2 intrusions en entreprise : retours d'expériences 10 février 2011 jean gautier ingénieur...
TRANSCRIPT
![Page 1: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/1.jpg)
![Page 2: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/2.jpg)
2
Intrusions en entreprise : Retours d'expériences 10 Février 2011
Jean GautierIngénieur SécuritéMicrosoft
![Page 3: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/3.jpg)
3
Agenda
Bilan des évènements de 2010Attaques ciblées et maitrisées
AuroraMS10-015 AlureonStuxNetIncidents directement traités par CSS Security
Vols d’informationExtorsion
Leçons clés à tirer de ces expériences…
![Page 4: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/4.jpg)
4
De plus en plus connectés…
![Page 5: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/5.jpg)
5
De plus en plus de risques…• StuxNet - Un 'Cyber Missile' conçu pour attaquer les
installations nucléaires Iraniennes. 100000 machines infectées, principalement en Iran. (Symantec Octobre 2010)
• Des sondes sophistiquées comportent des vulnérabilités exposant le réseau électrique américain. (NYT Avril 2010)
• Des militants Iraquiens ont développé un équipement permettant d'intercepter les flux vidéo des drones américains Predator. Pour un cout estimé de 26$. (WSJ Decembre 2009)
• Des dossiers médicaux de milliers de patients exposés en 2010 (HealthCareITNews Avril 2010).
• Un australien provoque un rejet toxique en s'introduisant dans le système informatique de la décharge. (TheRegister, Octobre 2001)
![Page 6: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/6.jpg)
6
Des risques partout dans le monde
![Page 7: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/7.jpg)
7
Une accélération forte
• Le délai patch->exploit diminue:• Slammer (année)• Blaster (mois)• Zotob (jours)
• 9 Aout – publication• 14 Aout – nouveau malware
• Les process se rôdent:• Attente des publications• Reverse Engineering (outils, partage)• Démonstration de faisabilité (PoC; toolkits,
collaboration) • Les vulnérabilités 0Day explosent
Quelques exemples récents…
![Page 8: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/8.jpg)
8
2010…Les grands évènements de l’année
![Page 9: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/9.jpg)
9
Aurora
• Rendue publique en Janvier 2010 par Google
• Une vulnérabilité 0Day dans Internet Explorer• Un exploit ciblant spécifiquement Internet Explorer
6
• Des cibles à haute visibilité:• Google, Adobe, Juniper, Rackspace,
ont admis avoir été attaqués• D’autres noms circulent…
![Page 10: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/10.jpg)
10
Les leçons d’Aurora
1.Des attaques aux enjeux élevés
2.Des browsers obsolètes moins bien protégés
3.Le mail utilisé comme vecteur initial d’attaque
Et pourtant, aucune conséquence immédiate et sérieuse contre l’attaquant
![Page 11: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/11.jpg)
11
Alureon
• Publication de MS10-015 le 9 février 2010
• Immédiatement des millions de machines entrent dans un cycle de redémarrages/plantages (BSoD)
• Microsoft arrête alors la distribution de MS10-015.
• Un rootkit responsable.
• Dans les jours qui suivent, une nouvelle version du rootkit est déployée.
![Page 12: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/12.jpg)
12
Les leçons d’Alureon
• Une sophistication encore inégalée
• Un rootkit beaucoup plus répandu qu’anticipé
• Une ingéniosité et un talent évident des auteurs
• Un même rootkit, de multiples malwares
Ce n’est pas parce que tu ne me détectes pas que je n’existe pas (moteurs anti-virus à la traine, technologies inadaptées)
![Page 13: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/13.jpg)
13
StuxNet
• Attention Danger!
• On change d’échelle…
• Un malware « immense »• Exploitant plusieurs 0day… (RCE, EoP)
• Cible: les centrifugeuses contrôlées par WinCC (SCADA) opérant à très grande vitesse
![Page 14: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/14.jpg)
14
Les leçons de StuxNet
• Des équipes de plusieurs pays collaborent…
• Des réseaux « ultra protégés » compromis
• Des systèmes « intouchables » touchés
StuxNet est la première « arme » publiquement connue
![Page 15: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/15.jpg)
15
2010…Les incidents majeurs traités ces 6 derniers mois par CSS Security
![Page 16: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/16.jpg)
16
Incident A – Points clés
• Emails ciblés témoignant d’un véritable travail de social engineering
• Intrusion sur plus de 6 mois• Élévation progressive de privilège• Fuite d’informations sensibles
• Des attaquants patients et discrets
• Plusieurs Chevaux de Troie utilisés (17), beaucoup d’outils d’administration à distance.
![Page 17: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/17.jpg)
17
Incident A - Leçons
• De nouvelles difficultés!
• Comment analyser les milliers de systèmes potentiellement impactés:• Différents malwares, déployés sur quelques systèmes parmi
des milliers
• Reprise de contrôle d’Active Directory• Des dizaines de comptes de service impliqués• Des dizaines d’applications à reconfigurer, tester…• Des milliers de mots de passe à changer
• L’éducation et le partage d’information avec les utilisateurs sont un point clé de la réussite
![Page 18: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/18.jpg)
18
Incident B – Points Clés
• Intrusion via une injection SQL sur une application Web
• Suivie de l’exploration discrète et patiente des réseaux en DMZ puis Corporate (pendant 9 mois)
• Elévation de privilège jusqu’à la compromission d’Active Directory
• Usage de la technique « Pass The Hash »
• Le client reconstruit entièrement sa forêt….
![Page 19: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/19.jpg)
19
Incident B – Leçons
• Les DMZs ne sont pas (plus) étanches, la segmentation réseau a ses limites
• Attention aux machines ET aux réseaux sur lesquels des comptes privilégiés sont utilisés
• La vigilance est importante pour détecter les anomalies
![Page 20: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/20.jpg)
20
Incident C&D – Points clés
• Infection de type drive-by exploitant une vulnérabilité corrigée depuis des mois dans une runtime
• Attaque ciblée par mail, véritable bijou de social engineering
![Page 21: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/21.jpg)
21
Incident C&D - Leçons
• Attention aux mises à jour des applications et run-time.
• C’est plus long, plus difficile que les mises à jour d’OS mais plus que jamais nécessaire…
• Les filtres de mail ne sont pas efficaces.• Le social engineering quand il est:
• Personnel• Placé dans le temps• Contextuelest imparable…
![Page 22: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/22.jpg)
22
MéthodologiesAdvanced Persistent Threats
![Page 23: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/23.jpg)
23
APTs: Advanced Persistent Threats
Méthode APTs :a. Etude des cibles
– Footprinting, Scanning– Réseaux sociaux, social engineering le + Facile
b. Entrer: infection via Zero Day, SPAM, …c. Contrôle – Backdoorsd. Etendre – Outils de vol de mots de passe,e. Vol d’information - via des serveurs dédiésf. Persistance - Rootkits, Mises à jour régulières
![Page 24: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/24.jpg)
24
•Advanced:Utilisation d’un large spectre de techniques:
SPAM, 0day, drive by, … tout dépend de la “posture” de la cible
•Persistent :Les objectifs sont clairement définisPas des opportunités découvertes “au hasard”L’attaque passe par différentes phases, elle n’est pas constante en intensité et profondeur.
•Threat:Des hommes sont derrière ces attaques: expérimentés, motivés, financés. Il ne s’agit pas d’attaques automatisées via des malwares “opportunistes”
Source: http://en.wikipedia.org/wiki/Advanced_Persistent_Threat
![Page 25: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/25.jpg)
25
La méthode dite “Chinoise”
![Page 26: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/26.jpg)
26
La malédiction du laptop d’entreprise
![Page 27: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/27.jpg)
27
Le laptop “Corporate”
• Employé le jour, consommateur la nuit:• Infecté le soir à la maison• Ramené le matin dans le réseau d’entreprise• Le Cheval de Troie est désormais dans le
périmètre• Et si ce laptop est celui d’un administrateur…
![Page 28: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/28.jpg)
28
Mesu
res d
e s
écu
rité
Network
Data Self-Protection
People and Process
Temps
Host
• La protection doit se déplacer vers les terminaisons et sur les données
• Le réseau n’est plus le point central de l’application de la politiquede sécurité
Evolution des contrôles
![Page 29: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/29.jpg)
29
Que faire?
Politique, Procédures, & Education
Durcissement de l’OS, patch management, authentification, HIDS
Firewalls, VPN quarantaineGardes, serrures, …
Segmentation, IPSec, NIDS
Durcissement d’application, antivirus
ACL, chiffrement
Education, formation
Sécurité physique
Périmètre
Réseau interne
Machine
Application
Données
• Défense en profondeur...
La protection est inutile sans la détection!! Le contrôle du trafic en sortie est essentiel
![Page 30: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/30.jpg)
30
MSDN et TechNet : l’essentiel des ressources techniques à portée de clic
http://technet.com http://msdn.com
Portail administration et infrastructure pour informaticiens
Portail de ressources technique pour développeurs
![Page 31: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/31.jpg)
![Page 32: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/32.jpg)
32
A BotNet
![Page 33: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/33.jpg)
33
BotNet Networks
![Page 34: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/34.jpg)
34
Couleurs
Palette de couleurs à utiliser
Liens : http://www.microsoft.com (#fce62f RVB 252 230 47)
#fce62f RVB 252 230 47 #35ddfd RVB 53 212 253 #ff4e00 RVB 255 78 0
#fc2feb RVB 252 47 235 #5afd35 RVB 90 253 53 #ffffff RVB 255 255 255
#000000 RVB 0 0 0 #999999 RVB 153 153 153 #dddddd RVB 221 221 221
#0f53a0 RVB 15 83 160 #5b12b5 RVB 91 18 181 #ffa71c RVB 255 167 28
Pour fond blanc :
Puces :
![Page 35: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/35.jpg)
35
Titre de la diapositive
Titre du bloc 1Texte sans puce
Texte avec puce
Titre du bloc 2Texte sans puce
Texte avec puce
![Page 36: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/36.jpg)
36
VidéoTitre de la vidéo
![Page 37: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/37.jpg)
37
DémoTitre de la démo
![Page 38: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/38.jpg)
38
AnnonceTitre de l’annonce
![Page 39: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/39.jpg)
Titre de la diapositive (code)
Fond blanc pour slide de code
![Page 40: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/40.jpg)
40
Tableau
Titre du tableauColonne 1 Colonne 2 Colonne 3 Colonne 4 Colonne 5
![Page 41: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/41.jpg)
41
Graphique
Category 1 Category 2 Category 3 Category 4
4.3
2.5
3.5
4.5
2.4
4.4
1.8
2.8
2 2
3
5
Chart TitleSeries 1 Series 2 Series 3
![Page 42: 2 Intrusions en entreprise : Retours d'expériences 10 Février 2011 Jean Gautier Ingénieur Sécurité Microsoft](https://reader036.vdocuments.pub/reader036/viewer/2022070309/551d9da0497959293b8cfb0d/html5/thumbnails/42.jpg)
42
Camembert
59%
23%
10%9%
Titre du graphique
1st Qtr
2nd Qtr
3rd Qtr
4th Qtr