L’utilisateur et son rôle primordial dans la protection active des systèmes d’information 19 mai 2015 | Christian Raemy | Senior Security Expert

Agenda

• Panorama de l’évolution des menaces • Exemples de cas concrets • Principaux risques encourus • Comment se prémunir ? • Questions & réponses

Panorama de l’évolution des menaces

3

Explosion du nombre de malware Nouveaux malware par trimestre de 2010 à 2013…

*Source: McAfee Labs 4

2’000’000

4’000’000

6’000’000

8’000’000

10’000’000

12’000’000

Q1 2010

Q2 2010

Q3 2010

Q4 2010

Q1 2011

Q2 2011

Q3 2011

Q4 2011

Q1 2012

Q2 2012

Q3 2012

Q4 2012

Q1 2013

14’000’000

Explosion du nombre de malware …et depuis 2013

*Source: McAfee Labs 5

10’000’000

20’000’000

30’000’000

40’000’000

50’000’000

Q1 2013

Q2 2013

Q3 2013

Q4 2013

Q1 2014

Q2 2014

Q3 2014

Q4 2014

550’000 par jour ~400 par minute > 6 par seconde

1986 2013 1988 1991 1999 2000 2001 2003 2007

Virus Brain (boot sector)

Worm Morris (internet)

Michelangello (time bomb)

Melissa (Email)

Code Red & Nimda (Mass worm email & Web)

I Love You (Mass email)

Blaster (reboot)

Storm (botnet)

Zeus (Bank worm)

• Professionnalisation des attaques Evolution de la complexité des malwares

*Source: Wikipedia

Slammer (SQL)

Sasser (Network outage)

2004 2008

Conficker (worm & USB)

2010

Stuxnet (SCADA network)

2012

Flame Shamoon

(cyber espionage)

Cryptolocker (crypto randsomware)

Evolution des malware de rançonnage Nombre total de ransomware depuis 2012

*Source: McAfee Labs 7

500’000

1’000’000

1’500’000

2’000’000

Q1 2012

Q2 2012

Q3 2012

Q4 2012

Q1 2013

Q2 2013

Q3 2013

Q4 2013

Q1 2014

Q2 2014

Q3 2014

Q4 2014

2’500’000

Quelques exemples de ransomware

8

• 2014 – 2015 Principaux vecteurs de compromission

Phishing Attachement email Site web dangereux et compromis Stick USB

Exemples de cas concrets

10

4 Une fois résidant en mémoire et avec les droits admin, le système compromis permet tous types d’opérations: propagation, arrêt des protection, vol de données, etc...

Windows Desktop or Server

Corporate Network

Exemple d’infection d’un système informatique Grâce à l’exploitation d’une vulnérabilité du navigateur

Système vulnérable “Non-patché ou vulnérabilité zero-day”

Sales Force Customers

Exploitation de la faille

2 …et écriture de codes en mémoire

3

Firewall

Remote Workers

Internet

L’utilisateur est incité à se rendre sur un site web piégé

1

Sensitive Data

11

Le système compromis ouvre alors une brèche depuis l’intérieur du réseau protégé !

Malware Expiro

12

• Entreprise active dans le domaine de la construction

• Début de l’infection par une clé USB privé contenant un malware

• Propagation rapide au travers des partages réseaux et clés USB

• Infection de tous les exécutables sur tous les postes et tous les serveurs; ~70’000 exécutables sur ~250 systèmes

• Les machines compromises font partie d’un réseau de zombie

• Les mots de passe des navigateurs sont volés

• Le malware se connecte régulièrement aux serveurs de contrôle et mute toute les 24 heures

Septembre 2013

• 3 personnes pendant 5 jours pour désinfecter (220h/hommes) • Perte de productivité importante pour 80% des collaborateurs

pendant 3 jours • Changement global de tous les mot de passe des collaborateurs

Ransomware fud@inda.com

13

• Entreprise publique active dans le domaine de la santé

• Début de l’infection par un email contenant une pièce jointe infectée

• Chiffrement de tous les documents et images présente sur le poste

• Chiffrement de tous les documents sur tous les partage réseau accessibles par l’utilisateur connecté

• En moins de 2h30, plus de 6 Téraoctets sont chiffrés sur les serveurs

• Il faudra plus de 3 heures pour détecter le poste infecté, le localiser et le déconnecter du réseau

Décembre 2014

• 4 personnes pendant 12h pour résoudre l’incident (48h/hommes) • 9 heures de restauration des données sur les serveurs • Perte de tous les documents créés par 20% des collaborateurs

pendant la journée

APT Generic_R!CTH

14

• Entreprise active dans le domaine chimique

• Début de l’infection par un lien dans un email pointant vers une fausse facture

• Tentative de connexion à des serveurs de contrôle

• Envoi régulier par email des captures de frappe et de lien url

• Tentative d’attaque bruteforce contre le site intranet de l’entreprise

• Le malware était présent depuis le mois de juillet 2014 sans aucune détection anti-virale

• Lors de sa découverte, aucun des 55 anti-virus ne connaissait ce malware. Aujourd’hui seul 39/55 (source VirusTotal)

Décembre 2014

• 4 postes infectés sans aucun impact de performance ou soupçons • 6 mois de présence et de «collecte d’information»

Principaux risques encourus

15

Quels sont les risques et les conséquences:

16

Données chiffrées, illisibles ou détruites Perte de données

Hébergement illégal (Impact media & opinion publique) Dégats d’image

Exfiltration de données confidentielles, revente, publication Vol de données

Détournement bancaire, «arnaque au président» Pertes financière

Hébergement malveillant, minage de Bitcoin, P2P Exploitation des resources

Compromission des systèmes, interruption de(s) service(s) Indisponibilité

Augmentation exponentielle du temps de résolution et des coûts lors d’incidents

Comment se prémunir ?

18

Connaître

19

Facteurs clé de la sécurité IT

Gérer

Protéger Surveiller

• Inventaire IT complet et à jour • Schéma réseau • Procédures documentées • Formation continue • Participation aux événements

• Outils de management global • Adaptation régulière des règles de

protection • Tests et validation

• Limitation de l’exposition aux risques • Déploiement de solutions de

protection adaptées • Sensibilisation des utilisateurs aux

problèmes de sécurité

• Rapport réguliers • Alertes lors d’incidents ou de

seuil particulier • Audit de sécurité

Conseils de protection pour le service IT

20

Proposition de mesures et de solutions afin de se prémunir de risques majeurs

Appliquer les mises à jour logicielle

Déployer et gérer une solution anti-virus fiable

Adapter les droits des utilisateurs

Changer les mots de passe par défaut ou trop simples

Effectuer des sauvegardes régulières et vérifier les processus de restauration

Protéger vos accès vers l’extérieur (Firewall, Web, Email)

Implémenter une solution de protection comportementale

Exploiter des outils de monitoring

Bonnes pratiques à l’intention des utilisateurs

21

Ne pas utiliser de programmes non distribués ou scrupuleusement vérifiés

En cas de doute, toujours vérifier l’identité de votre interlocuteur par un moyen tierce

Ne pas confondre outils informatique professionnel et système privé ou récréatif

Informer immédiatement le service IT en cas de doute, de mauvaise manipulation ou d’infection

Ne JAMAIS transmettre ses identifiants (usename, password,…) à qui conque!

Sensibilisation régulière des utilisateurs avec exercices et validation

Questions & réponses

22

Merci !