SAFE&SMARTSOLUTIONS. Atelier «Contrer les menaces USB» Les Assises de la Sécurité & des Systèmes d Information 30/09/2015

Transcription

1 BT.D46.D SAFE&SMARTSOLUTIONS Atelier «Contrer les menaces USB» Les Assises de la Sécurité & des Systèmes d Information 30/09/2015

2 2 I. La menace USB est-elle «has been»? 1. De quoi parle-t-on? 2. Des usages et risques variés 3. Recommandations de l ANSSI II. Quelles solutions pour contrer la menace USB? 1. Analyse des menaces 2. Mesures organisationnelles 3. Mesures techniques 4. Solutions de défense en profondeur

3 3 LA MENACE USB EST-ELLE «HAS BEEN»?

4 De quoi parle-t-on? 4 La clé USB Utilisée tous les jours pour le transport et l échange de données Espace de Stockage Peut être pillé ou servir de vecteur de transport à une charge virale Le vecteur d attaques connues (p.ex.: Stuxnet, Duqu, ) Firmware Peut être reprogrammé de manière à prendre le contrôle du PC de l utilisateur et au-delà (cf. BadUSB) et tous les objets USB compatibles Smartphones Espaces de stockage Appareils photos Transfert d importants volumes de données Autres objets à connectique USB Récupération de données Recharge de batteries, sans oublier les passerelles établies entre objets connectés entre eux (iwatch, déports d affichage, etc.) Nous sommes entourés d objets à connecter très variés avec des risques associés tout aussi variés

5 Des usages et des risques variés 5 Usages sur le SI Tertiaire Transfert de données bureautiques, Transfert d applications, Transfert de patchs pour mise à jour logicielle, Installation de nouveaux firmwares. Usages sur le SI Industriel Transfert de patchs pour mise à jour logicielle, Installation de nouveaux firmwares, Extraction de logs depuis les SI Industriels. RISQUES ASSOCIÉS RISQUES ASSOCIÉS Captation d information (bidirectionnelle) Aspiration de contenu de clé / de disque Vulnérabilité BadUSB Corruption de données Installation d un virus et dégradation des données critiques Fuite d information Perte de clé Arrêt, dégradation Modification de paramètre entraînant un arrêt / une dégradation des équipements Infection (bidirectionnelle) Transport d une charge virale et infection bureautique Modification de comportement Transport d une charge d attaque permettant la modification des comportements Intrusion SI (bidirectionnelle) Transport d une charge d attaque et installation dans le réseau Intrusion SI Transport d une charge d attaque permettant la prise de main à distance Perte / corruption de données Transport d une charge de destruction / d altération de données Perte de données Transport d une charge de destruction de données

6 Recommandations de l ANSSI (1/3) 6 Focus SI Industriel CLASSE 1 [RECOMMANDATION 233] Une politique d utilisation des médias amovibles (clé USB, disquette, disque dur, etc.) devrait être définie. [RECOMMANDATION 235] Une station de décontamination devrait être installée afin d analyser et décontaminer tous les périphériques amovibles avant de les utiliser sur le système industriel. [RECOMMANDATION 234] L emploi des médias amovibles devrait être limité au strict minimum. [RECOMMANDATION 236] [RECOMMANDATION 237] La connexion des périphériques amovibles qui n ont pas été vérifiés par la station de décontamination devrait être interdite. Des médias amovibles dédiés aux systèmes industriels devraient être mis à disposition des intervenants. L utilisation de ces médias pour tout autre usage devrait être interdite. Réciproquement, l utilisation de tout autre média devrait être interdite.

7 Recommandations de l ANSSI (2/3) 7 Focus SI Industriel CLASSE 2 [DIRECTIVE 238] Les recommandations R.233, R.234, R.235, R.236 et R.237 deviennent des directives. CLASSE 3 [DIRECTIVE 240] La recommandation R.239 devient une directive. [RECOMMANDATION 239] Les ports de médias amovibles devraient être désactivés lorsque leur utilisation n est pas nécessaire. Si le blocage physique n est pas possible, le port devrait être désactivé logiquement. [DIRECTIVE 241] Un sas doit être mis en place pour échanger des données avec les systèmes industriels. Il doit être placé dans une zone maîtrisée. Cet échange de données est une action ponctuelle qui doit être encadrée par une procédure. Par exemple, on pourrait envisager les mesures suivantes : - le blocage des ports USB à l aide de mécanismes de sécurité physiques ou logiques, comme les verrous USB physiques (avec clés) ou par un logiciel de sécurité capable de bloquer l utilisation de clés USB et autres périphériques ; - le retrait ou la déconnexion des lecteurs de médias amovibles. [RECOMMANDATION 242] La solution de sas devrait être labellisée.

8 Recommandations de l ANSSI (3/3) 8 Focus SI Industriel Répondre aux exigences de sécurisation quant à la gestion des médias amovibles pour les SI industriels se résume à : Garantir une décontamination des périphériques incluant le firmware Intégrer un système de liste blanche Permettre une option de type de SAS Et pour les SI tertiaires, les mesures les plus utilisées: Bloquer les ports USB : essayez d en parler au métier et vous aurez un flot de dérogations. Filtrage par type de média, avec des médias agréés : cher et souvent peu efficace. Mise en place d outils de checking des supports USB

9 9 CONTRER LA MENACE USB QUELLES SOLUTIONS?

10 Analyse des menaces 10 Identifier et cartographier les SI (zonage) Caractériser les niveaux de sensibilité Inventaire des menaces Couverture par une ou plusieurs mesures techniques ou organisationnelles Une même menace couverte différemment suivant les zones MESURES ORGANISATIONNELLES MESURES TECHNIQUES

11 La problématique 11 SÉCURITÉ DE L INFORMATION ACCÈS PROTECTION Difficile de trouver le bon équilibre!

12 12 Interdire l usage des clés USB? Définir une politique d usage Recommandations d usage (ex: clés USB fournies par l organisation) Mesures organisationnelles Périmètre d usage Traçabilité Mettre en place des procédures Sensibilisation / formation des collaborateurs

13 Mesures organisationnelles 13 Sont-elles suffisantes? Qu en est-il de la sous-traitance?

14 14 Cloisonnement Désactivation des ports USB Restrictions logicielles Listes blanches Stations blanches Mesures techniques Défense en profondeur Filtres

15 Mesures techniques #1 15 DESACTIVER OU VERROUILLER LES PORTS USB Protection «physique» maximale Coupure des connecteurs Désactivation bas niveau (ex : BIOS) Bouchons physiques «USB» La désactivation des ports USB n est pas toujours possible (ex : mise à jour automate) Equipements existants non configurables Intégrité matérielle et garantie

16 Recommandations techniques #1 16 NE PAS EXPOSER DIRECTEMENT LES ÉQUIPEMENTS SENSIBLES AUX CLÉS USB Privilégier l usage d équipements de neutralisation des menaces USB autonomes La solution doit présenter des mesures de protection contre les attaques matérielles Support de sortie différent du support d entrée, «nettoyage» d une clé USB techniquement non réaliste

17 Mesures techniques #2 17 AGENTS LOGICIELS DE RESTRICTION, ANALYSE, FILTRAGE ET INNOCUITÉ Paramétrage de l OS, désactivation de l exécution de code Liste blanche des périphériques USB autorisés (modèle, numéro de série ) Contrôle d innocuité, un ou plusieurs agents (anti-virus, anti-malware) Analyse des formats pour détecter des contenus actifs Nettoyage des charges actives potentiellement dangereuses (ex : zeroday DRIDEX) Vitrification Agents intrusifs sur les équipements Les équipements sensibles restent exposés directement aux clés USB OS standards non durcis Traitements non cloisonnés Protection limitée (ex : BadUSB) Le nettoyage des charges actives et la vitrification modifient le contenu Mises à jour régulières

18 Recommandations techniques #2 18 CLOISONNER ET SÉQUENCER LES TRAITEMENTS DE VÉRIFICATION ET D ANALYSE La solution doit mettre en œuvre plusieurs traitements à paramétrer suivant le cas d usage Plusieurs anti-virus et anti-malware Analyse des formats des fichiers et liste blanche des formats autorisés Traitements intrusifs : Nettoyage des contenus potentiellement actifs (macros ) Vitrification La solution doit cloisonner les traitements et les séquencer La solution doit être unidirectionnelle (pas d exfiltration des données)

19 Mesures techniques #3 19 STATION / BOÎTIER DE NEUTRALISATION Equipements sensibles non directement exposés aux clés USB Embarque les agents de restriction et d analyse Agents logiciels pour assurer l évolutivité Point névralgique du SI à maîtriser Solutions uniquement matérielles non évolutives Mesure organisationnelle indispensable Mécanismes de protection contre les attaques matérielles

20 Recommandations techniques #3 20 SOLUTION RÉSILIENTE PRÉSENTANT LES CAPACITÉS POUR REVENIR DANS UN ÉTAT SAIN Mécanisme de mise à jour sécurisé Les menaces évoluent Les besoins aussi Solutions «tout matériel» restreintes à des cas d usage figés Solutions offrant des protections matérielles et des extensions logicielles paramétrables plus évolutives

21 Architecture d un dispositif de neutralisation USB 21? Quarantaine Guichet d entrée Analyse, filtrage, nettoyage, vitrification Guichet de sortie (SFTP, SMTP, SMB) Plateforme matérielle

22 22 Des solutions pour la défense en profondeur NEUTRALISATION DES MENACES USB Garantir l innocuité de tout contenu actif importé dans les systèmes via des périphériques amovibles SÉCURISATION DES INTERCONNEXIONS RÉSEAU Contrôler les interconnexions réseau pour bloquer et circonscrire les attaques sur les systèmes SÉCURISATION DES POSTES DE TRAVAIL SENSIBLES (lancement prochain) Accéder en toute sécurité aux données et applications sensibles sur un même poste de travail

23 BT.D46.D Division de Bertin Technologies HEAD OFFICE Parc d Activités du Pas du Lac 10 bis avenue Ampère Montigny-le-Bretonneux T. +33(0) E.