«Evolution des menaces de sécurité et lutte contre les cyber attaques» Mathieu Vialetay, CISSP Security Consultant, North Africa Tlemcen, juin 2013
Des fondations solides
Symantec Global Intelligence Network Identifier plus de menaces, réagir plus rapidement et prévenir les impacts Calgary, Alberta San Francisco, CA Mountain View, CA Culver City, CA Dublin, Ireland Tokyo, Japan Chengdu, China Austin, TX Taipei, Taiwan Chennai, India Pune, India Couverture mondiale Vision et échelle globale Surveillance 24x7 Détection rapide Attaques >240 000 sondes près de 200 pays Alertes de sécurité Maliciels 133 M de clients, serveurs, et passerelles Global coverage Vulnérabilités > 35 000 vulnérabilités 11 000 éditeurs 80 000 technologies Protection de l information Spam/Phishing 5M de comptes leurres > 8 Mds de messages/jour 1 Md de requêtes web/jour Suivi des menaces
4 tendances clés dans le monde des attaques maliciels des attaques ciblées des menaces sur mobile des violations de données
L année 2012 en chiffres 5.5 milliards Nombre d attaques bloquées +41% 403 millions Souches uniques de maliciels +22% 247.350 Attaques Internet par jour +30% 5.291 Nouvelles vulnérabilités +6% 14 Vulnérabilités Zero-Day +75% 415 Nouvelles vulnérabilités mobiles +32% 69% Taux de spam -9%
Attaques ciblées par secteur Government & Public Sector Manufacturing Finance IT Services Chemical & Pharmaceutical Transport & Utilities Non-Profit Marketing & Media Education Retail
Attaques ciblées et/ou Advanced Persistant Threats? Une APT est toujours une attaque ciblée, mais une attaque Targeted ciblée n est Attacks pas nécessairement une APT. Attaques ciblées APTs
Définir une APT : Qu est-ce qu une Menace Persistante Avancée? Une campagne active, ciblée et long terme Peut utiliser des techniques de renseignement classiques (écoutes ) Tente de rester indétectée le plus longtemps possible (low&slow) Comprend des menaces multiples et possède plusieurs moyens de contrôle pour assurer le succès Mute et s adapte pour contourner les détections et mesures de sécurité Ce que ce n est pas : Une attaque simple (DDoS, drive-by download, SQL injection, etc.) Un raid éclair de cyber-criminels cherchant l argent facile Pas simplement un maliciel
Anatomie d une attaque ciblée 1 2 3 4 INCURSION L attaquant s introduit via un message, un maliciel spécifique, des droits usurpés ou une injection SQL, une vulnérabilité 0-day DECOUVERTE Cartographie des réseaux et systèmes Recherche des données systèmes ou confidentielles CAPTURE Accès aux données sur les systèmes vulnérables Installation de maliciels (rootkits) pour capturer les données EXFILTRATION Les données confidentielles sont envoyées vers l équipe de cybercriminels, en clair, chiffrées et/ou compressées.
What Happened?
15 th August Two Oil Companies Attacked 31 st August Sources: www.bbc.com/news/technology-19293797 www.bbc.com/news/technology-19434920
Key Points Shamoon malware used in both attacks (also known as W32.Disttrack) Targeted attack using bespoke malware Malware written to run on both 64bit and 32bit systems. Malware modules Spreader function disseminates malware over network Exfiltration function passes data to attackers Wiper function erases disks of infected machines
Infection Schema Spreads to domain controller Company Network Unknown vector Initial point of infection Malware spreads via network shares ATTACKER Transmits information Receives instructions Spreads directly Collects information Issues commands Command & control over internet X X At predetermined time wipes disks Recent Cyber Attacks
What Didn t Happen (this time) Production SCADA systems Embedded systems Recent Cyber Attacks
Stratégie sécurité : Protection de l infrastructure, des informations et des identités.
Les questions auxquelles il faut répondre Des informations confidentielles quittentelles mon organisation? Quel est le niveau de vulnérabilité de mes systèmes critiques? Certains de mes ordinateurs sont-ils contrôlés depuis l extérieur? Des maliciels très ciblés ont-ils infecté des postes sensibles? Mes politiques de sécurité sont-elles bien appliquées? Que voit-on de mon réseau et de mes sites web depuis l extérieur? Data Loss Assessment Vulnerability Assessment Malicious Activity Assessment Targeted Attack Assessment Compliance Assessment Custom Intelligence Report
Éléments Fuite de données Vulnérabilités Activité malveillante Attaque ciblée Conformité Reconnaissance
Actions recommandées Surveillance des vulnérabilités et menaces réseau Techniques avancées de réputation Authentification forte Prévention contre les fuites de données Gestion des objets de stockage mobiles Filtrage des messageries et des accès web Supervision des incidents et événements de sécurité Information et formation à la sécurité Monitor for network intrusions, unusual outbound communications, suspicious traffic patterns and anomalies in logs Can block low prevalence or reputation files or applications Identify users and devices; Authenticate users with 2-factor authentication Can identify data spills of confidential information that could be easy targets for APTs Restrict auto-run of content on removable media Detect and defend against socially engineered attacks and malware delivered via email or web Security experts on the ground in your organization can extend capabilities of your team Ensure employees become your first line of defense; social engineering now very sophisticate
Le cube des «cyber-risques»
Le cube des «cyber-risques»
Le cube des «cyber-risques» I N F R A S T R U C T U R E I N F O R M A T I O N I D E N T I T É
Le cube des «cyber-risques»
Le cube des «cyber-risques» P E R S O N N E S P R O C E S S U S T E C H N O L O G I E S
Une approche de protection globale Basée sur les risques et les politiques Centrée sur l information et l identité Opérationnalisée Infrastructure gérée et protégée
D une sécurité stérile à fertile!
Merci!