Transcript Download
Comment protéger son entreprise en temps réel contre la complexité des menaces venant d’Internet ? Frédéric HER Consultant Sécurité, Europe du Sud [email protected] C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1 Réponse L’évolution des menaces SECURITE DU POSTE DE TRAVAIL (AV) PERIPHERIE RESEAU (IDS/IPS) 2005 2000 REPUTATION & SANDBOXING 2010 INTELLIGENCE & ANALYSE Aujourd’hui Surface d’attaques augmentée Menaces APTs / Cyberware (Mobilité & Cloud) Spyware / Rootkits Virus, vers 2 Blocklists & Réputation Défendre avec intelligence : Cisco SIO Spam Traps, Honeypots, Crawlers Reputation Platform-specific Rules & Logic Signatures Cisco Security Intelligence Operations Domain Registration Signatures Inspection des Contenus Partenariats WWW Connexion SMTP légitime? Contenu malicieux ou non désiré? Zombies vers des serveurs CNC? Actions hostiles ou utilisateurs déviants ? Contenus malicieux sur le poste de travail ? Recherche sur les menaces 3 La couverture étendue de Cisco SIO 100TB Security Intelligenc e 150 000 5 500 5B Microapplications Signatures IPS Connexions Emails 1.6M 93B 150M 1,000 Dispositifs déployés Messages Email Endpoints Déployés Application s 13B Requêtes Web 35% Email des Entreprise s 3-5 min MAJ 4.5B Bloquages d’emails 4 La réputation en action New York Times: victime d’une attaque via une publicité • Publicité apparemment légitime qui génère en réalité 3 redirections vers des liens web • Destination finale: protection-check07.com Score de Réputation Web : -9.3 Action par défaut : BLOCK Le site du NYT est bien autorisé mais la redirection vers le lien malicieux est bloquée Faux Anti--Virus Un pop-up apparaît qui simule un logiciel AV, qui demande à l’utilisateur d’acheter un logiciel pour nettoyer la machine. 5 Consolidation des serveurs des pirates Il est très important de connaitre la réputation de ces serveurs http://www.cisco.com/web/offers/lp/2014-annual-security-report/index.html 6 Outbreak Intelligence Des moteurs heuristiques s’ajoutant aux signatures et à la réputation 7 Header L’Anti-Virus scanne le fichier D’après les signatures, c’est un fichier sain Nous pensons connaitre la structure d’un fichier PDF et à quoi il devrait ressembler Body of Objects Cross-Ref Table Trailer 8 Après inspection nous trouvons : %PDF-1.4 (version) %Comments Nous connaissons les choses qui peuvent être exploitées, donc les scanlets décomposent le fichier, l’analysent et les algorithmes recherchent les exploitations malicieuses potentielles 1 0 obj << /Type /Page >> endobj 2 0 obj << /Type /Action /S /JS >> endobj xref trailer • Pas de mots anglais • Headers incorrects • Proportion élevée de contenu Javascript • Javascript spécifiques • Fonctions “exploitables” • Autres indicateurs OI prend la décision que ce fichier est potentiellement dangereux 9 Outbreak Intelligence contre Signature Detection Bloquages quotidiens, 2013 (Source: Cisco Cloud Web Security) 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 01-janv.-13 01-févr.-13 01-mars-13 01-avr.-13 01-mai-13 01-juin-13 Signature 01-juil.-13 01-août-13 01-sept.-13 01-oct.-13 01-nov.-13 01-déc.-13 Outbreak Intelligence™ • Ce graphique montre la part quotidienne de menaces bloquées par OI et par les signatures AV traditionnelles • En 2013, 22% des malware provenant d’Internetn ont été bloquées par Cisco Outbreak Intelligence avant que des signatures ne soient disponibles © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 10 10 Advanced Malware Protection (AMP) Réputation de fichiers & Sandboxing sur Email, Web & Cloud Web Security File Reputation File Sandboxing File Retrospection © 2013 Cisco and/or its affiliates. All rights reserved. • Bloque des fichiers connus ou inconnus • Le verdict de réputation est délivré par le cloud AMP (Sourcefire) • Analyse comportementale de fichiers inconnus • Recherche des comportements suspects • Renforce l’intelligence du cloud AMP • Analyse continue des fichiers qui ont traversé la passerelle • Alerte rétrospective après une attaque, lorsque le fichier a été défini après-coup comme malicieux Cisco Confidential 11 Cisco Email Security 12 L’évolution des menaces provenant de l’Email VOLUMES ELEVES VALEUR $$ BASSE BAS VOLUMES HAUTE VALEUR $$ Passé Aujourd’hui ???? Demain Attaques ciblées Menaces Alertes Virales Blended Threats Phishing Spam Network Evasions Polymorphic Code Code Red Slammer Botnets Image Spam Custom URL Advanced Persistent Threats Conficker Stuxnet Targeted Phishing Covert, Sponsored Targeted Attacks Attachment-based Worms C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13 Il y a une grande volatilité Retour à plus de 85% de spams http://www.senderbase.org/static/spam/#tab=1 C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14 Cisco Security Intelligence Operations Centre mondial d’Intelligence face aux menaces 24x7x365 More than US$100 million 600+ operations spent on dynamic research and development engineers, technicians, and researchers 40+ 80+ languages PH.D., CCIE, CISSP, AND MSCE users Cisco® SIO Cisco CWS WWW Email Devices Cisco Cisco ® AnyConnect IPS Web IPS Networks Endpoints Cisco ESA Cisco ASA Cisco WSA Actions Visibility Information WWW Control 3- to 5- 200+ minute updates parameters tracked 1.6 million 35% global sensors worldwide email traffic 100 TB 13 billion 5,500+ 70+ of data received per day web requests IPS signatures produced publications produced 150 million+ 8 million+ deployed endpoints rules per day 15 Pourquoi la réputation est fondamentale Aggrégation et Corrélation de milliards de données dans un seul score 16 L’architecture de Sécurité Email Cisco Management Protection Flux Entrants Contrôle des Flux Sortants Défense face aux menaces Sécurité des Données Antispam Data Loss Prevention Antivirus & Outbreak Filters Chiffrement C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17 Défense anti-spam à deux niveaux What Bon score: les mails sont délivrés When Who Cisco Anti-Spam, IMS Cisco® SIO Mails entrants Bons, mauvais ou inconnus/suspici eux C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Score intermédiaire: le débit est limité et les messages sont envoyés à l’anti-spam Mauvais score: la connexion TCP est bloquée et les messages ne sont pas reçus sur le réseau Where How • Taux de bloquage : > 99% • Faux positifs < 1 sur 1 million Cisco Confidential 18 Défense anti-spam à deux niveaux What Bon score: les mails sont délivrés When Who Cisco Anti-Spam, IMS Cisco® SIO Mails entrants Bons, mauvais ou inconnus/suspici eux C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Score intermédiaire: le débit est limité et les messages sont envoyés à l’anti-spam Mauvais score: la connexion TCP est bloquée et les messages ne sont pas reçus sur le réseau Where How • Taux de bloquage : > 99% • Faux positifs < 1 sur 1 million Cisco Confidential 19 Défense anti-virus à deux niveaux Cisco® SIO Dynamic Quarantine Virus Filter Virus Outbreak Filters Détection Zero Hour C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Virus Outbreak Filters Advantage http://www.senderbase.org • Temps moyen de protection additionnelle : + de 13h • Total d’attaques bloquées : 291 • Protection totale incrémentale : + de 157 jours/360 Moteurs Anti-Virus Choix de moteurs Cisco Confidential 20 Sécurisation des URL dans les Emails avec Outbreak Filters Avant http://www.threatlink.com Bank A [email protected] Information Update Après Dear Mr. Paulo Roberto Borges, We are contacting you in order to inform about a mandatory update of your personal data, which is being conducted after Bank A and Bank B merge. To begin the update, please click on the link and download the protection program. http://secure-web.cisco.com/auth=X&URL=www.threatlink.com Protection Module 3.0 (2011) Best regards, Bank A 21 Sécurisation des URL dans les Emails avec Outbreak Filters http://secure-web.cisco.com… Cisco Security Malware bloqué The requested web page has been blocked http://www.threatlink.com Cisco Email and web Security protects your organization’s network from malicious software. Malware is designed to look like a legitimate email or website which accesses your computer, hides itself in your system, and damages files. 22 Outbreak Filters stoppe les attaques Phishing et Mixtes 23 Advanced Malware Protection sur ESA SenderBase Reputation Filtering Cisco® SIO Drop Anti-Spam & Spoofing Prevention Drop/Quarantine AV Scanning & Advanced Malware Protection Drop/Quarantine Real-time URL Analysis Deliver Quarantine Quarantine/Re-write Re-write URLs Drop 24 Data Loss Prevention Solution complète de DLP et de conformité en partenariat avec RSA Data Loss Prevention Incidents C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Politiques Cisco Confidential 25 Chiffrement des Emails Un véritable système professionnel de messagerie basé sur le Cloud Le message est envoyé au destinatiare L’utilisateur ouvre l’enveloppe dans un navigateur La passerelle chiffre l’email en fonction de politiques pré-définies La clé est stockée Le destinataire s’authentifie et récupère la clé Cisco Registered Envelope Service Le message déchiffré est affiché Gestion automatique des clés Pas besoin de logiciel client sur le poste du destinataire Pas de nouveau matériel nécessaire 26 Cisco Email Security : modes de déploiement Appliance EMAIL SECURITY APPLIANCE (ESA) Virtual EMAIL SECURITY VIRTUAL APPLIANCE (ESAv) Cloud CLOUD EMAIL SECURITY (CES) Disponible en modèle Cloud & Hybride 27 Email Security - Cisco sur Cisco Emails delivered Malware Spam Emails / mo Emails / day Emails / employee / day % Attempted 124 M 5.6 M 73 Blocked 77 M 3.5 M 46 63% Delivered 37 M 1.7 M 22 30% Delivered, marked “Marketing” ESA Blocked Emails 9M 0.4 M 5 7% Emails* / mo Emails / day Emails / employee / day % By reputation 73 M 3.3 M 43 94% By spam content 4.3 M 0.2 M 3 5% By invalid receipts 0.4 M 0.02 M 0.25 1% C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. 3.5M d’emails bloqués chaque jour Cisco Confidential 28 Pourquoi Cisco Email Security ? Gartner Magic Quadrant, Email Security Gateways, 2013 The Magic Quadrant is copyrighted 2013 by Gartner, Inc. and is reused with permission. The Magic Quadrant is a graphical representation of a marketplace at and for a specific time period. It depicts Gartner’s analysis of how certain vendors measure against criteria for that marketplace, as defined by Gartner. Gartner does not endorse any vendor product or service depicted in the Magic Quadrant, and does not advise technology users to select only those vendors placed in the "Leaders” quadrant. The Magic Quadrant is intended solely as a research tool, and is not meant to be a specific guide to action. Gartner disclaims all warranties, express or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose. This Magic Quadrant graphic was published by Gartner, Inc. as part of a larger research note and should be evaluated in the context of the entire report. The Gartner report is available upon request from Cisco. C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 29 Cisco Web Security 30 Cisco Security Intelligence Operations Centre Mondial d’Intelligence face aux menaces 24x7x365 More than US$100 million 600+ operations spent on dynamic research and development engineers, technicians, and researchers 40+ 80+ languages PH.D., CCIE, CISSP, AND MSCE users Cisco® SIO Cisco CWS WWW Email Devices Cisco Cisco ® AnyConnect IPS Web IPS Networks Endpoints Cisco ESA Cisco ASA Cisco WSA Actions Visibility Information WWW Control 3- to 5- 200+ minute updates parameters tracked 1.6 million 35% global sensors worldwide email traffic 100 TB 13 billion 5,500+ 70+ of data received per day web requests IPS signatures produced publications produced 150 million+ 8 million+ deployed endpoints rules per day 32 L’architecture de Sécurité Web Cisco WW W Cisco Security Intelligence Operations (SIO) PROTECTION Moniteur de Trafic de Niveau 4 (On-premise) CONTROLE Défense Anti-Malware Filtrage URL Application Visibility and Control (AVC) Data Loss Prevention (DLP)* Management & Reporting Centralisés *Third-party DLP integration available on-premises WWW Autorise WWW Accès limité WWW Bloque 33 Moniteur de Traffic de Niveau 4 Détection des postes déjà infectés Packet and Header Inspection Network Layer Analysis Internet Cisco WSA Utilisateurs Bloque le trafic malicieux Règles Anti-Malware automatiques • Scanne tous les ports et protocoles • MAJ automatiques • Détecte le malware qui bypasse le port 80 • Listes de serveurs et adresses IP • Empêche les zombies de communiquer malicieuses en temps réel avec leur serveur de contrôle Disponible sur WSA & et sur ASA en tant que “Botnet Traffic Filter” 34 Défense Anti-Malware à trois niveaux Bon score: le site est affiché sans être scanné Déchiffrement SSL Cisco® SIO URL’s demandées Score intermédiaire: les sites sont scannés par 1 ou plusieurs moteurs Mauvais score: le site est bloqué Moteur AntiMalware basé sur la catégorie ou réputation BLOCKED + FILE REPUTATION (AMP) 35 Scan Anti-Malware en temps réel Dynamic Vectoring & Streaming ANALYSE HEURISTIQUE ET A BASE DE SIGNATURES Détection Heuristique Identifie des comportements inhabituels Anti-malware Scanning • Multi-scanning intelligent • Bases de signatures multiples • Déchiffre le trafic SSL si nécessaire • Scanning en mode streaming pour éviter les problèmes de latence Moteurs anti malware multiples • MAJ automatiques Inspection à base de signatures Reconnait les menaces connues Scans Parallèles, Scanning en mode streaming 36 Advanced Malware Protection sur WSA WWW URL Filtering WWW Block Reputation Filter WWW Block Dynamic Content Analysis (DCA) WWW Block Signature-based Anti-Malware Engines WWW Block Time of Request Cisco® SIO Time of Response Advanced Malware Protection WWW Allow WWW Warn WWW WWW Partial Block Block WWW Block 37 Contrôles de l’usage acceptable (Internet/applications) Au delà du simple filtrage URL Filtrage URL Application Visibility and Control (AVC) • Contrôle des Centaines d’applications HTTP:// • Base de données d’URL mise à jour en permanence, + de 50 millions de sites dans le monde • Catégorisation + 150,000+ Micro-apps politiques: quelle app. peut être utilisée par quel utilisateur et dispositif • Gestion des micro- applications • Contrôle du Comportement de l’application comportement des applications dymanique en temps réel pour les URL inconnues 39 Data Loss Prevention 2 niveaux de protection CWS Cloud WSA On-Premises WSA Enterprise DLP Integration + DLP Vendor Box 40 Cisco Web Security : modes de déploiement Virtual Appliance 1 - WEB SECURITY APPLIANCE (WSA) WEB SECURITY VIRTUAL APPLIANCE (WSAv) 2 - ASA 5500-X NGFW (ASA-CX) Sur WSA & ASA NGFW: - Proxy-Cache - Web Reputation - Web Reputation - URL Filtering - Anti-malware - Application Visibility & Control - File Reputation WSA Seulement: - File Sandboxing - Proxy-Cache - File Retrospection - Anti-malware - URL Filtering - File Reputation/File Sandboxing/File Retrospection - Application Visibility & Control - DLP - DLP Cloud CLOUD WEB SECURITY (CWS) Disponible direct-to-Cloud ou au travers de connecteurs ISR G2, ASA, WSA. - Web Reputation - URL Filtering - Application Visibility & Control - Anti-Malware 41 Web Security Appliance – Cisco sur Cisco Malware Blocked in One Day: Cisco Web Traffic Stats: • 330-360M web visits/day • 6-7M (2%) blocked • 93.5% - Web Reputation • 2% - Anti-Malware • 61K - Other Malware • 29K - Encrypted Files (monitored) • 16.4K - Adware Messages WSA Blocked Transactions: • 4.5% - URL Category • 441K – Trojan Horse • 1K – Trojan Downloaders • 55 - Phishing URLs • 22 - Commercial System Monitors • 5 - Worms • 3 - Dialers 6.5M de sites malicieux bloqués chaque jour C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 42 Pourquoi Cisco Web Security? Gartner Magic Quadrant, Web Security Gateways, 2013 The Magic Quadrant is copyrighted 2013 by Gartner, Inc. and is reused with permission. The Magic Quadrant is a graphical representation of a marketplace at and for a specific time period. It depicts Gartner’s analysis of how certain vendors measure against criteria for that marketplace, as defined by Gartner. Gartner does not endorse any vendor product or service depicted in the Magic Quadrant, and does not advise technology users to select only those vendors placed in the "Leaders” quadrant. The Magic Quadrant is intended solely as a research tool, and is not meant to be a specific guide to action. Gartner disclaims all warranties, express or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose. This Magic Quadrant graphic was published by Gartner, Inc. as part of a larger research note and should be evaluated in the context of the entire report. The Gartner report is available upon request from Cisco. 43 ASA – X: Cisco Next Generation Firewalls ASA 5512-X 1 Gbps Firewall Throughput ASA 5515-X 1.2 Gbps Firewall Throughput ASA 5525-X 2 Gbps Firewall Throughput FW/VPN/IPS + • On-Box Botnet Traffic Filter (alias L4 Traffic Monitor) • On-Box URL Filtering, Web Reputation, Application Visibility & Control, IPS (Licences “CX”) ASA 5545-X 3 Gbps Firewall Throughput ASA 5555-X 4 Gbps Firewall Throughput 44 Cisco Cloud-Managed Security 46 Cisco Meraki Une solution réseau complète gérée dans le Cloud - Wireless, switching, securité, optimisation WAN, et MDM, gérés centralement depuis le web - Hardware, Software et services Cloud intégrés Leader dans le “Cloud-Managed Networking” - Un des portefeuilles de Cisco les plus en croissance: plus de 100% de croissance annuelle - Des dizaines de millions de boîtiers connectés dans le monde Reconnu pour son innovation - Gartner Magic Quadrant, InfoWorld Technology of the Year, CRN Coolest Technologies Des milliers de clients dans le monde: C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 47 L’offre Meraki Meraki MR Wireless LAN C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Meraki MS Ethernet Switches Meraki MX Security Appliances Meraki SM Mobile Device Management Cisco Confidential 48 Quelques exemples de secteurs clients C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 49 Meraki MX Series: Une solution UTM complète Une plateforme unique, facile à gérer, qui remplace 6 boîtiers potentiels C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 50 Choisir le bon UTM pour votre environnement Pour? MX60/60W MX80 MX100 MX400 Caractéristiques FW Throughput Petit bureau / filiale de vente (approx. 20 utilisateurs) Wireless (MX60W) Mémoire cache d’optimisation du WAN: 100Mb 100 Mbps Bureau de taille moyenne (approx. 100 utilisateurs) Mémoire cache d’optimisation du WAN: 1TB 250 Mbps Bureau de taille moyenne (approx. 500 utilisateurs) Gigabit uplinks Mémoire cache d’optimisation du WAN: 1TB Z1 Pour télétravailleurs (1-5 utilisateurs) 500 Mbps Dual-radio wireless FW throughput: 50 Mbps Grand bureau / campus (approx. 2000 utilisateurs) High-Speed uplinks Redondance intégrée Mémoire cache d’optimisation du WAN: 1TB 1 Gbps Grand bureau / campus (approx. 10000 utilisateurs) High-Speed uplinks Redondance intégrée Mémoire cache d’optimisation du WAN: 1TB 2 Gbps MX600 Tous les boîtiers supportent la 3G/4G C97-728331-00 © 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 51 53