Upload
microsoft
View
270
Download
2
Embed Size (px)
DESCRIPTION
Le support Sécurité pour l'Europe de Microsoft assure le traitement des incidents de sécurité pour ses clients, que ce soit attaques virales ou intrusions proprement dites. Cette présentation, tirée de retours d’expérience de cas réels et assez fréquents, vous immergera dans la réalité des incidents de sécurité, avec les impacts (dont effets de bord), aspects méconnus, et état de la menace actuelle. Bienvenue dans le monde de la cybercriminalité, la réalité dépasserait-elle la fiction ?
Citation preview
Donnez votre avis !
Depuis votre smartphone, sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toutes les heures !!!
Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les TechDays
http://notes.mstechdays.fr
Traitement des incidents
SSIPhilippe VIALLE
Ingénieur senior sécurité, support EMEA
Microsoft
Sécurité
C|EH, CISSP
http://www.microsoft.com/fr-fr/security/default.aspx
Traitement des incidents
SSIPatrick Chuzel
Ingénieur senior sécurité d’escalade, support EMEA
Microsoft
Sécurité
MCSD
http://www.microsoft.com/fr-fr/security/default.aspx
Sécurité
AgendaMardi 12 février 2013, 17h30
Partie 1 Introduction
Partie 2 Retours d’expérience sur les incidents
Partie 3 Rootkit, le Retour
Démo / questions
Equipe européennne de
sécurité – CSS SecurityQue faisons-nous ?
Sécurité
Sécurité
• Bulletins de sécurité – France / EMEA
• Support de l’antivirus postes et serveurs– FCS, FEP, SCEP.
• Traitement des incidents de sécurité France / EMEA– Traitement des intrusions, attaques.
– Traitement des alertes virales.
– Analyse de machines (“est-elle compromise ou non ?”).
• Formateurs sécurité et investigation NTIC– Conférences web, générales ou ciblées sur produits.
– Sessions présentielles (plusieurs jours).
Equipe CSS Sécurité France / EMEA
Partie 1
Les incidents SSI
Sécurité
Ph. Vialle
Sécurité
Des cibles ? (publiques)
Sécurité
• « APT » = Advanced Persistent Threat.– Menace persistante, s’appuyant sur panoplie d’outils (pas
forcément avancés…).
• Bien plus rare que ce qu’on peut en lire !– NB : traitement en cours au Support de quelques cas
réellement « hors du commun »…
• Information & outils d’attaque disponibles :– Vulnerabilités + codes d’exploitation prêts à l’emploi.
– Environnements de dev gratuits (y compris pour codes malveillants), ou prestation de service.
Des tendances marketing : APT
Sécurité
• « 100% des correctifs Microsoft déployés = parc sécurisé. »– Non !
• Cf rapport SIR v13 : Oracle Java, Adobe PDF & Acrobat…
– /!\ Urgence à déployer les correctifs non Microsoft
• « Antivirus déployé = parc sécurisé »– Non !
• Sécurité en multi-couches
• Antivirus = « liste noire », 100% efficace = impossible
• Nb: Antivirus ciblé par attaquants.
Des idées reçues à abattre
Sécurité
Défense en profondeur (« DiD »)
Sécurité
• « Machines Linux / Unix / Apple = indifférentes au risque viral »– Sauf si hébergement de ressources accessibles via protocole
compatible SMB !
• « panier viral » persistant !
• Sécurisation complexe via clients uniquement.
– Codes malins avec téléchargeur :
• Version compilée MacOS, si système est Apple,
• Version compilée Win32/64, si système est Microsoft.
– NB : MS SCEP supporte MacOS et Linux…
Des croyances à oublier
Sécurité
• « La menace ne vient que de l’extérieur… »– Clé USB, disque dur / mini-NAS
• (perso ?)
– PC portable perso connecté au LAN
– PC portable prestataire connecté au LAN
– Ordiphone personnel connecté au LAN
• 3/4G, WiFi, Blue-Tooth, connectivité USB, etc.
– Liaison ADSL achetée, « non cadrée » (isolation)
– Duperie des utilisateurs,
• pour contourner la sécurité à leur insu.
Des idées à abattre
Sécurité
Histoire d’un site web « simple »
Sécurité
• Visibilité supérieure– (Impact si déni de service ?)
• Vrai CMS pour le contenu du site web
• Vraies données à afficher, et à rafraîchir
• Interconnexion avec d’autres services internes
• Population cible élargie– Internet, mais aussi… interne !
– Pourquoi refaire l’architecture pour l’usage interne ?
Evolutions…
Sécurité
L’histoire se poursuit…
Sécurité
• Site Internet devient extranet…
• Site Internet devient également… intranet !– Quid des niveaux de risque respectifs ?
• Intranet = interne = « niveau de risque minimum » ?
• Intranet exposé aux risques Internet ?– Niveau de risque différent de celui du LAN
• Besoin de sécurité différent de celui historique !
– Peu de changements sécurité au final…
• Coûts de la sécurité ?
• Évolution « au fil de l’eau », sans mise à plat / audit.
Mais la gestion sécurité…?
Sécurité
• Injection, depuis Internet, de code dans les pages du site « inter/intranet »– 1 à plusieurs codes d’exploitation.
• (ou) Injection d’une bannière pointant sur source externe :– Code viral / codes d’exploitation.
• Puis ? Laisser faire le temps…– Déploiement sur le parc… de l’attaque
Bonus : utilisation du site internet compromis comme canal de contrôle de BotNet…
« Et là, tout s’enchaîne… »
Sécurité
Nouveaux flux ?
Sécurité
• Comment déployer un code malin / une porte dérobée, en entreprise :– dans le temps,
– discrètement,
– avec une portée globale sur l’entité ciblée,
– « gratuitement » ?
• En le faisant via les outils de gestion de parc !– Gestion de parc / administration = cibles.
• Création / modification de paquetages de déploiement.
Variantes
Sécurité
• Mots de passe administrateur local, commun de machines en machines (pire : en DMZ).– Aussi dangereux qu’un compte admin du domaine.
• AD identique en DMZ et sur le LAN de prod.– Aucune isolation, rebond possible sur prod !
• Mauvaise cartographie des flux :– Confusion entre flux de supervision et malveillants.
• Filtrage réseau faible :– Règles pare-feu autorisant… toute session TCP.
– Détection (NIDS), mais pas de blocage, ni supervision.
La vie, la vraie…
Sécurité
• Suite accès à serveur intégré à l’AD, et via un compte disposant du privilège SeDebug :– Énumération des comptes ayant ouvert une session
(interactive ou non)
• Dont administrateur du domaine, ou local ?
– Extraction / vol des condensats des mots de passe
• Pass the hash (avec réutilisation de l’identité AD)
• Keyloggers fréquents.
– Propagation de l’intrusion :
• Exploration d’autres machines,
• Création/modification de comptes.
Le point d’entrée…?
Sécurité
• « Isolation AD = entre domaines »– Frontière du modèle de sécurité AD = forêt
• Aucune isolation entre domaines
– Multi-forêt recommandée
• Notamment 1 pour administrer
• « Pas de risque si accès uniquement à des sites partenaires / connus »– Possibilité de compromission à leur insu…
– Possibilité de détournement de l’accès réseau…
• Résolution de nom, etc.
D’autres idées à abattre
Sécurité
• Cloisonnement réseau :– Sans lui, inventaire réseau du code malin = plus précis que
celui de la DSI…
– Peu souvent mis en œuvre
• /!\ routage dynamique…
• Principaux ennemis ?– À la frontière entre intrusion logique et physique :
• La clé USB !– RExp Conficker, Stuxnet, etc.
– Insuffisance de cartographie des flux.
Des retours d’expérience
Sécurité
• Zones d’échange métier = cibles !– MS Exchange
• Quantité/diversité de données insoupçonnée…
– SharePoint
– Partages réseau SMB
• Douloureux, peu anticipé, criticité sous-estimée…
• Mais sont également ciblés :– AD : annuaire de personnes
• Exfiltré en HTTP(s), flux sortants (donc peu contrôlés…)
– Journaux de sécurité
• Si activés et pas seulement en échecs…
Autres retours d’expérience
Sécurité
• Cloisonnement réseau à 100% = utopie– Interconnexion = fondement même réseaux IP
• Mais sans cloisonnement :– Compromission transverse, et non pas de zone !
• Pare-feu = statique = premier barrage– Insuffisant (un routeur pourrait faire l’affaire…)
• Sonde NIDS / NIPS = filtrage dynamique, adaptable– WAF = protection applicatif web
Quelques rappels opérationnels
Sécurité
• Ne pas télécharger des outils bien connus– Mais récupérer code source + compiler en local
• Plus discret par rapport aux systèmes de filtrage
• Identifier le moteur antiviral utilisé par la cible– Remodeler code malin existant pour y échapper
• Même variante, empaqueteur différent !
• Se propager via les zones de synchro de l’AD– Sysvol / Netlogon
• Cibler des systèmes ou des matériels particuliers…
Des choses plus « exotiques » ?
Partie 2
Rootkit, le retour
Sécurité
P. Chuzel
Sécurité
• Décembre 2012– 20 millions de logiciels potentiellement malins,
analysés
• 100 000 ont mené à création de signatures
• Blocage de 4 millions de fichiers (uniques)
– Base complète : 72 millions de fichiers détectés.
• Collecte de données sur 1 milliard de machines– Vision étendue des menaces en circulation !
Quelques chiffres [MMPC]
Sécurité
Merci de votre attention !
Sécurité
• http://technet.microsoft.com/en-
us/library/cc512681.aspx
• http://hackmageddon.com/2012-cyber-
attacks-timeline-master-index/
• http://www.intelligenceonline.fr/intelligence
-economique/2012/07/19/attaque-
chinoise-contre-astrium,104644072-BRE
Sources