Embed Size (px)
DESCRIPTION
A partir du 8 avril 2014, Microsoft cessera les mises à jour de sécurité sous Windows XP. Une aubaine pour les hackers qui, en recherche constante de vulnérabilités, trouveront là un terrain de jeu facile et à la portée des plus novices d'entre eux ! Pour les entreprises qui n’auront pas encore migré ou les systèmes industriels qui ne le pourront pas, les postes sous XP deviendront un cauchemar : maillon faible du SI, ces machines seront LE vecteur d’infection privilégié pour perturber l’entreprise. Venez découvrir lors d’un atelier didactique l'ampleur du problème et étudier les alternatives qui s'offrent à vous pour gérer ce risque et trouver des parades. Session présentée par le partenaire : Arkoon-Netasq Speakers : Edouard Viot (Arkoon-Netasq)
Citation preview
La Saint Hacker tombe le 8 Avril 2014.Saurez-vous faire face à la fin de support de Windows XP ?
Edouard ViotStormShield Product Marketing Manager
Arkoon-Netasq
Problématique fin de support Windows XP
Plus de correctif de sécurité après avril 2014
8 vulnérabilités par mois en moyenne depuis deux ans, dont de nombreuses critiques permettant de contrôler la victime.
Des postes sans défense
Les technologies sur base de signature inefficaces contre les exploitations de vulnérabilité. Tout nouvelle vulnérabilité restera « 0day » ad vitam aeternam.
Une recrudescence des attaques
Trouver des vulnérabilités coûte cher sur un OS non supporté. Les pirates les moins expérimentés sauront lancer des attaques imparables contre les postes XP.
Le paradoxe Windows XP
Postes de Production
Postes de paiement CB
Postes classiques
• Figés pour plusieurs années, perte de garantie en cas de migration
• Risque sur la production en cas de brèche de sécurité
• Nombreux et dispersés, difficiles à migrer
• Risque de perte de conformité à PCI DSS
• Plan de migration en retard• Les postes XP seront la tête de
pont idéale pour infecter le reste du réseau
Scénario d’intrusion avant 2014
Scénario d’intrusion avant avril 2014
O DAY PATCH
CONNU ET MAITRISE
Network
Endpoint
Patch
Network
Endpoint
Patch
Scénario d’intrusion après avril 2014
O DAY PATCH
CONNU ET MAITRISE
Network
Endpoint
Network
Endpoint
Patch
Advanced Evasion Techniques
Fonctionnement des Advanced Evasion Techniques (AET)
Ces techniques permettent d’éviter la détection et le blocage des attaques par les systèmes de sécurité informatique.
Les AET permettent de faire transiter un contenu malveillant sur un système vulnérable en évitant une détection.
Utilisation de combinaisons inhabituelles de propriétés de protocoles rarement utilisées.
Fonctionnement des AET : exemple d’attaque
A B C D E F G HATTAQUE
D E F GSIGNATURE
Détection de l’attaque sur le
réseau
Fonctionnement des AET
A B C D E F G HATTAQUE
Fragmentation du message d’attaque
A B C D E F G HFRAGMENTATION
ENVOI DU MESSAGE…
A B C D E F G HRECONSTRUCTION DU MESSAGE PAR L’IPS
Fonctionnement des AET
Exemple des techniques d’évasion
A B C D E F G HMESSAGE FRAGMENTE
ENVOI DU MESSAGE AVEC UN LONG DELAI ENTRE CHAQUE PARTIE
A B C D E F G HENVOI DU MESSAGE
Objectif : provoquer un timeout de l’IPS pour qu’il arrête d’analyser le message
Faiblesse des antivirus
Faiblesse des antivirus
Identifier, neutraliser et éliminer des logiciels malveillants
Base de signatures comparée au fichier à vérifier
Méthode heuristique: découvrir un code malveillant par son comportement
Faiblesse des antivirus
A B C D E F G HATTAQUE
D E F GSIGNATURE
Fonctionnement d’une base de
signature
Faiblesse des antivirus
A B C D E F G HMALWARE
Chiffrement du code
NOUVEAU MALWARE А Б Ц Д Е Ф Г Х
Routine de déchiffrement
EXECUTIONRoutine de
déchiffrementА Б Ц Д Е Ф Г ХA B C D E F G H
Faiblesse des antivirus
Mutation du code
A B C D E F G HMALWARE
AUTRE FORME
A B C D E F G HZ ZD E F G
SIGNATURE
Le malware effectue la même action mais son code est différent ou modifié
Faiblesse des antivirus : moteur heuristique
L’analyse heuristique se base sur un comportement pour déterminer si ce dernier est ou non un virus.Cette analyse se fait à l’exécution du programme.
Permet de détecter des nouveaux virus et de nouvelles variantes des virus déjà existants.Son efficacité est vraiment faible ou génère un nombre important de faux positifs.
Utile sur des souches assez communes, mais pas utile pour des malwares sophistiqués
Le moteur HIPS de
Identifier, neutraliser et éliminer des logiciels malveillants
Base de signatures comparé au fichier à vérifier
Méthode heuristique: découvrir un code malveillant par son comportement
Une efficacité prouvée contre les attaques 0day :
- 100% des buffer overflows sur Acrobat Reader bloqués- 100% sur Flash- 91% de blocage pour les navigateurs
Des attaques célèbres bloquées par StormShield: Conficker, Aurora, Duqu, Bercy, etc.
Lancer une attaque sur XP
Avant avril 2014 Après avril 2014
Chercher une vulnérabilité inconnue ou l’acheter
Attendre la découverte d’une vulnérabilité sous XP ou OS
supérieur
Repackager son malware pour qu’il utilise cette vulnérabilité
Etudier le rapport et / ou le patch pour exploiter cette
vulnérabilité
Lancer l’attaqueRepackager son malware pour qu’il utilise cette vulnérabilité
Renouveler l’opération quand un patch aura été publié pour cette
vulnérabilitéLancer l’attaque
Entre 3 et 12 mois / Entre 10 000 et 100 000 euros
Immédiat, gratuit
Le risque de rebond
La plupart des attaques se découpe en deux phases :1. Primo-infection d’une machine faible2. Rebond vers les machines « cibles »
Les postes Windows XP, mêmes minoritaires, seront des vecteurs d’infection massifs.
Comment gérer ce nouveau risque ?
Options
Migration
Custom support Microsoft
Virtualisation / VDI
ExtendedXP
HIPS de StormShield
Service de veille
HIPS
« We particularly like the company's focus on advanced HIPS techniques to block unknown threats, using a combination of configuration policies, such as application control, very fine-grained device control and a flexible firewall policy, as well as proactive HIPS capabilities, such as features for blocking keyloggers and targeted attacks designed from the ground up to work together »
Gartner
Offre de service
Chaque vulnérabilité est analysée afin de savoir:
• Si elle peut fonctionner potentiellement sur le poste du client
• Si StormShield la bloque de manière proactive
Pour chaque vulnérabilité, un rapport est fourni avec:
• Description de la vulnérabilité• Si StormShield ne bloque pas, des conseils sont donnés
pour être en mesure de la bloquer (par configuration de StormShield ou du système d’exploitation)
Conclusion
Appliquer une protection comportementale qui permet de bloquer les attaques connues et non connues.
Connaître les vulnérabilités qui peuvent toucher le poste, savoir s’en prémunir.
Il est primordial de connaître le risque auquel nous faisons face, de savoir si nous le gérons par rapport à l’existant, et sinon comment le traiter.
Merci pour votre attentionN’hésitez pas à poser vos questions
Contact:
Edouard [email protected] 79 33 74 97
