Sylvain Dumas – Intel Security McAfee - colloque-rsi
Download
Report
Transcript Sylvain Dumas – Intel Security McAfee - colloque-rsi
Sécurité connectée: La vie en silos,
excellente
pour les pirates
.
Sylvain Dumas
McAfee SE, CISSP
Le pape Jean Paul II (2005)
2
May 20, 2014
Le pape Francis (2013)
3
May 20, 2014
Voyez vous
la différence…
4
May 20, 2014
Internet of Things (IoT)
Source: RTCMagazine
May 20, 2014
La surface des attaques s’aggrandit
VIRTUAL
ENVIRONMENT
USB
EMAIL
SMART
PHONE
PC
LAPTOP
SAN
WIRELESS
TABLET
DATABASE
VOIP
APPS
SERVERS
1 MILLIARD
D’UNITÉS
ROUTING/
SWITCHING
CLOUD
EMBEDDED
DEVICES
15 MILLIARD
D’UNITÉS CONNECTÉES
D’ICI 2015
Maliciels par plate-formes
500+
Maliciels uniques
60,000+
Maliciels uniques
Maliciels par plate-formes
22,000,000+
Maliciels uniques
Maliciels par plate-formes
Plus de 99.9% de tout les
maliciels ciblaient Windows
Windows
OS X
Android
Other
Les maliciels toujours en croissance…
28,000,000
Maliciel en croissance
de 22% du Q4’12 au
Q1’13 et doublé de
Q4’12 au Q4’13
14,000,000
12,000,000
10,000,000
La découverte de
maliciels de 2012 s’est
accrue de 50%
sur 2011.
8,000,000
6,000,000
4,000,000
2,000,000
0
Q3
Q1 Q2
Q3
Q4 Q1 Q2 Q3
Q4 Q1 Q2
Q3
Q4
Q1 Q2
Q4
2010 2010 2010 2010 2011 2011 2011 2011 2012 2012 2012 2012 2013 2013 2013 2013
Les maliciels continuent de croitre, et deviennent plus sophistiqués…
Source: McAfee Labs ,2013
McAfee Labs voit environ 200 nouveaux
maliciels par minute. C’est environ 3 par
secondes…
11
May 20, 2014
Les quatres phases d’une attaque
Contact initial
Accès physique
Message nonsolicité
Exécution locale
Établir sa présence
Activité malicieuse
Exploit
Téléchargement de
maliciel
Propagation
Rehaussement de
privilèges
Activités Bot net
Ingénierie locale
Site Web
Accès réseau
Erreur de
configuration
Persister sur le
système
Instinct de
conservation
Adware, Scareware,
Ransomware
Fraude financière et
d’identité
Altérer
Les quatres phases d’une attaque
Contact initial
Exécution locale
Établir sa présence
Activité malicieuse
Bot Services
Send unsolicited
message
Insert Physical
Media
USB drive
Facebook
IM
email
User visits
untrusted
web site
User visits
trusted
web site
User opens
malicious
message
User visits
page with
malicious
content
Man in the middle
Download and
install
additional
malware
Convince user to
run executable
Access target’s
LAN
Wireless
(Rogue AP)
File format/
browser
vulnerability
Public WAP
Remote
Exploit
Physical Access
to HW
Stolen laptop
Network Service
Exploit
Application Exploit
(webserver)
Modify server
filesystem/
database
Phishing
attack
Modify existing
service
Send spam
Install service
Open proxy
Malware
remains
active in
system
Etc.
Disrupt security
software or
updates
Copy to file
share
Rootkit techniques
Network Service
Exploit
Process Injection
Both
installed &
operational
Sell bot
services
DDOS
Self-preservation
Propagate
another system
User visits (apparently)
page controlled
by attacker
Remote access
Add BHO or
explorer extension
Malicious code
execution
Wired
Persist on the
system
Tampering
Malicious
destruction of
files
Ransomware
encrypt/ modify
files
Etc.
Etc.
Money extorted
to recover files
Command control
IRC, HTTP, P2P, twitter
etc.
Intellectual
Property Theft
Ads displayed,
click fraud
Adware/scareware
Browser plugins,
toolbars, config
changes
etc.
User pays for Fake
AV
Capture sensitive data
Identity
Theft/ Financial
Fraud
Keyloggers
Man-in-the browser
Etc.
Destruction or
modification of user’s
files
Transmit
captured data
Exemple - Cridex
Trojan financier complexe
Distribué via
Pourriel
Rootkits
Autres kits d’exploits
14
May 20, 2014
Example: Cridex
Physical access to HW
e.g. stolen laptop
“Evil Maid” attack
Insert physical media
e.g.: USB drive
Send unsolicited message
Facebook
IM
email
User visits untrusted site
e.g.: Blackhat SEO
User visits trusted web site
e.g.: XSS vuln
Access target’s LAN
Public WAP
Compromise another system
Blackhole exploit kit
Execute from
removable media
Autorun
OS Exploit
Message reader
vulnerability
User visits page
with malicious
content
MITM
Convince user to run
executable
File format/browser
vulnerability
Malicious code
execution
Read local file
e.g. cookie,
password
cache
Identity Theft/
Financial Fraud
Remote Exploit
Network Service Exploit
Application exploit
(e.g. webserver)
Modify server
filesystem/
database
Example: Cridex
Persist on the system
Install service
Add BHO or explorer extension
Download & Install
additional malware
Malicious
code
execution
Privilege escalation
Prevents launch of
security software and
drivers
Injects into
explorer.exe and
iexplore.exe
TESTSIGNING cert
Registry chance
(e.g. Applnit_DLLs)
etc...
Self-preservation
Disrupt security software or
updates
- Web-mail sign up
- Uses CAPTCHA-breaking
service
- MITB config file updates
Run registry
key
HTTP
fast-flux
network
Malware remains
active on system
Hide
User-mode hook
Bot services
Remote access
DDOS
Send spam
Open proxy
Both
installed &
operational
Command control
IRC, HTTP, P2P, twitter
Adware/scareware
Emulate security software
Disable admin apps
e.g.: task manager, safe
mode
Propagate to the system
- MITB form altering
- Capture passwords for
banks, social network,
blog sites
Kernel hookSSDT, IDT, IRP etc.
Tampering
Process Injection
Malicious
destruction of files
Use signed driver
or binary
Ransomware –
encrypt/modify files
Browser config changes
Capture sensitive data
Keyloggers
Man-in-the browser
Hook comm APIs
(user mode)
Read cached passwords
from disk
Change host file
Sell bot
services
Intellectual
Property
Theft
Ads displayed,
click fraud
User pays for Fake
AV
Identity Theft/
Financial Fraud
Transmit captured data
Money extorted to
recover files
Destruction
modification
of user’s files
Croissance des attaques uniques
Ranges of sources * (McAfee
lab’s data)
* McAfee labs file reputation
service (a.k.a Artemis)
Les échantillons uniques que l’on voient moins de 10 fois
font parties de 80% des nouvelles attaques
Comment important est le problème?
• 50% des Fortune 500
• Temps de détection - 416 jours!
• Entre Jan’11 et Jan’13
– 1,905 acteurs APT confirmés
– 937 Serveurs de Commande & Controle – dans 13 pays
• Record mondial Connu
– Accès à un réseau de victime pour 1,764 jours
– Vol de 6.5 terabytes de données
90% des intrusions ne sont pas découvertes par les compagnies ciblées
Source: Mandiant Intelligence Center Feb-18, 2013 Report
Temps de découverte vs moment d’attaque
• Les méchants ne prennent
que quelques jours pour faire
leur travail
• Les bons peuvent prendre des
mois à faire le leur…
Le “disconnect”
72% des répondants ont dit qu’ils “étaient confiant de leur efficacité de la
sécurité de l’information de leur enterprise”
Eye of the storm, Key findings from the CIO Magazine & PwC Global State of Information Security Survey, 2012
92% des entreprises qui ont été compromises ont été informées par de
tierce parties externe – typiquement leurs clients ou les officiers de la loi
Seulement 2% de toutes les brèches sont découverte par les équipes
internes
Verizon Data Breach Investigation Report, 2012
Le “disconnect”
HOUSTON, Nous avons un
problème
Des angles différent pour voir la même information
• Certains évènements sont plus important que d’autres
• Il faut utiliser des angles différents pour inspecter les
évènements
• Comment vous regarder les données va faire la différence
Vues différentes
Vous pensez-vous en sécurité lorsque vu d’un seul angle?
Grande différence entre être en sécurité et penser l’être
Trouvez les évènements importants
27
Évolution de la protection
Protection que vous devriez avoir – ou à tout le moins que
vous devriez penser…
Sécurité d’entreprise
Peuvent?
Comment
?
Architecture type d’infrastructure de sécurité pour les postes
Agent
Host IPS /
FW
Agent
DLP
Encryption
Agent
Antivirus
Agent de gestion de
système
Agent
Audit
CHAQUE
SOLUTION A SON
AGENT
CHAQUE
AGENT A SA
CONSOLE
NAC
CHAQUE
CONSOLE DEMANDE UN
SERVEUR
CHAQUE
SERVEUR DEMANDE
UN SE / BD
CHAQUE SE / BD DEMANDE DES
GENS, DE LA MAINTENANCE, DES
CORRECTIFS
OU EST-CE QUE
CA FINIT?
Architecture type d’infrastructure de sécurité pour le réseau
Network IPS
Mail Gateway
Web Gateway
Proxy
CHAQUE
FONCTION A SON
SERVEUR
CHAQUE
SERVEUR A SA
CONSOLE
Next Gen Firewall
Web App Firewall
Sandbox
CHAQUE
CONSOLE DEMANDE UN
SE / BD
CHAQUE
SE / BD DEMANDE DES GENS, DE LA
MAINTENANCE, DES CORRECTIFS
CHAQUE SYSTEME A SA OU EST-CE
PROPRE INTERFACE QUE CA FINIT?
Environnement “meilleurs de chacunes des catégories”
Spam Origin?
Links & Malware?
GTI Informs Portfolio
Host IPS Blocks Malware
IPS
Pare-feu
Anti-Spam
Filtrage web
Protection
courriel locale
AV
Proxy
Qu’est-ce qu’il se passe lorsqu’une nouvelle menace arrive…
Spam Origin?
Links & Malware?
GTI Informs Portfolio
Host IPS Blocks Malware
IPS
Pare-feu
Anti-Spam
Filtrage web
Protection
courriel locale
AV
Proxy
Que peux-t’on apprendre?
Spam Origin?
Links & Malware?
GTI Informs Portfolio
Host IPS Blocks Malware
IPS
Pare-feu
Anti-Spam
Adresse IP
Domaine
URL
Contenu
Fichier
Filtrage web
Protection
courriel locale
123.123.123.1
BadDomain.com
Baddomain.com/zx42b8/start.html
fakeAV – phish
Clickme.exe
AV
Proxy
10 minutes plus tard...
Adresse IP
123.123.123.1
Domaine
BadDomain.com
URL
Baddomain.com/zx42b8/start.html
Spam Origin?
Contenu
fakeAV – phish
Fichier
Clickme.exe
Links & Malware?
GTI Informs Portfolio
Host IPS Blocks Malware
IPS
Pare-feu
Anti-Spam
Filtrage web
Protection
courriel locale
AV
L’utilisateur clicque sur un lien sur le web
Le lien le redirige vers baddomain.com
Baddomain est tout nouveau et n’est pas tres bien connu encore
L’utilisateur télécharge clickme.exe – Le fichier semble légitime
L’utilisateur execute clickme.exe et pointe vers le site d’hameconnage
Le desastre s’ensuit…
Proxy
Aucune réactions? Peut-être, peut être pas…
La passerelle courriel n’a pas envoyée ce qu’elle connait aux autres
participants
Le proxy s’est assuré qu’il n’y avait pas de connexions directes vers
l’extérieur – en théorie c’est sécuritaire
Le filtrage web ne connait pas encore baddomain et n’a rien vu de
dangereux
L’IPS n’a rien vu de dangereux comme il n’y avait pas d’attaques
Le fichier téléchargé est trop nouveau pour être détecté par l’AV – le
fichier semble et agit comme un fichier légitime et rejoint l’utilisateur
IPS
Pare-feu
Anti-Spam
Filtrage web
Adresse IP
123.123.123.1
Domaine
BadDomain.com
URL
Baddomain.com/zx42b8/start.html
Spam Origin?
Contenu
fakeAV – phish
Fichier
Clickme.exe
Links & Malware?
GTI Informs Portfolio
Host IPS Blocks Malware
Protection
courriel locale
AV
Proxy
Aucune réactions? Peut-être, peut être pas…
Sans échanges d’intelligences – vous
devez vous fier sur chacun des
produits pour attraper cette nouvelle
menace
Adresse IP
123.123.123.1
Domaine
BadDomain.com
URL
Baddomain.com/zx42b8/start.html
Spam Origin?
Contenu
fakeAV – phish
Fichier
Clickme.exe
Links & Malware?
Quand une contremesure devient
disponible, elle doit être déployée et
configurée afin d’être effective.
IPS
Pare-feu
GTI Informs Portfolio
Host IPS Blocks Malware
Anti-Spam
Filtrage web
Protection
courriel locale
AV
Proxy
Intelligence Globale
Réputation de menaces
IPS Reseau
Pare-Feu
300M IPS
attacks/mo.
300M IPS
attacks/mo.
Passerelle
web
Passerelle
courriel
2B Botnet C&C
IP Reputation
Queries/mo.
20B Message
Reputation
Queries/mo.
AV
2.5B Malware
Reputation
Queries/mo.
.
Host IPS
300M IPS
Attacks/mo.
Tierce Parties
Geo location
feeds
Réduire la quantité de
manufacturiers
Réduire le nombre de consoles
Intégrer autant que vous pouvez
Améliorer votre SIEM avec de
l’information contextuelle
Soyez rapide, agile et flexible
40
May 20, 2014
Comment pouvons-nous demeurer à l’avant des coups?
Nous devons évoluer.
Anciennement
Maintenant
• Aquérir le meilleur produit
de sécurité pour un
problème donné.
• Visibilité en temps réel
• Gestion de sécurité intégrée
et consolidée
• Identification en série et
élimination des menaces
• Connaissance contextuelle
automatisée
• Être conscient de son
environnement de sécurité
et de ses propres activités
seulement
• Introduction d’une PlateForme de sécurité
connectée
• Intelligence globale