Lutter contre les attaques ciblées avec quelques mesures simples et efficaces
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Lutter contre les attaques ciblées avec quelques mesures simples et efficaces

on

  • 465 views

Toute organisation peut être la victime d’une attaque ciblée de la part d’attaquants déterminés afin de réaliser une intrusion, un déni de service, et éventuellement voler des données de ...

Toute organisation peut être la victime d’une attaque ciblée de la part d’attaquants déterminés afin de réaliser une intrusion, un déni de service, et éventuellement voler des données de manière furtive, ou bien détruire les disques durs des machines du système d’information. Avec le recul, force est de constater que dans la très grande majorité des cas, de simples mesures auraient permis soit de stopper, soit de nettement ralentir l’attaque. Venez participer à cette session pour obtenir une liste d’actions que vous pouvez mettre en œuvre maintenant pour augmenter de manière spectaculaire votre niveau de sécurité et devenir une cible difficile à atteindre. Quelques astuces pour déterminer si vous êtes déjà la victime d’une attaque ciblée seront également partagées

Statistics

Views

Total Views
465
Views on SlideShare
465
Embed Views
0

Actions

Likes
2
Downloads
10
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment
  • Notation
  • Intro Serveurs / Entreprise / Reseaux / IT
  • An exploit is malicious code that takes advantage of software vulnerabilities to infect, disrupt, or take control of a computer without the user’s consent and usually without the user’s knowledge. Exploits target vulnerabilities in operating systems, web browsers, applications, or software components that are installed on the computer. In some scenarios, targeted components are add-ons that are pre-installed by the computer manufacturer before the computer is sold. A user may not even use the vulnerable add-on or be aware that it is installed. Some software has no facility for updating itself, so even if the software vendor publishes an update that fixes the vulnerability, the user may not know that the update is available or how to obtain it, and therefore remains vulnerable to attack. The number of computers reporting exploits delivered through HTML or JavaScript remained high during the first half of 2012, primarily driven by the continued prevalence of Blacole, the most commonly detected exploit family in 1H12.Java exploits, the second most common type of exploit detected in 1H12, rose throughout the period, driven by increased detection of exploits for CVE-2012-0507 and CVE-2011-3544.Exploits that target vulnerabilities in document readers and editors were the third most commonly detected type of exploit during 2H11, due primarily to detections of exploits that target older versions of Adobe Reader.
  • Document parser exploits are exploits that target vulnerabilities in the way a document editing or viewing application processes, or parses, a particular file format. Exploits that affect Adobe Reader and Adobe Acrobat accounted for most document format exploits detected throughout the last four quarters. Most of these exploits were detected as variants of the generic exploit family Win32/Pdfjsc. As with many of the exploits discussed in this section, Pdfjsc variants are known to be associated with the JS/Blacole exploit kit. In most cases, the vulnerabilities targeted by these exploits had been addressed with security updates or new product versions several months or years earlier.Exploits that affect Microsoft Office and Ichitaro, a Japanese-language word processing application published by JustSystems, accounted for a small percentage of exploits detected during the period.
  • Intent to persist accessAlways get copy of Active Directory (all password hashes)Typically custom malware on random hosts
  • Bad guy targets workstations en masse User running as local admin compromised, Bad guy harvests credentials.Bad guy starts “credentials crabwalk”Bad guy finds host with domain privileged credentials, steals, and elevates privilegesBad guy owns network, can harvest what he wants.
  • Cette vidéo démontre l’importance de l’hygiène des crédentités.Ce n’est pas une problématique spécifique à Windows (System sur Windows = root sur Linux/Unix = accès complet à tous les secrets sur le disque ou en mémoire, si vous savez où les trouver)L’attaque Pass the Hash n’exploite pas une vulnérabilité, les mêmes privilèges systèmes nécessaires à cette méthode permettent égalementD’enregistrer toutes les frappes du clavierD’enregistrer tous les clics de sourisDe faire des captures d’écran à volontéDe créer de nouveaux comptes administrateurs locaux sur la machineL’outil de la démo est disponible publiquement et a été écrit et publié par un chercheur en sécurité indépendant (Microsoft n’en est pas l’auteur)Nous avons téléchargé l’outil depuis un site Web public (un blog, pas un site de hackers underground)Nous avons réalisé la démo dans un environnement isolé and nous ne permettrons pas à l’outil de toucher un réseau client
  • Prévention (protection et isolation)Plan de continuité d’activité, évaluation des risques, évaluation des vulnérabilités sur le réseau, revue de code d’application, politiques et procédures, défense en profondeur, durcissement, préparation à l’analyse post mortem, planification de la réponse à incident, détection d’intrusionDétectionRéponse (et récupération)Acquisition post mortem, réponse à incident et remèdes, examen post mortem et rapport, revue d’incident
  • Effectiveness Depends on Execution
  • Aucun utilisateur ne doit être administrateur local de leur machine, même les administrateursLes administrateurs de domaine ne doivent jamais ouvrir de session interactive sur une station de travail ou un serveur membre du domaine (seulement sur les contrôleurs de domaine)Les comptes de service à hauts privilèges sont un risque
  • Mitigation 1 - Restrict and protect high privilegeddomainaccounts
  • Mitigation 2 - Restrict and protect local accounts with administrative privilegesprojet de gestion des mots de passe par GPO : http://code.msdn.microsoft.com/windowsdesktop/Solution-for-management-of-ae44e789+fonctionnalités Managed Service Accounts et Group Managed Service Accounts
  • Mitigation 3 - Restrict inbound traffic using the Windows Firewall
  • LivrablesDocument synthétique du Statut de l'existant (Word)Inventaire de l’environnement AD et plate-forme management (Excel)Liste des configurations erronées (Excel)Liste des corrections immédiates (Excel)Document de divergence (Word)Plan de remédiation (Word)
  • http://www.editions-eyrolles.com/livres/Windows-8-pour-les-professionnels/

Lutter contre les attaques ciblées avec quelques mesures simples et efficaces Presentation Transcript

  • 1. Donnez votre avis ! Depuis votre smartphone, sur : http://notes.mstechdays.frDe nombreux lots à gagner toutes les heures !!! Claviers, souris et jeux Microsoft… Merci de nous aider à améliorer les TechDayshttp://notes.mstechdays.fr
  • 2. Lutter contre les attaques ciblées Cyril Voisin Chief Security Advisor Microsoft Gulf @cyrilvoisin #SEC203 http://blogs.technet.com/voyEntreprise / IT / Serveurs / Réseaux / Sécurité
  • 3. Attaques à l‟aveugle | Attaques cibléesMENACES ACTUELLES
  • 4. Attaques à l’aveuglehttp://microsoft.com/sir
  • 5. Exploitations: tendances
  • 6. Exploitations de formats de documents
  • 7. Adoption des mises à jour de sécurité Microsoft Microsoft Adobe Oracle Adobe Flash Security Update Status Windows Word Reader Java Player Missing latest update* 34% 39% 60% 94% 70% Missing three latest updates 16% 35% 46% 51% 44%
  • 8. Attaques ciblées• Attaquants motivés – Organisation avec des employés à temps plein – Maintiennent à jour les profils de vos employés et de votre organisation • Qui a accès à ce qu‟ils veulent • Qui sont les administrateurs • Qui clique sur les emails de phishing• Feront le nécessaire pour vous atteindre• Iront là où vous irez• Buts: espionnage, modifications, sabotage
  • 9. QUELQUES RAPPELS SUR LASÉCURITÉ
  • 10. Objectifs de la sécurité• Confidentialité – (secrets, propriété intellectuelle… à l‟ère de WikiLeaks et des réseaux sociaux)• Intégrité – (données et systèmes)• Disponibilité – (données et systèmes)
  • 11. Pas seulement des technologies…
  • 12. La sécurité résulte de la combinaison de• Processus (gestion des risques, gestion des mises à jour, gestion de configuration, etc.)• Personnes (employés, sous-traitants, admins, développeurs, utilisateurs, menace intérieure…)• Technologies (pas seulement des technologies de sécurité)
  • 13. Principes de sécurité• Il N‟y a PAS de sécurité – Moindre privilège absolue – Réduction de la surface• Gestion des risques d‟attaque – (bien, vulnérabilité, – Isolation menace, atténuation) contre élimination des – Audit / traçabilité risques – Besoin d‟en connaître• Défense en profondeur – Séparation et rotation des Mise en place de plusieurs rôles couches de protection pour ralentir ou arrêter l‟attaquant – Sécurité positive (réseau, hôte, application…)
  • 14. Le dilemme du défenseur• Nécessité de tout protéger au bon niveau• L‟attaquant a seulement besoin d‟exploiter UNE faiblesse pour compromettre l‟entreprise
  • 15. ÉTAPES TYPIQUES D’UNE ATTAQUECIBLÉE
  • 16. Étapes d’une attaque cibléeGestion (pouvoir): Ciblage de victimesContrôleurs de Exécution de code par exploitationdomaine d’une faiblesse Élévation de privilèges si nécessaire “déplacement latéral”Données et applis Installation d’un malware ou d’une(valeur): boîte à outilsServeurs etApplications Recherche de crédentités puissantes (admins)Terminaux Propagation par le réseau(accès):Utilisateurs et Exfiltration de données ou destructionstations detravail
  • 17. PASS THE HASH
  • 18. Avertissement à propos de la démo• Cette vidéo démontre l‟importance de l‟hygiène des crédentités• Ce n‟est pas une problématique spécifique à Windows (System sur Windows = root sur Linux/Unix = accès complet à tous les secrets sur le disque ou en mémoire, si vous savez où les trouver)• L‟attaque Pass the Hash n‟exploite pas une vulnérabilité, les mêmes privilèges systèmes nécessaires à cette méthode permettent également – D‟enregistrer toutes les frappes du clavier – D‟enregistrer tous les clics de souris – De faire des captures d‟écran à volonté – De créer de nouveaux comptes administrateurs locaux sur la machine• L‟outil de la démo est disponible publiquement et a été écrit et publié par un chercheur en sécurité indépendant (Microsoft n‟en est pas l‟auteur)• Nous avons téléchargé l‟outil depuis un site Web public (un blog, pas un site de hackers underground)• Nous avons réalisé la démo dans un environnement isolé and nous ne permettrons pas à l‟outil de toucher un réseau client
  • 19. Livre blanc contre le vol de crédentités• http://aka.ms/PtH• Liste les atténuations recommandées, nous y reviendrons
  • 20. APPROCHE DÉFENSIVESTRUCTURÉE
  • 21. Deux horizons• Tactique / Court terme / Retours rapides – Contrats de support, équipe interne de réponse à incident, durcissement, moindre privilège…• Stratégique / Long terme / Approche globale / Sécurité comme un atout pour l‟entreprise – Initiative sécurité complète, politique de sécurité mettant en œuvre les bonnes pratiques (prévention, détection, audit, réponse à incident, récupération post incident, continuité de l‟activité, security development lifecycle), rapport pour les dirigeants mesures clés, certification ISO 27001 avec un périmètre significatif, cloud computing, etc.
  • 22. Soyons réalistes• Vous êtes (probablement) une cible• D‟un point de vue pratique vous ne pouvez pas tout protéger• Vous allez être attaqué (si ce n‟est pas déjà fait)=> Agir en fonction des risques (biens etpersonnes clés, et tout ce dont ils dépendent)
  • 23. Approche• Protection• Détection• Confinement• Réaction• Récupération
  • 24. Choisir un plan de récupération Présence et compétence de l‟attaquant faibles Présence et compétence de l‟attaquant hautes Aucune probabilité de persistance Persistance assurée Haute efficacité Efficacité dépendante Basse efficacité inhérente de l’exécution inhérente
  • 25. Arrêter ou ralentir significativement l‟attaquant3 MESURES ESSENTIELLES
  • 26. 1. Mises à jour de sécurité• Objectif: ne pas laisser de vulnérabilité connue qui pourrait être exploitée par l’attaquant• TOUS les logiciels (y compris Java, Adobe…)• Dans un délai raisonnable• Processus, pas action coup de poing• Rappel: fin de vie de Windows XP
  • 27. 2. Moindre privilège• Objectif: éviter de donner tous les droits à l’attaquant• Administrateurs de domaine• Comptes de services• Administrateur local
  • 28. Restreindre et protéger les comptes de domaine à hautprivilèges Objectif Comment RésultatCette atténuation • Empêcher les comptes administrateurs du Un attaquant nerestreint la domaine et de l‟entreprise (DA/EA) de peut pas dérober lapossibilité pour s‟authentifier sur des machines d‟un niveau de crédentité d‟unles confiance inférieur compte si celle-ciadministrateurs • Fournir aux administrateurs des comptes pour n‟est jamais utiliséed‟exposer par remplir leur devoir d‟administration sur la machine qu‟ilmégarde leurs • Assigner des stations de travail dédiées pour les a compromisecrédentités sur tâches administrativesdes machines à • Marquer les comptes privilégiés comme “compteplus haut risque […] sensible[s] et ne peu[ven]t pas être délégué[s] ” • Ne pas configurer des tâches planifiées ou des services pour utiliser des comptes de domaine privilégiés sur des machines d‟un niveau de confiance inférieur
  • 29. Restreindre et protéger les comptes locaux administrateurs Objectif Comment RésultatCette atténuation • Mettre en œuvre les restrictions disponibles dans Un attaquant quirestreint la Windows Vista/7/8 qui empêchent les comptes obtient lapossibilité pour locaux d‟être utilisés pour l‟administration à crédentité d‟unles attaquants distance compte local d‟uned‟utiliser des • Interdire explicitement les droits machinecomptes locaux d‟authentification par le réseau ou par Bureau à compromise neadministrateurs ou distance (RD) pour tous les comptes locaux peut pas l‟utiliserleurs équivalents administrateurs pour effectuer unpour des • Créer des mots de passe uniques pour les mouvement latéralmouvements comptes ayant des droits administrateurs locaux sur le réseau delatéraux de type l‟organisationattaque PtH
  • 30. Restreindre le trafic entrant avec le Pare-feu Windows Objectif Comment RésultatCette atténuation • Restreindre tout trafic entrant sur toutes les Un attaquant quirestreint la stations de travail sauf pour celles où un trafic obtient n‟importepossibilité pour entrant de source sure est attendu (tel que quel type deles attaquants depuis les stations de travail du helpdesk, les crédentité ned‟initier un analyseurs de conformité et serveurs) pourra pas semouvement connecter auxlatéral depuis une autres stations demachine travailcompromise enbloquant lesconnexions réseauentrantes
  • 31. Recommendations (1)Recommendations Effectiveness Effort Privilege Lateral required escalation movementRemove standard users from Excellent High √ -the local administratorsgroupLimit the number and use of Good Medium √ -privileged domain accountsConfigure outbound proxies Good Low √ -to deny Internet access toprivileged accountsEnsure administrative Good Low √ -accounts do not have emailaccounts
  • 32. Recommendations (2)More recommendations Effectiveness Effort Privilege Lateral required escalation movementUse remote management Good Medium √ -tools that do not placereusable credentials on aremote computer‟s memoryAvoid logons to potentially Good Low √ √compromised computersUpdate applications and Partial Medium - -operating systemsSecure and manage domain Partial Medium - -controllersRemove LM Hashes Partial Low - -
  • 33. 3. Liste blanche d’applications• Objectif: lister les applications autorisées afin d’interdire les autres (notamment celles lancées par l’attaquant)• AppLocker dans Windows 7 / Windows 8 – Signatures numériques – Chemin de confiance local
  • 34. 3 mesures essentielles• Mises à jour de sécurité de tous les logiciels• Restreindre et protéger les comptes hautement privilégiés (admins)• Liste blanche d‟applications
  • 35. MESURES SUPPLÉMENTAIRES
  • 36. Autres mesures• Surveiller votre solution antivirale – Exécution correcte, signatures à jour – peut vous donner des indices sur un comportement anormal (l‟attaquant peut arrêter les services antiviraux) – Attention: une attaque ciblée utilisera une version non détectée d‟une boîte à outils / d‟un malware qui ne sera pas captée par votre antivirus (vos défenses ne doivent donc pas se reposer uniquement sur un antivirus)
  • 37. Autres mesures• Définir les données critiques et leur appliquer des protections supplémentaires (au repos et en transit) – Chiffrement avec RMS (Active Directory Rights Management Services) – Ségréguer l‟accès aux données des administrateurs de domaine – Utiliser IPsec pour empêcher la capture via le réseau et mettre en place l‟isolation de domaine et de serveurs (qui vérifie que l„utilisateur et la machine qui essaient de se connecter à une machine ont le droit d‟établir une connexion réseau; par exemple un serveur RH peut exiger que l‟accès ne soit permis que depuis une station RH utilisée par un utilisateur de la RH) – Faire des sauvegardes régulières; tester les restaurations; garder des sauvegardes hors site et hors ligne
  • 38. Autres mesures• Utiliser les modèles de sécurité • Utiliser des pare-feu (Security Compliance Manager) personnels• Sécurité physique • Segmenter et ségréguer le• Filtrer les emails réseau + NAP• Filtrer le contenu Web • Durcir les applications• Contrôler les disques • Déployer une amovibles authentification forte• Eduquer les utilisateurs • Déployer un audit centralisé• Mettre en place une politique de mots de passe forts • Surveiller les intrusions • Capter le trafic réseau…
  • 39. En pratique• Commencer par le • En cas de récupération, une durcissement des serveurs et approche BIG BANG stations critiques recommandée après un test• Protéger les comptes clés pilote en laboratoire d‟abord (puis les autres)• Utiliser des mesures de détection et déployer des leurres
  • 40. TIREZ PARTI DE CE QUE VOUSAVEZ
  • 41. Tirer parti de ce que vous avez• Chiffrement de volume BitLocker (+démarrage sécurisé, attestation avec Windows 8)• Liste blanche d‟applications avec AppLocker• Pare-feu Windows• Connectivité, gestion et sécurité des machines mobiles avec DirectAccess• Protection contre les machines non saines avec NAP• Isolation de domaine et de serveurs avec IPsec
  • 42. Tirer parti de ce que vous avezSystem Center 2012• Configuration Manager (SCCM) pour la gestion des mises à jour• Endpoint Protection (SCEP) pour l‟antimalware• Audit Collection Services (ACS de SCOM) pour la centralisation des audits• Data Protection Manager (DPM) pour les sauvegardes• Orchestrator pour l‟automatisation• …
  • 43. Tirer parti de ce que vous avez• Protéger le contenu et l‟usage des documents sensibles avec Active Directory Rights Management Services (RMS)• Déployer des certificats / IGC avec Active Directory Certificates Services (AD CS)• Gestion des identités avec FIM (Forefront Identity Manager)• Fédération des identités (AD FS)• Exchange Online Protection (EOP, ex FOPE)• Etc.
  • 44. COMMENT MICROSOFT PEUT VOUSAIDER
  • 45. Microsoft Services (Premier/MCS) – Security Health Check – ADSA+R – Revue d‟architecture de sécurité – Environnement d‟administration durci – …
  • 46. ADSA-R • Offre de services focalisée sur AD • 3 parties : – Analyse de sécurité selon les critères du Security Compliance Manager (SCM) – entre 200 et 400 paramètres – Analyse de l‟appartenance aux groupes privilégiés – Questionnaire sur les pratiques d‟administration - ~150 questions • Livrables – Rapport détaillé – Synthèse des priorités et recommandations – Restitution aux interlocuteurs directs et au management, recommandations, priorités – Présentation pour le management avec un résumé pour les VIP
  • 47. CONSIDÉRATIONSSUPPLÉMENTAIRES
  • 48. Cloud computing• Cloud public – Pour vos activités principales; vous partagez la responsabilité avec le fournisseur de cloud – Pour la gestion d‟incidents (VM en veille, messagerie isolée dans Office365 pour la gestion de crise, etc.)• Cloud privé – Automatisation, cohérence des différentes charges pour mettre en œuvre les bonnes pratiques• Cloud hybride (mélange des deux)
  • 49. Détection d’intrus ?
  • 50. RÉSUMÉ
  • 51. Actions• Soyez préparé!• Engagez Microsoft et ses partenaires (proactivement: évaluations de sécurité dans un premier temps dont ADSA-R, puis revue d‟architecture de sécurité / Premier; de manière réactive si nécessaire)• Appliquez les mesures à haut rendement maintenant pour votre infrastructure (gestion des mises à jour de sécurité, moindre privilège et contrôle des comptes privilégiés, liste blanche, pare-feu de stations, durcissement…)• Tirez parti des logiciels que vous avez déjà• Déployez une Plateforme de Services Partagée comme fondation pour mettre en œuvre automatiquement les mesures ci-dessus
  • 52. 4 ouvrages écrits par 13 Microsofteeshttp://www.editions-eyrolles.com/livres/Windows-8-pour-les-professionnels
  • 53. ANNEXE
  • 54. Autres sessions• Traitement dincidents de sécurité : cas pratiques, retours dexpérience et recommandations (SEC312) – Phil Vialle et Patrick Chuzel• Létat de la menace avancée (dite APT) (SEC403) – Nicolas Ruff
  • 55. Dérober le condensat de l’administrateur localDérober le mot de passe en clair de la mémoire de LSA