbox 1 2 4 5 6 Principe Relation Antivirus/Sandbox Principe de fonctionnement Flexibilité Sandbox Nouveau fichier Lancement Test de comportement Décision finale Fin du test Exécution dans un environnement virtualisé qui est totalement déconnecté des serveurs internes de l'entreprise. La Sandbox «lance» le fichier suspect et regarde ce qu'il se passe. Si son comportement est tout à fait normal, il est noté comme sain. Sinon, il sera identifié comme une vraie menace. La menace est totalement maîtrisée avant qu’elle ne réalise ses dégâts. - Analyse de la réputation - Emulation en temps réel - Décompression - Machine learning La Sandbox «lance» et essaye de decortiquer le malware. Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 15/30
  • 16. Sandbox 3 Étude de la technologie Sandbox 1 2 4 5 6 Principe Relation Antivirus/Sandbox Rapport d’affinité entre la Sandbox et l’antivirus Flexibilité Sandbox Une Sandbox voit ce que les antivirus ne voient pas. le Sandboxing complète le rôle de l'antivirus, car les deux outils fonctionnent très différemment. On estime aujourd'hui qu'un antivirus détecte 60% des menaces. En y ajoutant une fonction de Sandboxing, ce taux repasse alors à plus de 95%. Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 16/30
  • 17. Sandbox 3 Étude de la technologie Sandbox 1 2 4 5 6 Principe Relation Antivirus/Sandbox Avantages Flexibilité Sandbox Grâce à la baisse des coûts régulière de la virtualisation et la croissance du cloud, les technologies utilisées par les Sandboxes sont plus facilement accessibles et mutualisables. Traitement dans quelques minutes et reporting prêt à diffuser et à consulter. Multi Choix de déploiement: Cloud publique Cloud privé Déploiement locale Déploiement hybride Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 17/30
  • 18. Description 4 Étude et Benchmark des Solutions Sandboxing 1 2 3 5 6 Benchmark technique Benchmark commercial Description des produits • FSA-500F • FSA-1000F • FSA-2000 • FSA-3000 • ATD 3000 • ATD 6000 • ATD 3100 • ATD 6100 • Wildfire 500 Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 18/30
  • 19. Description 4 Étude et Benchmark des Solutions Sandboxing 1 2 3 5 6 Benchmark technique Benchmark commercial FortiSandbox Base de données Signatures antivirus extrêmes qui ont pu être manqué P.J. URL - Inspection - Analyse avancée GUI Fichier téléchargé dans l’environnement de test. GUI Soumission d’URL pour l’identification des pages web ainsi que leur contenu Analyse du comportement % à chaque inspection Total Niveau du risque Faible moyen élevé Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 19/30
  • 20. Description 4 Étude et Benchmark des Solutions Sandboxing 1 2 3 5 6 Benchmark technique Benchmark commercial Wildfire Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 20/30 NGFW PAN Vérification de l’autorisation de la signature Autorisé Non autorisé Hachage Calcule Vérification BD Présence d’hachage dans Wildfire Pas de Présence d’hachage Verdict Pas de Présence d’hachage Benign Grayware Phishing Malware Vérification de taille et comparaison Supérieur Inférieur Analyse de Wildfire Verdict Générer la signature de l’échantillon
  • 21. Description 4 Étude et Benchmark des Solutions Sandboxing 1 2 3 5 6 Benchmark technique Benchmark commercial Analyse de l’échantillon ATD Détection des malwares facilement identifiables Décortiquer le comportement de l’échantillon - Signatures des virus - Analyse de la réputation - Émulation en temps réel Détection des malwares furtives et avancées - Analyse statique approfondie - Décompression - Machine Learning Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 21/30 Sévérité -6 -2 -1 0 1 2 3 4 5
  • 22. Description 4 Étude et Benchmark des Solutions Sandboxing 1 2 3 5 6 Benchmark technique Benchmark commercial Paramètres du benchmark technique Paramètres De jugement OS supportés Mode d’existence Protocoles supportés Fichiers supportés Durée de traitement Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 22/30
  • 23. Description 4 Étude et Benchmark des Solutions Sandboxing 1 2 3 5 6 Benchmark technique Benchmark commercial Prix des solutions Sandboxing Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 23/30
  • 24. Environnement du test 5 Mise en place, déroulement et test 1 2 3 4 6 Configuration Test Préparation du laboratoire du test Outils utilisés : Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 24/30
  • 25. Environnement du test 5 Mise en place, déroulement et test 1 2 3 4 6 Configuration Test Étapes majeures de la configuration Configuration réseau : Définir les zones et les interfaces. Créer et définir les profils de management. Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 25/30 Wildfire Configuration Wildfire : Définir la taille maximale/extensions. Affecter le lien du cloud public/adresse du serveur du cloud privée.
  • 26. Environnement du test 5 Mise en place, déroulement et test 1 2 3 4 6 Configuration Test Étapes majeures de la configuration FortiSandbox Configuration réseau de FortiSandbox et FortiGate. Configuration de FortiGate comme passerelle pour FortiSandbox. Création d’un compte valide pour la réception des alertes. Activation de Sandboxing au niveau de FortiGate et tester les connexions. Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 26/30
  • 27. Environnement du test 5 Mise en place, déroulement et test 1 2 3 4 6 Configuration Test Méthodologies du test L’utilisation de la console de Metasploit pour exploiter les failles sur le système d’exploitation. L’utilisation du Python pour créer un script d’un fichier infecté. L’utilisation du langage Java pour préparer un fichier de changement d’hachage. L’utilisation des fichiers prédéfinis de test publiés par les vendeurs des produits Sandbox. Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 27/30 Msfvenom
  • 28. Conclusion 5 Conclusion et perspectives 1 2 3 4 6 perspectives Récapitulatif Proposition d’une architecture d’un réseau local sécurisé. Étude technique de la technologie Sandbox. Étude explicite des solutions Sandboxing. Déploiement et configuration des différentes solutions. Un benchmark technique et commerciale. Résultats du benchmark Principes de la sécurité Capital Largeur Métiers Les biens Flux des données Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 28/30
  • 29. Conclusion 5 Conclusion et perspectives 1 2 3 4 6 perspectives Future visions Validation des tests. Développement d’un fichier infecté. Amélioration d’une solution Sandbox OpenSource. Développement d’une solution Sandbox from scratch. Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin 29/30
  • 31. Projet de Fin d'Études - Année universitaire 2018/2019 – Session Juin Présentation du Projet de Fin d’Études Pour l’Obtention du Diplôme d’Ingénieur d’État en Télécommunications et Technologies de l’Information Étude et benchmark de solutions Sandboxing Étudier les solutions de Sandboxing disponibles sur le marché et établir des recommandations et bonnes pratiques de solutions de détection proactive de menaces avancées. Réalisée par : M. AOUAD Zakaria Membres du jury : M. BELMEKKI El Mostapha [Encadrant - INPT] M. BATTAS Ahmed [Examinateur 1 - INPT] M. BAINAAmine [Examinateur 2 - INPT] M. AIT KADDOUR Azeddine [Parrain - CBI] 1/30

Notes de l'éditeur

  1. Mon projet s’integer dans le domaine de la SI, volet technique qui s’articule sur CDI les autres selon le cas et le besoin.. Traditionnelement l’Utilisateur est proteger par…. Apres l’apparition d’un type d’attaque qu’on appelera pour l’instant …. L’Utilisateur est devenu vulnerable a ce type d’attauqe, et c’est pour ca on a recout a la technologie Sandbox qu’on explicitera par la suite.
  2. Pour bien entamner le sujet on a suivi un planning que je vous le presente sous forme d’un diagramme de gantt . Tout d’abord, on a commence par une etude generaliste de quelques equipements de la securite dans le but de la propostion d’architecture. Et puis on a switcher vers l’etude du comportement de la technologie Sandbox et puis on a commencer l’etude de quelques solutions Sandbox pour aboutir a un resultat par la suite via un benchmark. L’etape d’installation, configuration et test vient en dernier lieu pour enricher les etudes deja etablie.
  3. Jusqu’a mtn on est protégé de …… mais on est tjrs vulnerable aux attaques qui s’appelles les attaques Zero days
  4. En effet, il ne sont pas detectees prq (cause: changement de hachage => changement de signature => signature non détectable par la BD des antivirus, le polymorphisme) De nombreuses organisations offrent des primes à ceux qui découvrent des vulnérabilités zero-day dans leurs logiciels…. , pour les vulnérabilités qui leur sont directement signalées. attaques zero-day renommées : - openSSL - victime Google apres qu’elle a quite la chine (problèmes diplomatiques) – grande companie de la cybersecurity
  5. Losque le reseau d’entreprise recoit un fichier et que le pare-feu n’arrive pas a l’identifier, il l’envoie a la Sandbox Qq attaques qui sont programmes a donner affet apres un bout de temps
  6. La sandbox est une tech tres flexible surtout grace a la baisse des couts….
  7. Avant de commencer, rappel sur la def benchmark
  8. Dans un premier temps, on a essaye la method msfvenom qui necessite comme parameter l’@ IP et le port et le listener => copie du fichier chez le victim selon l’extension, des qu’il l’ouvre un reverse tcp se lance (firewall interdit les session ssl tcp telnet direct depuis l’exterieur)
  9. - Autres parametres qui vont affecter le choix (pas de cahiers de charges)