SlideShare una empresa de Scribd logo

Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et recommandations

Descargar como PPTX, PDF
Microsoft
Microsoft

Le support Sécurité pour l'Europe de Microsoft assure le traitement des incidents de sécurité pour ses clients, que ce soit attaques virales ou intrusions proprement dites. Cette présentation, tirée de retours d’expérience de cas réels et assez fréquents, vous immergera dans la réalité des incidents de sécurité, avec les impacts (dont effets de bord), aspects méconnus, et état de la menace actuelle. Bienvenue dans le monde de la cybercriminalité, la réalité dépasserait-elle la fiction ?

1 de 31
Donnez votre avis ! Depuis votre smartphone, sur : http://notes.mstechdays.fr De nombreux lots à gagner toutes les heures !!! Claviers, souris et jeux Microsoft… Merci de nous aider à améliorer les TechDays http://notes.mstechdays.fr
Traitement des incidents SSI Philippe VIALLE Ingénieur senior sécurité, support EMEA Microsoft C|EH, CISSP http://www.microsoft.com/fr-fr/security/default.aspx Sécurité
Traitement des incidents SSI Patrick Chuzel Ingénieur senior sécurité d’escalade, support EMEA Microsoft MCSD http://www.microsoft.com/fr-fr/security/default.aspx Sécurité
Agenda Mardi 12 février 2013, 17h30 Partie 1 Introduction Partie 2 Retours d’expérience sur les incidents Partie 3 Rootkit, le Retour Démo / questions Sécurité
Equipe européennne de sécurité – CSS Security Que faisons-nous ? Sécurité
Equipe CSS Sécurité France / EMEA • Bulletins de sécurité – France / EMEA • Support de l’antivirus postes et serveurs – FCS, FEP, SCEP. • Traitement des incidents de sécurité France / EMEA – Traitement des intrusions, attaques. – Traitement des alertes virales. – Analyse de machines (“est-elle compromise ou non ?”). • Formateurs sécurité et investigation NTIC – Conférences web, générales ou ciblées sur produits. – Sessions présentielles (plusieurs jours). Sécurité
Partie 1 Les incidents SSI Ph. Vialle Sécurité
Des cibles ? (publiques) Sécurité
Des tendances marketing : APT • « APT » = Advanced Persistent Threat. – Menace persistante, s’appuyant sur panoplie d’outils (pas forcément avancés…). • Bien plus rare que ce qu’on peut en lire ! – NB : traitement en cours au Support de quelques cas réellement « hors du commun »… • Information & outils d’attaque disponibles : – Vulnerabilités + codes d’exploitation prêts à l’emploi. – Environnements de dev gratuits (y compris pour codes malveillants), ou prestation de service. Sécurité
Des idées reçues à abattre • « 100% des correctifs Microsoft déployés = parc sécurisé. » – Non ! • Cf rapport SIR v13 : Oracle Java, Adobe PDF & Acrobat… – /! Urgence à déployer les correctifs non Microsoft • « Antivirus déployé = parc sécurisé » – Non ! • Sécurité en multi-couches • Antivirus = « liste noire », 100% efficace = impossible • Nb: Antivirus ciblé par attaquants. Sécurité
Défense en profondeur (« DiD ») Sécurité
Des croyances à oublier • « Machines Linux / Unix / Apple = indifférentes au risque viral » – Sauf si hébergement de ressources accessibles via protocole compatible SMB ! • « panier viral » persistant ! • Sécurisation complexe via clients uniquement. – Codes malins avec téléchargeur : • Version compilée MacOS, si système est Apple, • Version compilée Win32/64, si système est Microsoft. – NB : MS SCEP supporte MacOS et Linux… Sécurité
Des idées à abattre • « La menace ne vient que de l’extérieur… » – Clé USB, disque dur / mini-NAS • (perso ?) – PC portable perso connecté au LAN – PC portable prestataire connecté au LAN – Ordiphone personnel connecté au LAN • 3/4G, WiFi, Blue-Tooth, connectivité USB, etc. – Liaison ADSL achetée, « non cadrée » (isolation) – Duperie des utilisateurs, • pour contourner la sécurité à leur insu. Sécurité
Histoire d’un site web « simple » Sécurité
Evolutions… • Visibilité supérieure – (Impact si déni de service ?) • Vrai CMS pour le contenu du site web • Vraies données à afficher, et à rafraîchir • Interconnexion avec d’autres services internes • Population cible élargie – Internet, mais aussi… interne ! – Pourquoi refaire l’architecture pour l’usage interne ? Sécurité
L’histoire se poursuit… Sécurité
Mais la gestion sécurité…? • Site Internet devient extranet… • Site Internet devient également… intranet ! – Quid des niveaux de risque respectifs ? • Intranet = interne = « niveau de risque minimum » ? • Intranet exposé aux risques Internet ? – Niveau de risque différent de celui du LAN • Besoin de sécurité différent de celui historique ! – Peu de changements sécurité au final… • Coûts de la sécurité ? • Évolution « au fil de l’eau », sans mise à plat / audit. Sécurité
« Et là, tout s’enchaîne… » • Injection, depuis Internet, de code dans les pages du site « inter/intranet » – 1 à plusieurs codes d’exploitation. • (ou) Injection d’une bannière pointant sur source externe : – Code viral / codes d’exploitation. • Puis ? Laisser faire le temps… – Déploiement sur le parc… de l’attaque   Bonus : utilisation du site internet compromis comme canal de contrôle de BotNet… Sécurité
Nouveaux flux ? Sécurité
Variantes • Comment déployer un code malin / une porte dérobée, en entreprise : – dans le temps, – discrètement, – avec une portée globale sur l’entité ciblée, – « gratuitement » ? • En le faisant via les outils de gestion de parc ! – Gestion de parc / administration = cibles. • Création / modification de paquetages de déploiement. Sécurité
La vie, la vraie… • Mots de passe administrateur local, commun de machines en machines (pire : en DMZ). – Aussi dangereux qu’un compte admin du domaine. • AD identique en DMZ et sur le LAN de prod. – Aucune isolation, rebond possible sur prod ! • Mauvaise cartographie des flux : – Confusion entre flux de supervision et malveillants. • Filtrage réseau faible : – Règles pare-feu autorisant… toute session TCP. – Détection (NIDS), mais pas de blocage, ni supervision. Sécurité
Le point d’entrée…? • Suite accès à serveur intégré à l’AD, et via un compte disposant du privilège SeDebug : – Énumération des comptes ayant ouvert une session (interactive ou non) • Dont administrateur du domaine, ou local ? – Extraction / vol des condensats des mots de passe • Pass the hash (avec réutilisation de l’identité AD) • Keyloggers fréquents. – Propagation de l’intrusion : • Exploration d’autres machines, • Création/modification de comptes. Sécurité
D’autres idées à abattre • « Isolation AD = entre domaines » – Frontière du modèle de sécurité AD = forêt • Aucune isolation entre domaines – Multi-forêt recommandée • Notamment 1 pour administrer • « Pas de risque si accès uniquement à des sites partenaires / connus » – Possibilité de compromission à leur insu… – Possibilité de détournement de l’accès réseau… • Résolution de nom, etc. Sécurité
Des retours d’expérience • Cloisonnement réseau : – Sans lui, inventaire réseau du code malin = plus précis que celui de la DSI… – Peu souvent mis en œuvre • /! routage dynamique… • Principaux ennemis ? – À la frontière entre intrusion logique et physique : • La clé USB ! – RExp Conficker, Stuxnet, etc. – Insuffisance de cartographie des flux. Sécurité
Autres retours d’expérience • Zones d’échange métier = cibles ! – MS Exchange • Quantité/diversité de données insoupçonnée… – SharePoint – Partages réseau SMB • Douloureux, peu anticipé, criticité sous-estimée… • Mais sont également ciblés : – AD : annuaire de personnes • Exfiltré en HTTP(s), flux sortants (donc peu contrôlés…) – Journaux de sécurité • Si activés  et pas seulement en échecs… Sécurité
Quelques rappels opérationnels • Cloisonnement réseau à 100% = utopie – Interconnexion = fondement même réseaux IP • Mais sans cloisonnement : – Compromission transverse, et non pas de zone ! • Pare-feu = statique = premier barrage – Insuffisant (un routeur pourrait faire l’affaire…) • Sonde NIDS / NIPS = filtrage dynamique, adaptable – WAF = protection applicatif web Sécurité
Des choses plus « exotiques » ? • Ne pas télécharger des outils bien connus – Mais récupérer code source + compiler en local • Plus discret par rapport aux systèmes de filtrage • Identifier le moteur antiviral utilisé par la cible – Remodeler code malin existant pour y échapper • Même variante, empaqueteur différent ! • Se propager via les zones de synchro de l’AD – Sysvol / Netlogon • Cibler des systèmes ou des matériels particuliers… Sécurité
Partie 2 Rootkit, le retour P. Chuzel Sécurité
Quelques chiffres [MMPC] • Décembre 2012 – 20 millions de logiciels potentiellement malins, analysés • 100 000 ont mené à création de signatures • Blocage de 4 millions de fichiers (uniques) – Base complète : 72 millions de fichiers détectés. • Collecte de données sur 1 milliard de machines – Vision étendue des menaces en circulation ! Sécurité
Merci de votre attention ! Sécurité
Sources • http://technet.microsoft.com/en- us/library/cc512681.aspx • http://hackmageddon.com/2012-cyber- attacks-timeline-master-index/ • http://www.intelligenceonline.fr/intelligence -economique/2012/07/19/attaque- chinoise-contre-astrium,104644072-BRE Sécurité

Recomendados

Lutter contre les attaques ciblées avec quelques mesures simples et efficaces
Lutter contre les attaques ciblées avec quelques mesures simples et efficacesLutter contre les attaques ciblées avec quelques mesures simples et efficaces
Lutter contre les attaques ciblées avec quelques mesures simples et efficacesMicrosoft
 
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...ir. Carmelo Zaccone
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
 
Securite Informatique Orthez
Securite Informatique OrthezSecurite Informatique Orthez
Securite Informatique Orthezarnaudm
 
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDCMatinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDCALTITUDE CONCEPT SPRL
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Sylvain Maret
 
La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016Olivier DUPONT
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueMaxime ALAY-EDDINE
 

Recomendados

Lutter contre les attaques ciblées avec quelques mesures simples et efficaces
Lutter contre les attaques ciblées avec quelques mesures simples et efficacesLutter contre les attaques ciblées avec quelques mesures simples et efficaces
Lutter contre les attaques ciblées avec quelques mesures simples et efficacesMicrosoft
 
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...
La sécurité informatique, c\'est l\'affaire de tous: état des lieux et perspe...ir. Carmelo Zaccone
 
Competitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCompetitic sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
 
Securite Informatique Orthez
Securite Informatique OrthezSecurite Informatique Orthez
Securite Informatique Orthezarnaudm
 
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDCMatinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDCALTITUDE CONCEPT SPRL
 
Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Introduction à La Sécurité Informatique 1/2
Introduction à La Sécurité Informatique 1/2Sylvain Maret
 
La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016Olivier DUPONT
 
Enjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueEnjeux et évolutions de la sécurite informatique
Enjeux et évolutions de la sécurite informatiqueMaxime ALAY-EDDINE
 
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasSécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasMaxime ALAY-EDDINE
 
Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1Sylvain Maret
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiqueoussama Hafid
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesEnjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesMaxime ALAY-EDDINE
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesMaxime ALAY-EDDINE
 
Présentation pfe inchaallah
Présentation pfe inchaallahPrésentation pfe inchaallah
Présentation pfe inchaallahIlyass_rebla
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatiqueSouhaib El
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiquealexartiste
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationManuel Cédric EBODE MBALLA
 
De la Securité Informatique a l’Identite Numerique 2.0
De la Securité Informatique a l’Identite Numerique 2.0De la Securité Informatique a l’Identite Numerique 2.0
De la Securité Informatique a l’Identite Numerique 2.0Eric Herschkorn
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatiqueMohammed Zaoui
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUCHAOUACHI marwen
 
Alphorm.com Formation SCADA : Cybersécurité des systèmes industriels
Alphorm.com Formation SCADA : Cybersécurité des systèmes industrielsAlphorm.com Formation SCADA : Cybersécurité des systèmes industriels
Alphorm.com Formation SCADA : Cybersécurité des systèmes industrielsAlphorm
 
Cybercrime Update : sensibilisation
Cybercrime Update : sensibilisationCybercrime Update : sensibilisation
Cybercrime Update : sensibilisationPittet Sébastien
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTMaxime ALAY-EDDINE
 
Audit
AuditAudit
Auditzan
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internetwaggaland
 
La sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeLa sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeGeeks Anonymes
 
Presentacion seminario m_vallejo_marzo11
Presentacion seminario m_vallejo_marzo11Presentacion seminario m_vallejo_marzo11
Presentacion seminario m_vallejo_marzo11greendisc
 
Disease concept 041313 farley
Disease concept 041313 farleyDisease concept 041313 farley
Disease concept 041313 farleyHarmony Foundation, Inc
 

Más contenido relacionado

La actualidad más candente

Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasSécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasMaxime ALAY-EDDINE
 
Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1Sylvain Maret
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiqueoussama Hafid
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesEnjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesMaxime ALAY-EDDINE
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesMaxime ALAY-EDDINE
 
Présentation pfe inchaallah
Présentation pfe inchaallahPrésentation pfe inchaallah
Présentation pfe inchaallahIlyass_rebla
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatiqueSouhaib El
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiquealexartiste
 
De la Securité Informatique a l’Identite Numerique 2.0
De la Securité Informatique a l’Identite Numerique 2.0De la Securité Informatique a l’Identite Numerique 2.0
De la Securité Informatique a l’Identite Numerique 2.0Eric Herschkorn
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatiqueMohammed Zaoui
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUCHAOUACHI marwen
 
Alphorm.com Formation SCADA : Cybersécurité des systèmes industriels
Alphorm.com Formation SCADA : Cybersécurité des systèmes industrielsAlphorm.com Formation SCADA : Cybersécurité des systèmes industriels
Alphorm.com Formation SCADA : Cybersécurité des systèmes industrielsAlphorm
 
Cybercrime Update : sensibilisation
Cybercrime Update : sensibilisationCybercrime Update : sensibilisation
Cybercrime Update : sensibilisationPittet Sébastien
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTMaxime ALAY-EDDINE
 
Audit
AuditAudit
Auditzan
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internetwaggaland
 
La sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeLa sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeGeeks Anonymes
 

La actualidad más candente (20)

Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pasSécurité informatique : le Retour sur Investissement que vous n'attendiez pas
Sécurité informatique : le Retour sur Investissement que vous n'attendiez pas
 
Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1Introduction a la securité informatique Volume1
Introduction a la securité informatique Volume1
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
 
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale NantesEnjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
Enjeux et évolutions de la sécurité informatique - Présentation Centrale Nantes
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
 
Présentation pfe inchaallah
Présentation pfe inchaallahPrésentation pfe inchaallah
Présentation pfe inchaallah
 
Securite informatique
Securite informatiqueSecurite informatique
Securite informatique
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
 
De la Securité Informatique a l’Identite Numerique 2.0
De la Securité Informatique a l’Identite Numerique 2.0De la Securité Informatique a l’Identite Numerique 2.0
De la Securité Informatique a l’Identite Numerique 2.0
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
 
Alphorm.com Formation SCADA : Cybersécurité des systèmes industriels
Alphorm.com Formation SCADA : Cybersécurité des systèmes industrielsAlphorm.com Formation SCADA : Cybersécurité des systèmes industriels
Alphorm.com Formation SCADA : Cybersécurité des systèmes industriels
 
Cybercrime Update : sensibilisation
Cybercrime Update : sensibilisationCybercrime Update : sensibilisation
Cybercrime Update : sensibilisation
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoT
 
Audit
AuditAudit
Audit
 
Sécurisation d'un site internet
Sécurisation d'un site internetSécurisation d'un site internet
Sécurisation d'un site internet
 
La sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeLa sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipe
 

Destacado

Presentacion seminario m_vallejo_marzo11
Presentacion seminario m_vallejo_marzo11Presentacion seminario m_vallejo_marzo11
Presentacion seminario m_vallejo_marzo11greendisc
 
Domino Communication Presentation 2013
Domino Communication Presentation 2013Domino Communication Presentation 2013
Domino Communication Presentation 2013Domino Communication
 
Agatha christie
Agatha christieAgatha christie
Agatha christiebecretav
 
Contingency planning
Contingency planningContingency planning
Contingency planningkatiesteph5
 
Metamorphose du printemps spring primavera _ part 1
Metamorphose du printemps spring primavera _ part 1Metamorphose du printemps spring primavera _ part 1
Metamorphose du printemps spring primavera _ part 1Anais Hanahis
 
Aktywne słuchanie muzyki instrumenty do piosenki dziecięcej
Aktywne słuchanie muzyki instrumenty do piosenki dziecięcejAktywne słuchanie muzyki instrumenty do piosenki dziecięcej
Aktywne słuchanie muzyki instrumenty do piosenki dziecięcejMarta77777
 
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...Microsoft
 
Funding lecture monika
Funding lecture monikaFunding lecture monika
Funding lecture monikaTom Howard
 
Estudio34 Presents Richard Falconer, LBi en Brighton SEO 2013
Estudio34 Presents Richard Falconer, LBi en Brighton SEO 2013Estudio34 Presents Richard Falconer, LBi en Brighton SEO 2013
Estudio34 Presents Richard Falconer, LBi en Brighton SEO 2013William Renedo
 

Destacado (15)

Presentacion seminario m_vallejo_marzo11
Presentacion seminario m_vallejo_marzo11Presentacion seminario m_vallejo_marzo11
Presentacion seminario m_vallejo_marzo11
 
Disease concept 041313 farley
Disease concept 041313 farleyDisease concept 041313 farley
Disease concept 041313 farley
 
Leitura
LeituraLeitura
Leitura
 
Domino Communication Presentation 2013
Domino Communication Presentation 2013Domino Communication Presentation 2013
Domino Communication Presentation 2013
 
Agatha christie
Agatha christieAgatha christie
Agatha christie
 
Contingency planning
Contingency planningContingency planning
Contingency planning
 
Metamorphose du printemps spring primavera _ part 1
Metamorphose du printemps spring primavera _ part 1Metamorphose du printemps spring primavera _ part 1
Metamorphose du printemps spring primavera _ part 1
 
La Nueva España_ 11 de abril_2013
La Nueva España_ 11 de abril_2013La Nueva España_ 11 de abril_2013
La Nueva España_ 11 de abril_2013
 
Профессиональные коммуникации в социологическом сообществе
Профессиональные коммуникации в социологическом сообществеПрофессиональные коммуникации в социологическом сообществе
Профессиональные коммуникации в социологическом сообществе
 
Landscape Photographers
Landscape PhotographersLandscape Photographers
Landscape Photographers
 
Aktywne słuchanie muzyki instrumenty do piosenki dziecięcej
Aktywne słuchanie muzyki instrumenty do piosenki dziecięcejAktywne słuchanie muzyki instrumenty do piosenki dziecięcej
Aktywne słuchanie muzyki instrumenty do piosenki dziecięcej
 
Módulo 0
Módulo 0Módulo 0
Módulo 0
 
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...
Protéger le patrimoine informationnel de l'entreprise avec Dynamic Access Con...
 
Funding lecture monika
Funding lecture monikaFunding lecture monika
Funding lecture monika
 
Estudio34 Presents Richard Falconer, LBi en Brighton SEO 2013
Estudio34 Presents Richard Falconer, LBi en Brighton SEO 2013Estudio34 Presents Richard Falconer, LBi en Brighton SEO 2013
Estudio34 Presents Richard Falconer, LBi en Brighton SEO 2013
 

Similar a Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et recommandations

The Dark Side Of The Cloud
The Dark Side Of The CloudThe Dark Side Of The Cloud
The Dark Side Of The CloudRobert Viseur
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcampCameroon
 
annibal_mysqlcluster.ppt
annibal_mysqlcluster.pptannibal_mysqlcluster.ppt
annibal_mysqlcluster.pptKhalil BOUKRI
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...michelcusin
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02Sébastien GIORIA
 
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi Association Transition Numérique +
 
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaSEvaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaSNBS System
 
Starc by Exaprobe
Starc by ExaprobeStarc by Exaprobe
Starc by ExaprobeExaprobe
 
E réputation - protection des données en lignes
E réputation - protection des données en lignesE réputation - protection des données en lignes
E réputation - protection des données en lignesDigital Thursday
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTCyber Security Alliance
 
CSA_Presentation_Commerciale.ppt
CSA_Presentation_Commerciale.pptCSA_Presentation_Commerciale.ppt
CSA_Presentation_Commerciale.pptMarrelNguemaMvome
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéMicrosoft
 
Sandboxing, une nouvelle défense contre les menaces intelligentes
Sandboxing, une nouvelle défense contre les menaces intelligentesSandboxing, une nouvelle défense contre les menaces intelligentes
Sandboxing, une nouvelle défense contre les menaces intelligentese-Xpert Solutions SA
 
Hackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg FrHackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg FrDavid Girard
 
IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016Serge Richard
 
Sécurité: Ne soyez pas à risque
Sécurité: Ne soyez pas à risqueSécurité: Ne soyez pas à risque
Sécurité: Ne soyez pas à risqueMaxime Jobin
 

Similar a Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et recommandations (20)

The Dark Side Of The Cloud
The Dark Side Of The CloudThe Dark Side Of The Cloud
The Dark Side Of The Cloud
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphia
 
annibal_mysqlcluster.ppt
annibal_mysqlcluster.pptannibal_mysqlcluster.ppt
annibal_mysqlcluster.ppt
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 
La sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipeLa sécurité informatique pour une petite équipe
La sécurité informatique pour une petite équipe
 
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
ATN+ good technology - Cybercriminalité mobile : un risque pour les PME aussi
 
1 introduction secu
1 introduction secu1 introduction secu
1 introduction secu
 
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaSEvaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
Evaluer et contrôler la sécurité de ses prestataires Cloud, PaaS ou SaaS
 
Starc by Exaprobe
Starc by ExaprobeStarc by Exaprobe
Starc by Exaprobe
 
E réputation - protection des données en lignes
E réputation - protection des données en lignesE réputation - protection des données en lignes
E réputation - protection des données en lignes
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
 
On a volé les clefs de mon SI !
On a volé les clefs de mon SI !On a volé les clefs de mon SI !
On a volé les clefs de mon SI !
 
CSA_Presentation_Commerciale.ppt
CSA_Presentation_Commerciale.pptCSA_Presentation_Commerciale.ppt
CSA_Presentation_Commerciale.ppt
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécurité
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécurité
 
Sandboxing, une nouvelle défense contre les menaces intelligentes
Sandboxing, une nouvelle défense contre les menaces intelligentesSandboxing, une nouvelle défense contre les menaces intelligentes
Sandboxing, une nouvelle défense contre les menaces intelligentes
 
Hackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg FrHackfest2010 Tm Dg Fr
Hackfest2010 Tm Dg Fr
 
IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016IBM Security Intelligence Juin-2016
IBM Security Intelligence Juin-2016
 
Sécurité: Ne soyez pas à risque
Sécurité: Ne soyez pas à risqueSécurité: Ne soyez pas à risque
Sécurité: Ne soyez pas à risque
 

Más de Microsoft

Uwp + Xamarin : Du nouveau en terre du milieu
Uwp + Xamarin : Du nouveau en terre du milieuUwp + Xamarin : Du nouveau en terre du milieu
Uwp + Xamarin : Du nouveau en terre du milieuMicrosoft
 
La Blockchain pas à PaaS
La Blockchain pas à PaaSLa Blockchain pas à PaaS
La Blockchain pas à PaaSMicrosoft
 
Tester, Monitorer et Déployer son application mobile
Tester, Monitorer et Déployer son application mobileTester, Monitorer et Déployer son application mobile
Tester, Monitorer et Déployer son application mobileMicrosoft
 
Windows 10, un an après – Nouveautés & Démo
Windows 10, un an après – Nouveautés & Démo Windows 10, un an après – Nouveautés & Démo
Windows 10, un an après – Nouveautés & Démo Microsoft
 
Prenez votre pied avec les bots et cognitive services.
Prenez votre pied avec les bots et cognitive services.Prenez votre pied avec les bots et cognitive services.
Prenez votre pied avec les bots et cognitive services.Microsoft
 
Office 365 Dev PnP & PowerShell : exploitez enfin le potentiel de votre écosy...
Office 365 Dev PnP & PowerShell : exploitez enfin le potentiel de votre écosy...Office 365 Dev PnP & PowerShell : exploitez enfin le potentiel de votre écosy...
Office 365 Dev PnP & PowerShell : exploitez enfin le potentiel de votre écosy...Microsoft
 
Créer un bot de A à Z
Créer un bot de A à ZCréer un bot de A à Z
Créer un bot de A à ZMicrosoft
 
Microsoft Composition, pierre angulaire de vos applications ?
Microsoft Composition, pierre angulaire de vos applications ?Microsoft Composition, pierre angulaire de vos applications ?
Microsoft Composition, pierre angulaire de vos applications ?Microsoft
 
Les nouveautés SQL Server 2016
Les nouveautés SQL Server 2016Les nouveautés SQL Server 2016
Les nouveautés SQL Server 2016Microsoft
 
Conteneurs Linux ou Windows : quelles approches pour des IT agiles ?
Conteneurs Linux ou Windows : quelles approches pour des IT agiles ?Conteneurs Linux ou Windows : quelles approches pour des IT agiles ?
Conteneurs Linux ou Windows : quelles approches pour des IT agiles ?Microsoft
 
Administration et supervision depuis le Cloud avec Azure Logs Analytics
Administration et supervision depuis le Cloud avec Azure Logs AnalyticsAdministration et supervision depuis le Cloud avec Azure Logs Analytics
Administration et supervision depuis le Cloud avec Azure Logs AnalyticsMicrosoft
 
Retour d'expérience de projets Azure IoT "large scale" (MicroServices, portag...
Retour d'expérience de projets Azure IoT "large scale" (MicroServices, portag...Retour d'expérience de projets Azure IoT "large scale" (MicroServices, portag...
Retour d'expérience de projets Azure IoT "large scale" (MicroServices, portag...Microsoft
 
Plan de Reprise d'Activité avec Azure Site Recovery
Plan de Reprise d'Activité avec Azure Site RecoveryPlan de Reprise d'Activité avec Azure Site Recovery
Plan de Reprise d'Activité avec Azure Site RecoveryMicrosoft
 
Modélisation, déploiement et gestion des infrastructures Cloud : outils et bo...
Modélisation, déploiement et gestion des infrastructures Cloud : outils et bo...Modélisation, déploiement et gestion des infrastructures Cloud : outils et bo...
Modélisation, déploiement et gestion des infrastructures Cloud : outils et bo...Microsoft
 
Transformation de la représentation : De la VR à la RA, aller & retour.
Transformation de la représentation : De la VR à la RA, aller & retour.Transformation de la représentation : De la VR à la RA, aller & retour.
Transformation de la représentation : De la VR à la RA, aller & retour.Microsoft
 
Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...
Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...
Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...Microsoft
 
Introduction à ASP.NET Core
Introduction à ASP.NET CoreIntroduction à ASP.NET Core
Introduction à ASP.NET CoreMicrosoft
 
Open Source et Microsoft Azure, rêve ou réalité ?
Open Source et Microsoft Azure, rêve ou réalité ?Open Source et Microsoft Azure, rêve ou réalité ?
Open Source et Microsoft Azure, rêve ou réalité ?Microsoft
 
Comment développer sur la console Xbox One avec une application Universal Win...
Comment développer sur la console Xbox One avec une application Universal Win...Comment développer sur la console Xbox One avec une application Universal Win...
Comment développer sur la console Xbox One avec une application Universal Win...Microsoft
 
Azure Service Fabric pour les développeurs
Azure Service Fabric pour les développeursAzure Service Fabric pour les développeurs
Azure Service Fabric pour les développeursMicrosoft
 

Más de Microsoft (20)

Uwp + Xamarin : Du nouveau en terre du milieu
Uwp + Xamarin : Du nouveau en terre du milieuUwp + Xamarin : Du nouveau en terre du milieu
Uwp + Xamarin : Du nouveau en terre du milieu
 
La Blockchain pas à PaaS
La Blockchain pas à PaaSLa Blockchain pas à PaaS
La Blockchain pas à PaaS
 
Tester, Monitorer et Déployer son application mobile
Tester, Monitorer et Déployer son application mobileTester, Monitorer et Déployer son application mobile
Tester, Monitorer et Déployer son application mobile
 
Windows 10, un an après – Nouveautés & Démo
Windows 10, un an après – Nouveautés & Démo Windows 10, un an après – Nouveautés & Démo
Windows 10, un an après – Nouveautés & Démo
 
Prenez votre pied avec les bots et cognitive services.
Prenez votre pied avec les bots et cognitive services.Prenez votre pied avec les bots et cognitive services.
Prenez votre pied avec les bots et cognitive services.
 
Office 365 Dev PnP & PowerShell : exploitez enfin le potentiel de votre écosy...
Office 365 Dev PnP & PowerShell : exploitez enfin le potentiel de votre écosy...Office 365 Dev PnP & PowerShell : exploitez enfin le potentiel de votre écosy...
Office 365 Dev PnP & PowerShell : exploitez enfin le potentiel de votre écosy...
 
Créer un bot de A à Z
Créer un bot de A à ZCréer un bot de A à Z
Créer un bot de A à Z
 
Microsoft Composition, pierre angulaire de vos applications ?
Microsoft Composition, pierre angulaire de vos applications ?Microsoft Composition, pierre angulaire de vos applications ?
Microsoft Composition, pierre angulaire de vos applications ?
 
Les nouveautés SQL Server 2016
Les nouveautés SQL Server 2016Les nouveautés SQL Server 2016
Les nouveautés SQL Server 2016
 
Conteneurs Linux ou Windows : quelles approches pour des IT agiles ?
Conteneurs Linux ou Windows : quelles approches pour des IT agiles ?Conteneurs Linux ou Windows : quelles approches pour des IT agiles ?
Conteneurs Linux ou Windows : quelles approches pour des IT agiles ?
 
Administration et supervision depuis le Cloud avec Azure Logs Analytics
Administration et supervision depuis le Cloud avec Azure Logs AnalyticsAdministration et supervision depuis le Cloud avec Azure Logs Analytics
Administration et supervision depuis le Cloud avec Azure Logs Analytics
 
Retour d'expérience de projets Azure IoT "large scale" (MicroServices, portag...
Retour d'expérience de projets Azure IoT "large scale" (MicroServices, portag...Retour d'expérience de projets Azure IoT "large scale" (MicroServices, portag...
Retour d'expérience de projets Azure IoT "large scale" (MicroServices, portag...
 
Plan de Reprise d'Activité avec Azure Site Recovery
Plan de Reprise d'Activité avec Azure Site RecoveryPlan de Reprise d'Activité avec Azure Site Recovery
Plan de Reprise d'Activité avec Azure Site Recovery
 
Modélisation, déploiement et gestion des infrastructures Cloud : outils et bo...
Modélisation, déploiement et gestion des infrastructures Cloud : outils et bo...Modélisation, déploiement et gestion des infrastructures Cloud : outils et bo...
Modélisation, déploiement et gestion des infrastructures Cloud : outils et bo...
 
Transformation de la représentation : De la VR à la RA, aller & retour.
Transformation de la représentation : De la VR à la RA, aller & retour.Transformation de la représentation : De la VR à la RA, aller & retour.
Transformation de la représentation : De la VR à la RA, aller & retour.
 
Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...
Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...
Quelles architectures pour vos applications Cloud, de la VM au conteneur : ça...
 
Introduction à ASP.NET Core
Introduction à ASP.NET CoreIntroduction à ASP.NET Core
Introduction à ASP.NET Core
 
Open Source et Microsoft Azure, rêve ou réalité ?
Open Source et Microsoft Azure, rêve ou réalité ?Open Source et Microsoft Azure, rêve ou réalité ?
Open Source et Microsoft Azure, rêve ou réalité ?
 
Comment développer sur la console Xbox One avec une application Universal Win...
Comment développer sur la console Xbox One avec une application Universal Win...Comment développer sur la console Xbox One avec une application Universal Win...
Comment développer sur la console Xbox One avec une application Universal Win...
 
Azure Service Fabric pour les développeurs
Azure Service Fabric pour les développeursAzure Service Fabric pour les développeurs
Azure Service Fabric pour les développeurs
 

Traitement d’incidents de sécurité : cas pratiques, retours d’expérience et recommandations

  • 1. Donnez votre avis ! Depuis votre smartphone, sur : http://notes.mstechdays.fr De nombreux lots à gagner toutes les heures !!! Claviers, souris et jeux Microsoft… Merci de nous aider à améliorer les TechDays http://notes.mstechdays.fr
  • 2. Traitement des incidents SSI Philippe VIALLE Ingénieur senior sécurité, support EMEA Microsoft C|EH, CISSP http://www.microsoft.com/fr-fr/security/default.aspx Sécurité
  • 3. Traitement des incidents SSI Patrick Chuzel Ingénieur senior sécurité d’escalade, support EMEA Microsoft MCSD http://www.microsoft.com/fr-fr/security/default.aspx Sécurité
  • 4. Agenda Mardi 12 février 2013, 17h30 Partie 1 Introduction Partie 2 Retours d’expérience sur les incidents Partie 3 Rootkit, le Retour Démo / questions Sécurité
  • 5. Equipe européennne de sécurité – CSS Security Que faisons-nous ? Sécurité
  • 6. Equipe CSS Sécurité France / EMEA • Bulletins de sécurité – France / EMEA • Support de l’antivirus postes et serveurs – FCS, FEP, SCEP. • Traitement des incidents de sécurité France / EMEA – Traitement des intrusions, attaques. – Traitement des alertes virales. – Analyse de machines (“est-elle compromise ou non ?”). • Formateurs sécurité et investigation NTIC – Conférences web, générales ou ciblées sur produits. – Sessions présentielles (plusieurs jours). Sécurité
  • 7. Partie 1 Les incidents SSI Ph. Vialle Sécurité
  • 8. Des cibles ? (publiques) Sécurité
  • 9. Des tendances marketing : APT • « APT » = Advanced Persistent Threat. – Menace persistante, s’appuyant sur panoplie d’outils (pas forcément avancés…). • Bien plus rare que ce qu’on peut en lire ! – NB : traitement en cours au Support de quelques cas réellement « hors du commun »… • Information & outils d’attaque disponibles : – Vulnerabilités + codes d’exploitation prêts à l’emploi. – Environnements de dev gratuits (y compris pour codes malveillants), ou prestation de service. Sécurité
  • 10. Des idées reçues à abattre • « 100% des correctifs Microsoft déployés = parc sécurisé. » – Non ! • Cf rapport SIR v13 : Oracle Java, Adobe PDF & Acrobat… – /! Urgence à déployer les correctifs non Microsoft • « Antivirus déployé = parc sécurisé » – Non ! • Sécurité en multi-couches • Antivirus = « liste noire », 100% efficace = impossible • Nb: Antivirus ciblé par attaquants. Sécurité
  • 11. Défense en profondeur (« DiD ») Sécurité
  • 12. Des croyances à oublier • « Machines Linux / Unix / Apple = indifférentes au risque viral » – Sauf si hébergement de ressources accessibles via protocole compatible SMB ! • « panier viral » persistant ! • Sécurisation complexe via clients uniquement. – Codes malins avec téléchargeur : • Version compilée MacOS, si système est Apple, • Version compilée Win32/64, si système est Microsoft. – NB : MS SCEP supporte MacOS et Linux… Sécurité
  • 13. Des idées à abattre • « La menace ne vient que de l’extérieur… » – Clé USB, disque dur / mini-NAS • (perso ?) – PC portable perso connecté au LAN – PC portable prestataire connecté au LAN – Ordiphone personnel connecté au LAN • 3/4G, WiFi, Blue-Tooth, connectivité USB, etc. – Liaison ADSL achetée, « non cadrée » (isolation) – Duperie des utilisateurs, • pour contourner la sécurité à leur insu. Sécurité
  • 14. Histoire d’un site web « simple » Sécurité
  • 15. Evolutions… • Visibilité supérieure – (Impact si déni de service ?) • Vrai CMS pour le contenu du site web • Vraies données à afficher, et à rafraîchir • Interconnexion avec d’autres services internes • Population cible élargie – Internet, mais aussi… interne ! – Pourquoi refaire l’architecture pour l’usage interne ? Sécurité
  • 17. Mais la gestion sécurité…? • Site Internet devient extranet… • Site Internet devient également… intranet ! – Quid des niveaux de risque respectifs ? • Intranet = interne = « niveau de risque minimum » ? • Intranet exposé aux risques Internet ? – Niveau de risque différent de celui du LAN • Besoin de sécurité différent de celui historique ! – Peu de changements sécurité au final… • Coûts de la sécurité ? • Évolution « au fil de l’eau », sans mise à plat / audit. Sécurité
  • 18. « Et là, tout s’enchaîne… » • Injection, depuis Internet, de code dans les pages du site « inter/intranet » – 1 à plusieurs codes d’exploitation. • (ou) Injection d’une bannière pointant sur source externe : – Code viral / codes d’exploitation. • Puis ? Laisser faire le temps… – Déploiement sur le parc… de l’attaque   Bonus : utilisation du site internet compromis comme canal de contrôle de BotNet… Sécurité
  • 20. Variantes • Comment déployer un code malin / une porte dérobée, en entreprise : – dans le temps, – discrètement, – avec une portée globale sur l’entité ciblée, – « gratuitement » ? • En le faisant via les outils de gestion de parc ! – Gestion de parc / administration = cibles. • Création / modification de paquetages de déploiement. Sécurité
  • 21. La vie, la vraie… • Mots de passe administrateur local, commun de machines en machines (pire : en DMZ). – Aussi dangereux qu’un compte admin du domaine. • AD identique en DMZ et sur le LAN de prod. – Aucune isolation, rebond possible sur prod ! • Mauvaise cartographie des flux : – Confusion entre flux de supervision et malveillants. • Filtrage réseau faible : – Règles pare-feu autorisant… toute session TCP. – Détection (NIDS), mais pas de blocage, ni supervision. Sécurité
  • 22. Le point d’entrée…? • Suite accès à serveur intégré à l’AD, et via un compte disposant du privilège SeDebug : – Énumération des comptes ayant ouvert une session (interactive ou non) • Dont administrateur du domaine, ou local ? – Extraction / vol des condensats des mots de passe • Pass the hash (avec réutilisation de l’identité AD) • Keyloggers fréquents. – Propagation de l’intrusion : • Exploration d’autres machines, • Création/modification de comptes. Sécurité
  • 23. D’autres idées à abattre • « Isolation AD = entre domaines » – Frontière du modèle de sécurité AD = forêt • Aucune isolation entre domaines – Multi-forêt recommandée • Notamment 1 pour administrer • « Pas de risque si accès uniquement à des sites partenaires / connus » – Possibilité de compromission à leur insu… – Possibilité de détournement de l’accès réseau… • Résolution de nom, etc. Sécurité
  • 24. Des retours d’expérience • Cloisonnement réseau : – Sans lui, inventaire réseau du code malin = plus précis que celui de la DSI… – Peu souvent mis en œuvre • /! routage dynamique… • Principaux ennemis ? – À la frontière entre intrusion logique et physique : • La clé USB ! – RExp Conficker, Stuxnet, etc. – Insuffisance de cartographie des flux. Sécurité
  • 25. Autres retours d’expérience • Zones d’échange métier = cibles ! – MS Exchange • Quantité/diversité de données insoupçonnée… – SharePoint – Partages réseau SMB • Douloureux, peu anticipé, criticité sous-estimée… • Mais sont également ciblés : – AD : annuaire de personnes • Exfiltré en HTTP(s), flux sortants (donc peu contrôlés…) – Journaux de sécurité • Si activés  et pas seulement en échecs… Sécurité
  • 26. Quelques rappels opérationnels • Cloisonnement réseau à 100% = utopie – Interconnexion = fondement même réseaux IP • Mais sans cloisonnement : – Compromission transverse, et non pas de zone ! • Pare-feu = statique = premier barrage – Insuffisant (un routeur pourrait faire l’affaire…) • Sonde NIDS / NIPS = filtrage dynamique, adaptable – WAF = protection applicatif web Sécurité
  • 27. Des choses plus « exotiques » ? • Ne pas télécharger des outils bien connus – Mais récupérer code source + compiler en local • Plus discret par rapport aux systèmes de filtrage • Identifier le moteur antiviral utilisé par la cible – Remodeler code malin existant pour y échapper • Même variante, empaqueteur différent ! • Se propager via les zones de synchro de l’AD – Sysvol / Netlogon • Cibler des systèmes ou des matériels particuliers… Sécurité
  • 28. Partie 2 Rootkit, le retour P. Chuzel Sécurité
  • 29. Quelques chiffres [MMPC] • Décembre 2012 – 20 millions de logiciels potentiellement malins, analysés • 100 000 ont mené à création de signatures • Blocage de 4 millions de fichiers (uniques) – Base complète : 72 millions de fichiers détectés. • Collecte de données sur 1 milliard de machines – Vision étendue des menaces en circulation ! Sécurité
  • 30. Merci de votre attention ! Sécurité
  • 31. Sources • http://technet.microsoft.com/en- us/library/cc512681.aspx • http://hackmageddon.com/2012-cyber- attacks-timeline-master-index/ • http://www.intelligenceonline.fr/intelligence -economique/2012/07/19/attaque- chinoise-contre-astrium,104644072-BRE Sécurité

Notas del editor

  1. Notation
  2. Intro Serveurs / Entreprise / Reseaux / IT
  3. Intro Serveurs / Entreprise / Reseaux / IT
  4. Intro Serveurs / Entreprise / Reseaux / IT
  5. Intro Serveurs / Entreprise / Reseaux / IT
  6. Image : http://mashable.com/2012/07/09/dns-malware-hype/