Protection rapprochée contre les Cyber-Attaques de nouvelle génération Thibaud Signat Responsable Avant-Vente Europe du Sud Espace Grande Arche Paris La Défense
Agenda LES CYBER-MENACES DE NOUVELLE GENERATION Quels impacts sur votre Entreprise? LA PLATEFORME FIREEYE ET SES OBJECTIFS Nous pouvons vous aider ETUDE DE CAS Mode de fonctionnement
La Cyber-Securité aujourd hui Cyber-criminels profitant des avancées technologiques Cyber-attaques toujours plus sophistiquées Securité informatique inefficace sous ses formes actuelles Conception de nouveaux modeles LE NOUVEAU VISAGE DE LA CYBER-MENACE
Un manque de préparation peut coûter très cher MENACE INDETECTEE REMEDIATION 67% Brèche initiale 229 Jours Nombre moyen de jours pendant lesquels des intrus infiltrent une entreprise avant d être détectés des Entreprises ont appris d une source externe qu elles étaient compromises 100% 3 Mois 6 Mois 9 Mois des victimes avaient mis à jour leur signatures Anti-Virus Source: Rapport M-Trends
L héritage de la sécurité informatique Modèle de Détection par reconnaissance d empreinte (Pattern-Matching) Faibles taux de Détection Attaques connues uniquement Fort taux de Faux-Positifs Pas d intégration des produits 16 Milliards de $ DEPENSE ANNUELLE
Bien connaître son Adversaire 1110111011 01 Exploitation d une faille dans une application ou un système d exploitation Rappel (callback) prise de contrôle Téléchargement du code malveillant Propagation dans l entreprise Exfiltration des données confidentielles Etape critique : Détection de l exploit Toute étape postérieure à un exploit peut être cachée ou occultée
FireEye Advanced Threat Report 2013 (FireEye Labs) Durant l'année 2013, FireEye a : Analysé 39.504 uniques incidents de sécurité (100+ par jour) Associé 4.192 de ces attaques à des acteurs APT (11+ par jour) Identifié plus de 22 millions de communications vers des C&C (une toutes les 1,5 sec) Découvert des infrastructures C&C dans 206 pays (184 en 2012) Identifié des APTs ciblant plus de 20 secteurs verticaux découvert 11 attaques ZeroDay sur 13
FireEye Advanced Threat Report 2013 (FireEye Labs) Pays avec le plus de secteurs verticaux" ciblés (Monde) 1 - United States (20) 2 - South Korea (16) 3 - Canada (13) 4 - France (12) 5 - Thailand (12) 6 - UK (12) 7 - Japan (11) 8 - Turkey (11) 9 - Germany (9) 10 -Saudi Arabia (9) / France
Objectif: Protection rapprochée contre la cyber-menace Temps de détection Temps de remédiation Temps Reel Prévention VOL DE DONNEES & PROPRIETE INTELLECTUELLE COÛT DE LA REPONSE IMPACT SUR L ACTIVITE COMMERCIALE ATTEINTE A LA REPUTATION DE L ENTREPRISE
Remise en question du modèle de la Sécurité Informatique La sécurité doit être entièrement Re-pen-sée pour affronter la Cyber-criminalité moderne Modèle de détection basé sur des machines virtuelles Conçu spécifiquement pour la cybersécurité Hyperviseur en dur Evolutif Portable DETECTE LES CYBER-ATTAQUES CONNUES & INCONNUES EN TEMPS REEL ET POUR TOUTES FORMES DE VECTEURS
Technologie FireEye: l état de l art en matière de Détection ANALYSE ( 5 0 0. 0 0 0 O B J E T S / H E U R E ) DETONATION CORRELATION Réseau Exploit Email Telechargement Malware Callback Mobile Propagation Dans les VMs Fichiers Exfiltration Entre les VMs Traversalement dans l entreprise
Les Eléments de la Solution FireEye Email Threat Prevention Threat Analytics Platform Mobile Threat Prevention Email Threat Prevention SEG Endpoint Host Threat Anti-virus Prevention MV Dynamic Threat Intelligence X Content Threat Prevention IPS Network Threat Prevention IPS SWG Mobile Threat Host Anti-virus Prevention MDM
Quelle légitimité pour FireEye? 54 M 45 M 248 4 M 1.000s +1.500 d événements malicieux détectés sur les réseaux de nos clients en 2013 de rappels (callbacks) vers 206 pays détectés en 2013 campagnes APT documentées dans l encyclopédie APT de VM spécifiques et d agents déployés sur les points d attaque d incidents traités par les experts en sécurité de FireEye Clients contribuant à enrichir notre base de connaissance
Quelle légitimité pour FireEye? 11 attaques Zero-Day sur 13 découvertes par FireEye en 2013 Premier à détecter le code malicieux dans 80% des cas (comparé aux moteurs anti-virus traditionnels)
L'investigation FireEye : Clandestine Fox ZeroDay 22:00 Dynamic Threat Intelligence Updates FireEye intelligence teams translate information about the new zero-day exploit into intelligence and within 24-hours from the initial discovery, millions of FireEye MVX virtual machines are updated, protecting thousands of organizations across the FireEye Global Defense Community. 10:00 Vendor Notification and Responsible Disclosure FireEye researchers notify Microsoft of the discovery and work with their security team on technical details as well as public announcements How FireEye Found the Zero-Day FireEye s discovery of the Internet Explorer zero-day exploit was the result of close collaboration between experts from our Mandiant incident response team, the FireEye Managed Defense service and FireEye Labs researchers. 0:00 Exploit Discovery The first indication of this zero-day comes from the FireEye Managed Defense service, which constantly monitors subscriber systems for threats and alerts customers when action is required. 0:15 Incident Response Investigation The Mandiant Incident Response team investigates and captures network traffic (Pcaps) to better understand the exploit, determine who may be conducting the campaign and why. 0:30 Zero-Day Analysis The FireEye Zero-Day Discovery team analyzes the exploit using proprietary tools to more fully understand the techniques and tactics of the attackers who are carrying out Operation Clandestine Fox.
Confiez votre Sécurité Informatique à un Spécialiste Lorsque la technologie ne suffit plus I intervention extérieure d un expert devient indispensable pour recentrer votre activité sur votre cœur de métier
FireEye Managed Defense Email Threat Prevention Threat Analytics Platform Mobile Threat Prevention Pour être informé Quoi, Quand? Surveillance Continue EX Series Dynamic Threat Intelligence NX Series Pour être protégé HX Series FX Series Quoi Comment? Protection Continue MTP Pour être défendu Gamme des produits FireEye Qui, Quoi? Vigilance Continue
Les offres de Service FireEye & Mandiant Services d Abonnement et Support des Produits FireEye Managed Defense Product Support Services Security Consulting Services Proactive Threat & Vulnerability Assessments Incident Response Strategic Consulting & Security Program Assessments
Etude de cas : Conseil aux Relations Extérieures (CFR) Propagation latérale infectant d autres machines A propos du CFR (Council on Foreign Relations): Organisation indépendante, non-affiliée, nombreuses publications Pensée intellectuelle influente sur la scène politique outre-atlantique Personnalités et grands patrons comptent parmi ses membres
Plate-forme FireEye: Gérer le cycle de vie de l'attaque 1 La Plate-forme de réseau FireEye observe le flux des événements 2 La Plate-forme de réseau alerte le FireEye HX sur déclenchement d événement MV + OS Change Report X Technologie d exécution virtuelle sans signatures Recherche des attaques ciblées et zero-day Système de défense contre les menaces multi-vecteurs Protection tempsréel contre la cybermenace
Plate-forme FireEye: Gérer le cycle de vie de l'attaque 3 FireEye HX inspecte et valide les points terminaux Accès à tous les points terminaux, où qu ils soient Reconstitution du déroulé des événements, sans investigation Transports Hôtel Siège de l Entreprise Télé- Travail Internet Café Détection des événements passés Agent Anywhere : inspection automatique des postes de travail, où qu ils soient
Plate-forme FireEye: Gérer le cycle de vie de l'attaque 4 Contention et Isolation des terminaux compromis Bloquer les accès aux attaquants d un simple clic de souris, tout en permettant d enquêter à distance Transports Télé- Travail Hôtel Siège de l Entreprise Internet Café
Conclusions : Les menaces avancées concernent toutes les entreprises (tous pays, secteurs verticaux, taille ) Les attaques (attaquants) sont intelligentes et évolutives La détection d exploit inconnu est Essentielle Tous les vecteurs d infections doivent être protégés La résilience est très complexe, il faut LE bon partenaire (Threat Intelligence)
S T A N D M E R C I Retrouvez-nous sur le Stand Security Reimagined
Proposé par Stand N.66 Espace Grande Arche Paris La Défense