CONTRÔLE ENDPOINT APPLICATIONS, PÉRIPHÉRIQUES ET FILTRAGE INTERNET
Kaspersky Lab France
CHARTE INFORMATIQUE
Règles d’utilisation des outils
informatiques mis à la disposition
des salariés.
• Installation de logiciels susceptibles de
créer des risques de sécurité
• Matériel personnel des salariés connecté
au réseau de l’entreprise
• Confidentialité des informations
• Téléchargement de fichiers illégaux
• Navigation sur des sites Internet sans
rapport avec le travail du salarié
SOMMAIRE
CONTRÔLE DES APPLICATIONS
FLEXIBILITÉ DE GESTION
CONTRÔLE DES PÉRIPHÉRIQUES
MAÎTRISEZ LES RISQUES INTERNES
FILTRAGE INTERNET
DES RÈGLES COHÉRENTES 35
23
4
Reprenez le contrôle de vos postes de travail : contrôlez le lancement des
applications, surveillez celles qui sont démarrées, automatisez ce
processus à l’aide de fonctions de sécurité avancées
CONTRÔLE DES APPLICATIONS FLEXIBILITÉ DE GESTION
MENACES INTERNES & ABUS DE PRIVILÈGES
D’après des rapports* sur la
sécurité des comptes avec
privilèges
• Les mots de passe des comptes admin ou
avec privilèges sont partagés dans 51% des
sociétés sondées
• Cela prend 90 jours en moyenne à ces
sociétés pour changer ces mots de passe
• Certaines applications métiers requièrent
des comptes avec privilèges
• 69% ne sont pas capables d’identifier une
menace interne
* CYBERARK Privileged Account Security & Compliance Survey Report – May 2013
Ponemon Institute report
APPLICATIONS INDÉSIRABLES : VULNÉRABILITÉS ET FUITES DE DONNÉES
Des risques pour les données de
l’entreprise
• Les logiciels illégaux posent des risques
d’infection et juridiques
• Le service informatique doit remasteriser les
machines plus souvent
• Fuites / partages de données accidentels
lors de l’installation de logiciels P2P
• Fuites / partages de données intentionnels
lors de la démission ou le licenciement
d’employés
CONTRÔLE DU LANCEMENT DES APPLICATIONS
Contrôle l’exécution des processus et des scripts
Contrôle du lancement
des applications
KES 10
Rundll32.exe .dll
Exécutable
portable
*.exe *.scr *.sys
cmd.exe .bat .cmd .com
msiexec.exe .msi
mmc.exe .msc
wscript.exe cscript.exe .js .vbs .wsf
CONTRÔLE DU LANCEMENT DES APPLICATIONS
Enregistre et autorise/bloque les
tentatives de lancement des
applications
• Empêche l’abus de privilèges par les
utilisateurs (installation d’applications
interdites par la charte)
• Empêche l’exploitation d’applications
portables (applications autonomes) pour les
utilisateurs avec des privilèges restreints
• Intégration Active Directory : application des
règles à des utilisateurs et groupes
DÉFINITIONS DES CATÉGORIES Un système de catégories flexible.
• Basée sur des catégories prédéfinies de Kaspersky Lab
• Basée sur le contenu de dossiers contenant des fichiers
d’applications spécifiques (ex : dévelopement interne)
• Basée sur les fichiers exécutables de machines de
référence (master)
• Possibililité d’import/export des catégories
LES CATÉGORIES PRÉDÉFINIES KL
Un moyen simple et rapide de gérer les catégories d’applications.
• Le travail de catégorisation est réalisée par KL dans le cadre du whitelisting
• 16 catégories principales pour couvrir tous types d’applications (multimédia, conception graphique, réseau, navigateurs, divertissements, etc.) avec de nombreuses sous-catégories
• Référencés actuellement dans le catalogue :
• 1 340 585 éditeurs
• 3 691 636 applications
• 2 149 804 584 fichiers
• http://whitelist.kaspersky.com/catalogue
NOTIFICATIONS UTILISATEURS DE BLOCAGE
Notifications système et Kaspersky
Endpoint Security
• Blocage à l’éxecution de l’application
• Notification KES avec détails sur l’infraction
constatée (utilisateur, machine, horodatage
et règles violées)
• Possibilité d’envoi d’une plainte par
l’utilisateur à l’administrateur de la solution
pour une correction des règles
TRAITEMENT DES PLAINTES DES UTILISATEURS
Flexibilité dans les restrictions
imposées aux utilisateurs
• Notifications (email, script, SNMP, SMS) lors
de la récéption d’une nouvelle plainte
envoyé à l’administrateur
• Ajout de l’objet (hash ou certificat) à une
catégorie existante (exclusion) ou à une
nouvelle catégorie directement depuis la
liste des plaintes
MODE TEST POUR LES RÈGLES
Système de validation des règles.
• Pas de blocage, mais des alertes sont
générées en cas de déclenchement des
règles
• Permet de vérifier les règles pendant une
période de test avant activation pour une
mise en production
• Réduit les risques de blocage indésirable
d’une application métier
BLOCAGE PAR DÉFAUT (DENY ALL)
Toutes les autres applications sont
bloquées
Les applications de la liste blanche
sont autorisées
• Fichiers du système d’exploitation
• Office
• Clients de messagerie
• Navigateurs
• Applications d’entreprise
• etc.
?
AVANTAGES DU BLOCAGE PAR DÉFAUT
Protection contre les attaques ciblées et les
Advanced Persistent Threat (APT)
Protection contre les utilisateurs malveillants
et malicieux
Protection Anti-malware
Diminue la surface d’attaque
CAS D’UTILISATION DU BLOCAGE PAR DÉFAUT
Machine avec fonctionnalités
limitées
Réseaux d’entreprise classique
POS, ATM
Terminaux
PC à usage unique
— Caisse
— Gestion des stocks
Machines accédées
publiquement
Postes de travail
APPLICATION DU BLOCAGE PAR DÉFAUT
Augmente considérablement le
niveau de sécurité
• Désactivation de la règle par défaut “Tout
autoriser”
• Création de règles d’autorisations
d’exécution d’applications pour des
utilisateurs ou groupes d’utilisateurs
• Règles basées sur des catégories
alimentées depuis les métadonnées des
fichiers, les catégories KL, une machine
référence ou encore le contenu d’un dossier
RAPPORT DU CONTRÔLE DU LANCEMENT DES APPLICATION
Consultation centralisée des
tentatives d’exécution bloquées
• Se repose sur les évènements de blocage
de lancement d’applications
• Les évènements liés au mode test sont
ignorés
• Possibilité d’export du rapport au format
HTML, PDF et XML
CONTRÔLE DE L’ACTIVITÉ DES APPLICATIONS
KES analyse les applications lors de leur
lancement et les répartis automatiquement dans
différentes catégories :
• De confiance
• Restrictions faibles
• Restrictions élevées
• Douteuses
Cette catégorisation s’effectue via :
• KSN
• Les paramètres indiqués par l’administrateur
• Une analyse heuristique
CONTRÔLE DE L’ACTIVITÉ DES APPLICATIONS
Des limitations s’appliquent à chaque catégorie :
• Accès aux fichiers
• Accès au registre
• Interaction avec les autres applications
Ces permissions sont modifiables pour chaque
catégorie, avec par défaut les règles suivantes :
• De confiance : aucune limitation
• Restrictions faibles : La plupart des actions sont
autorisées, interdiction de modifier les modules
systèmes
• Restrictions élevées : La plupart des actions
sont interdites, surtout celles qui affectent le
système
• Douteuses : Toute action est bloquée
PROTECTION CONTRE LES CRYPTOMALWARES
Protection avancée contre les
cryptomalwares (ransomwares)
• Protection des données personnelles et
sensibles via le Contrôle des privilèges
des applications et la classification
automatique des programmes
• Possibilité d’étendre la liste des documents
protégés contre les modifications
(chiffrement) en cas d’infection
CONTRÔLE DES APPLICATIONS
Par catégories prédéfinies
Supporte le
“Blocage par défaut”
Privilèges des applications
Whitelisting et inventaire Stratégie de groupe
Définir les périphériques autorisés afin de réduire les menaces internes
évitent les épidémies virales dans le réseau de l’entreprise
CONTRÔLE DES PÉRIPHÉRIQUES MAITRISEZ LES RISQUES INTERNES
L’HYGIÈNE DES CLÉS USB
Les clés USB : une méthode
d’infiltration pour les pirates
• 30% des infections malware sont répandues
via des supports amovibles (clés USB, carte
SD)
• Stuxnet : 2 centrales nucléaires ont été
inflitré après qu’un employé ait connecté une
clé USB infectée dans les systèmes
• Infection via le lancement automatique
depuis le support amovible (autorun)
LES RISQUES LIÉS AUX SUPPORTS AMOVIBLES
Les fuites de données
• D’après un sondage de SanDisk*, les données copiées par les utilisateurs sont :
• Les données des clients (25%)
• Les informations financières (17%)
• Les projets de l’entreprise (15%)
• Les données sur les employés (13%)
• Les projets marketing (13%)
• La propriété intellectuelle (6%)
• Les codes sources (6%)
Les infections
• 26%** des infections opèrent via le mécanisme Autorun des disques amovibles
• Utilisé dans les attaques ciblées permanentes (APT)
*SanDisk Survey Shows Organizations at Risk from Unsecured Usb Flash Drives
**Microsoft Security Intelligence Report Volume 11, January-June, 2011
CONTRÔLE DES PÉRIPHÉRIQUES
Restreint l’accès :
• Disques durs
• Disques amovibles
• Disquettes
Bloque l’accès :
• Imprimantes
• Lecteurs CD/DVD
• Modems
• Lecteurs de bandes
• Périphériques multifonctionnels
• Lecteurs de carte à puce
• Périphériques Windows CE USB ActiveSync
• WiFi
• Adaptateurs réseaux externes
• Périphériques portables (MTP)
• Bluetooth
• Caméras et scanners
Selon :
— Le compte
— Le type d’opération : Lecture/Ecriture
— La planification
PROTECTION CONTRE LA FUITE DES DONNÉES
Restrictions d’accès aux
périphériques
• Interdit la copie de données sur les supports
amovibles
• Empêche la copie de données sensibles en
dehors des heures de bureau
BUS DE CONNEXION
Blocage des bus de connexion
• Infrarouge
• Port série
• Port parallèle
• USB
• Firewire
• PCMCIA
Pour une protection renforcée des machines en accès publique
• Salle de formation
• Machine outil
• Machine en accès libre (bibliothèque)
PÉRIPHÉRIQUE DE CONFIANCE
Règles d’exclusion des
périphériques
• Liste des périphériques autorisés
• Vue personnalisable des champs pour
l’utilisateur
PÉRIPHÉRIQUE DE CONFIANCE
Exclusions par Modèle, ID et
Masque
• Liste des périphériques basée sur l’audit
matériel
• Possibilité d’utiliser un masque pour exclure
un ensemble de périphériques sans les
connecter
Applicable aux objets
• Utilisateurs ou groupe d’utilisateurs
• Machines, via les stratégies et profils de
protection
ACCÈS TEMPORAIRE AUX PÉRIPHÉRIQUES BLOQUÉS
1. L’utilisateur crée une clé d’accès
2. Et l’envoie à l’administrateur
3. L’administrateur génère un code
4. Et l’envoie à l’utilisateur
5. L’utilisateur active la clé
6. Et peut accéder au périphérique
NOTIFICATIONS UTILISATEURS DE BLOCAGE
Notifications système et Kaspersky
Endpoint Security
• Blocage lors de l’accès au périphérique
• Possibilité d’envoi d’une plainte par
l’utilisateur à l’administrateur de la solution
pour une correction des règles
TRAITEMENT DES PLAINTES DES UTILISATEURS
Flexibilité dans les restrictions
imposées aux utilisateurs
• Notifications (email, script, SNMP, SMS) lors
de la récéption d’une nouvelle plainte
envoyé à l’administrateur
CONTRÔLE DES PÉRIPHÉRIQUES
Restriction d’accès à un utilisateur/groupe
Gestion des bus de connexion
Contrôle par Device ID
Planification possible Stratégie de groupe
Renforcez la sécurité de la navigation des employés : une continuité entre
votre politique de filtrage appliquée au sein du réseau local et aux
nomades
FILTRAGE INTERNET DES RÈGLES COHÉRENTES
LES HABITUDES DE NAVIGATION EN ENTREPRISE
Des comportements à risque,
contreproductif et consommateur
de bande passante
• Utilisation de services de stockage en ligne
pour l’échange de fichiers volumineux
(Dropbox, Google Drive, etc.)
• Navigation sur les réseaux sociaux,
boutiques en lignes
• Jeux en ligne
• Téléchargement de contenu illicite
ACTIVITÉS BANNIES OU RESTREINTES EN ENTREPRISE
Kaspersky Lab Global IT Security Risks - 2012
?
FILTRAGE DE CONTENU POUR LES NOMADES
FILTRAGE DE CONTENU
Application des règles de filtrage
sur le poste de travail
• Filtre l’accès aux ressources Internet selon
la charte informatique de la société
• S’applique au trafic HTTP / HTTPS
• Indépendant du navigateur
FILTRAGE DE CONTENU
Critères de blocage
• Par adresse
• Par contenu
• Selon des catégories prédéfinies
• Selon des types de données prédéfinis
• Selon des catégories et des types de
données
• Par utilisateur ou groupe d’utilisateur
• Selon une planification
NOTIFICATION LIÉE À UN AVERTISSEMENT
Notification intégrée au navigateur
• Personnalisation du message par
l’administrateur
• Possibilité pour l’utilisateur de continuer sur
la ressource Internet
• Possibilité d’envoyer une plainte à
l’administrateur
NOTIFICATION LIÉE À UN BLOCAGE HTTPS
Notification intégrée au navigateur
• Analyse de l’URL
• Message du navigateur lié à l’impossibilité
d’afficher la page
• Il est impossible de remplacer le contenu
d’une connexion sécurisée
NOTIFICATION LIÉE À UN BLOCAGE HTTP
Notification intégrée au navigateur
• Personnalisation du message par
l’administrateur
• Impossible d’accéder à la ressource pour
l’utilisateur
• Possibilité d’envoyer une plainte à
l’administrateur
TRAITEMENT DES PLAINTES DES UTILISATEURS
Consultation centralisée des
plaintes
• Notifications (email, script, SNMP, SMS) lors
de la récéption d’une nouvelle plainte
envoyé à l’administrateur
RAPPORT DE FILTRAGE DE CONTENU
Consultation centralisée des
blocages et avertissements
• Décompose les statistiques du filtrage de
contenu par règles et actions entreprises
• Possibilité d’export du rapport au format
HTML, PDF et XML
FILTRAGE DE CONTENU
Filtrage du trafic web
indépendant du navigateur
Blocage par catégories d’URL
Blocage des contenus (vidéos, images, archives,…)
MAJ temps réel par le Cloud Kaspersky
Stratégie de groupe
XXX
€€€
Jackpot
Poker
MERCI, QUESTIONS ? Kaspersky Lab France
2, rue Joseph Monier
92500 Rueil Malmaison
Tel : 0.825.888.612
www.kaspersky.fr