La stratégie en matière de sécurité : menaces et défenses Stanislas Quastana, CISSP Architecte Infrastructure.
Download ReportTranscript La stratégie en matière de sécurité : menaces et défenses Stanislas Quastana, CISSP Architecte Infrastructure.
La stratégie en matière de sécurité : menaces et défenses Stanislas Quastana, CISSP Architecte Infrastructure A quoi sert la sécurité ? Principalement à répondre à 3 besoins : Confidentialité Intégrité Disponibilité Vue générale d’un Système d’Information Défense en profondeur Défenses du périmètre Défenses du réseau Défenses des machines Défenses des applications Données et Ressources Sécurité physique Politiques de sécurité L’accès à une couche inférieure nécessite de passer au préalable par les couches supérieures Tous les éléments constituant la sécurité de la plateforme sont ainsi répartis au sein de cette approche par couche Investissements technologiques Atténuation des menaces & réduction des risques Contrôle d’accès et d’identité Fondamentaux Réduire les vulnérabilités, augmenter la résistance Critères communs La certification Critères Communs (CC) est une norme internationale qui permet d'assurer la conformité de produits informatiques vis-à-vis de spécifications sévères en matière de sécurité Les produits Microsoft qui ont reçu la certification CC EAL4 (Evaluation Assurance Level) augmentée avec la certification ALC_FR.3 sont : Windows Server 2003, Standard Edition (32-bit version) avec Service Pack 1 Windows Server 2003, Enterprise Edition (32-bit and 64-bit versions) avec SP1 Windows Server 2003, Datacenter Edition (32-bit and 64-bit versions) avec SP1 Windows Server 2003 Certificate Server, Certificate Issuing and Management Components (CIMC) (Security Level 3 Protection Profile, Version 1.0) Windows XP Professional avec Service Pack 2 Windows XP Embedded avec Service Pack 2 Produit Microsoft qui a reçu la certification CC EAL4 augmentée avec les certifications AVA_VLA.3 et ALC_FR.1 : ISA Server 2004 Edition Standard Gestion des mises à jour Microsoft Update Automatic Updates Microsoft Baseline Security Analyzer 2.0 Grandes Entreprises Entreprises moyennes Petites entreprises A la maison Internet Explorer 7 Domaines de focalisation en sécurité Protéger les utilisateurs contre la fraude Donner aux utilisateurs un meilleur contrôle Contenir les logiciels malveillants Fonctions sécurité clés Filtre contre le Phishing pour protéger des sites Web frauduleux « Opt-in ActiveX » pour choisir les ActiveX à exécuter Vista : Mode protégé pour prévenir l’usage des logiciels malfaisants IE 7 sera disponible sur Vista et Windows XP Version beta 2 disponible sur http://www.microsoft.com/windows/ie/ie7 Gestion de l’identité et de l’accès Objectif : permettre uniquement aux utilisateurs légitimes un accès sécurisé et basé sur une politique de sécurité aux machines, applications et données Identité digne de confiance Gestion de la politique d’accès Protection de l’information Assurer que les utilisateurs sont bien ce qu’ils disent être. Gestion du cycle de vie de l’identité Fournir l’accès en fonction de la politique de sécurité Protéger les données au long de leur cycle de vie Role-based access control Audit Collections Services Group Policy Management Console Rights Management Services Services de chiffrement Protocoles et canaux sécurisés Services de sauvegarde et de récupération Services d’annuaire Services de certificats Gestion du cycle de vie Authentification forte Fédération des identités Acquisition d’Alacris Certificate Lifecycle Manager est une solution de gestion du cycle de vie des certificats et des cartes à puce (Smart card) Windows Server et Active Directory sont utilisés comme plateforme d’identité et d’accès Elle permet aux professionnels IT de provisionner, gérer et maintenir les certificats numériques et les technologies de cartes à puce afin d’améliorer la sécurité de leur environnement Microsoft Certificate Livecycle Manager (CLM) Point unique d’administration pour tous les certificats et la gestion des cartes à puce (smart cards). Offre des fonctions de gestion nécessaire au cycle de vie des identités numériques au travers de workflows configurables pour : Récupération / remplacement de carte Renouvellement / mise à jour de clé Suppression / Révocation Désactivation Lettre de créance / duplication de carte Récupération à la place de (Recover of Behalf) Mise à jour en ligne Déblocage de carte… Disponible en 2007. Beta 1 : 1er semestre 2006 Les limites des technologies de contrôle d’accès “traditionnelles” Le contrôle se fait généralement sur l’accès initial Contenu en clair Utilisateurs autorisés Fuite d’information Access Control List, Chiffrement Utilisateurs non autorisés Utilisateurs non autorisés Périmètre de l’entreprise (physique et logique) …mais pas sur son utilisation ultérieure Protection de l’information avec Rights Management Services Objectifs : fournir une protection persistante de l’information au-delà de l’accès initial et y compris en dehors de l’entreprise (au-delà du périmètre). Contrôle de l’usage des données RMS SP1 (disponible depuis mi-2005) Peuplement et enrôlement déconnectés Authentification par carte à puce Applications serveurs Conformité FIPS Feuille de route, intégration de RMS : Office 12 Exchange 12 Sharepoint 12 Windows Mobile 2007 (Crossbow) Xml Paper Specification (Metro) Atténuation des menaces et réduction des risques - synthèse A la maison En entreprise Protéger la messagerie collaborative d’entreprise Exchange 2003 SP2 Support de Sender-ID Créé pour contrer l’usurpation de domaine (domain spoofing) Sender ID permet aux administrateurs d’un domaine de mail de protéger l’identité du domaine de mail en spécifiant des enregistrements DNS Ces enregistrements sont aussi appelés SPF (Sender Policy Framework) et listent les hôtes (adresses IP, noms etc…) autorisés à envoyer des mails de ce domaine de mail IMF (Intelligent Message Filter) est maintenant fourni en natif dans le Service Pack 2 d’Exchange 2003 Mise à jour de la technologie SmartScreen Technologie Anti Phishing intégrée à Smartscreen Création possible de « Custom Weight List » Contrôle accru sur les périphériques mobiles Disponible depuis le 11 octobre 2005 Administration et protection des périphériques mobiles (1/2) Gestion distante du respect des politiques d’entreprise Administration et protection des périphériques mobiles (2/2) Protection contre le vol des équipements via réinitialisation à distance du terminal Protection des accès non autorisés via verrouillage local et suppression des données (sauf celles sur les cartes mémoires) Outil Microsoft Exchange ActiveSync Mobile Administration Web Tool Messaging & Security Feature Pack (MSFP) Complément à Windows Mobile 2005 Contient tous les supports pour les fonctionnalités du SP2 Direct Push SSL Caching Support de 3DES pour le chiffrement Authentification par certificat Utilisation de S/MIME pour signer et chiffrer les e-mails Nécessite obligatoirement un lecteur de carte MSFP est désormais intégré directement dans la ROM de certains équipements Windows Mobile 2005 (AKU2) Disponible au 1er semestre 2006 Microsoft Antigen Ligne de produits Microsoft Antigen 1ère vague de produits dédiée à la protection de la messagerie Approche multi-moteurs unique pour une détection plus rapide et une protection plus large Protection intégrée virus et spam Intégration du moteur antivirus Microsoft 2ème vague : produits destinés à protéger la messagerie instantanée (Live Communications Server) et le travail collaboratif (SharePoint Portal Server/Windows SharePoint Services) Disponible au 2ème semestre 2006 Nouveau moteur AV Microsoft L’offre FrontBridge Services externalisés pour la messagerie d’entreprise : Filtrage Antivirus (4 moteurs distincts) Anti spam RTAP (analyse de trafic pour la détection d’anomalie) Support de SPF - SenderID Base de données d’adresses propriétaire Mise en quarantaine (outil SpamShark) Archivage Archivage de messages et de conversation instantanées Récupération de messages et non-répudiation de l’archive Continuité Continuité et récupération de désastre avec 30 jours de sauvegarde de messages Fonctionnalités de recherche avancées Envoi des messages sauvegardés après l’interruption de service Montée en charge et disponibilité uniques Architecture dimensionnée pour consommer en régime normal 35% des ressources afin d’assumer efficacement toute suractivité (ex: attaques virales via messagerie…) L’infrastructure la plus disponible du marché Garantie de disponibilité de 99.999% (5 min. d’indisponibilité/an): 100% historique Fin 2005 : 8 centres de données dont un à Paris. 3 nouveaux prévus Services activés par un simple changement du MX record Nécessite peu d’administration IT: contrôle centralisé Extensibilité sans coût additionnel; peut soutenir toute variation de volume de messages Libère les serveurs des clients et la bande passante de trafic non désiré Livre seulement les messages légitimes sur le site du client Analyse plus de 6 milliards de messages par mois ISA Server en quelques mots Pare-feu multicouches (3,4 et 7) Proxy cache Filtrage extensible Reverse proxy Proxy applicatif Passerelle VPN - VPN nomades - VPN site à site www.vpnc.org http://www.microsoft.com/isaserver/techinfo/deployment/commoncrit.mspx L’actualité d’ISA Server 2004 ISA Best Practices Analyzer Sortie du Service Pack 2 Microsoft Update Caching (BITS) Compression HTTP (Gzip) Gestion de priorité du trafic HTTP(s) Compatibilité avec Windows Server 2003 R2 et SQL Server 2005 Intégration des correctifs (depuis le 11/01/2005) soit la correction d’environ 70 bugs fonctionnels Développement des offres de type « appliances » Whale Communication (VPN SSL) Network Engine… Client pare-feu ISA pour Windows 64 bits et Windows Vista ISA Server 2006 (Codename Wolverine) Nouveaux assistants de publication Exchange (dont Exchange 12) & Sharepoint / WSS Personnalisation des formulaires d’authentification (FBA) Authentification Authentification LDAP, Radius OTP, Support Smartcards, FBA pour Sharepoint Single Single On sur les sites web publiés Déploiement Assistant de déploiement pour les réseaux d’agence Flood Mitigation 90 nouvelles alertes… Disponible au 2ème semestre 2006 Protéger les postes clients Internet Explorer 7 Internet Explorer 7 Windows Live Safety Center http://safety.live.com 1. Analyse et suppression de virus, spyware, rootkits et autres logiciels malveillants… 2. Informations pour les utilisateurs finaux sur les menaces (virus, spyware, phishing…) 3. Optimisation des performances (test de fragmentation des disques) Windows OneCare Live Windows OneCare Live Protection Antivirus Temps réel Mise à jour des signatures Windows OneCare Firewall bidirectionnel Suivi des mises à jour Amélioration des performances Vérification de l’état de fragmentation des disques Suppression des fichiers inutiles (temporaires) Sauvegarde et restauration des données Copie sur CD, DVD ou disque externe Sauvegarde planifiable avec un disque externe Site officiel : http://www.windowsonecare.com Blog : http://spaces.msn.com/members/windowsonecare/ Windows OneCare Live Microsoft Windows Defender ex Microsoft Antispyware Objectif : Aider à protéger les utilisateurs de Windows contre les logiciels espions et autres logiciels non désirés Détecter et supprimer les spywares Corrige les problèmes de ralentissement, de pop-up… Surveillance de l’installation des drivers Analyses planifiées pour maintenir sécurité et confidentialité Améliorer la sécurité de la navigation sur Internet Surveillance temps réel de plus de 50 points d'entrées Alertes personnalisables selon vos préférences Stopper les dernières menaces Communauté SpyNet : identifier les nouveaux spywares Mise à jour automatique des signatures Beta 2 en téléchargement depuis le 14 février 06 Protection continue contre les spywares Parmi les 20 millions d’utilisateurs, 6 millions actifs sur SpyNet Construit à partir de technologies de protection éprouvées Complémente les antivirus traditionnels en fournissant un outil qui supprime les principaux virus et vers d’un PC Destiné aux particuliers sans antivirus Déployable en entreprise dans une stratégie de défense en profondeur Disponible par Windows Update, Auto Update, page web, centre de téléchargement Microsoft Client Protection Objectif : fournir aux entreprises une solution globale leur permettant de se protéger contre les menaces de logiciels malveillants, existantes et émergeantes Protection unifiée Evaluation du niveau de sécurité Protège contre les menaces de logiciels malveillants, actuelles et émergeantes Construit sur les technologies éprouvées (anti-spyware / Giant; anti-virus / GeCad) Intégration Multi-niveau Maximise la valeur des investissements existants Contrôle informé Gère les priorités des données collectées pour aider à se concentrer sur les bons problèmes Intégration multi-niveau Microsoft Client Protection s’appuie sur des produits d’infrastructures de gestion éprouvées : Déploiement des stratégies Distribution des signatures Collecte des évènements et génération de rapports Contrôle informé Génération de rapports (SQL Reporting Services) Rapports synthétiques à très détaillés Rapports visibles au sein d’une console / un navigateur Évaluation du niveau de sécurité Etat des correctifs Etat des configurations Gestion d’alertes (MOM) Exemple de rapports MCP Architecture de MCP OU PARAMETRES RAPPORTS Serveur de gestion (ou un système alternatif) (ou un système alternatif) DEFINITIONS EVENEMENTS Postes de travail, portables, serveurs de fichiers exécutant Microsoft Client Protection Serveur de rapports et d’alertes Synthèse des offres anti-malwares de Microsoft MSRT Windows Defender Windows Live Safety Center Windows OneCare Live Microsoft Client Protection Supprime les virus les + répandus Supprime tous les virus connus Protection antivirus temps réel Supprime tous les spywares connus Anti-spyware temps réel Gestion centralisée de clients multiples Bientôt Alertes, gestion de rapports centralisées Windows authentique (2) publicité (3) abonnement (1) Tarif Gratuit Gratuit (1) Gratuit (2) Pour l’utilisateur individuel €(3) € Pour l’entreprise Anti-malware et Windows Vista Windows Vista n’intègre pas de protection antivirus en temps réel. Cependant, Windows Vista inclut Windows Defender et utilise l’outil de suppression des logiciels malveillants (MSRT) Les cellules en vert indiquent ce qui est inclus dans le système d’exploitation Traite les spywares (et potentiellement les logiciels non désirés) Analyse et supprime Protection en temps réel Windows Defender Windows Defender MSRT Traite les virus, vers Produits tiers, OneCare, (Malicious Software Removal Microsoft Client Protection ou chevaux de troie Tool) Plateforme Microsoft Administration Client Processus Données Collaboration Exécution Sécurité