L’utilisateur et son rôle primordial dans la protection active des systèmes d’information
-
Upload
egov-innovation-center -
Category
Technology
-
view
73 -
download
1
Transcript of L’utilisateur et son rôle primordial dans la protection active des systèmes d’information
L’utilisateur et son rôle primordial dans la protection active des systèmes d’information 19 mai 2015 | Christian Raemy | Senior Security Expert
Agenda
• Panorama de l’évolution des menaces • Exemples de cas concrets • Principaux risques encourus • Comment se prémunir ? • Questions & réponses
Explosion du nombre de malware Nouveaux malware par trimestre de 2010 à 2013…
*Source: McAfee Labs 4
2’000’000
4’000’000
6’000’000
8’000’000
10’000’000
12’000’000
Q1 2010
Q2 2010
Q3 2010
Q4 2010
Q1 2011
Q2 2011
Q3 2011
Q4 2011
Q1 2012
Q2 2012
Q3 2012
Q4 2012
Q1 2013
14’000’000
Explosion du nombre de malware …et depuis 2013
*Source: McAfee Labs 5
10’000’000
20’000’000
30’000’000
40’000’000
50’000’000
Q1 2013
Q2 2013
Q3 2013
Q4 2013
Q1 2014
Q2 2014
Q3 2014
Q4 2014
550’000 par jour ~400 par minute > 6 par seconde
1986 2013 1988 1991 1999 2000 2001 2003 2007
Virus Brain (boot sector)
Worm Morris (internet)
Michelangello (time bomb)
Melissa (Email)
Code Red & Nimda (Mass worm email & Web)
I Love You (Mass email)
Blaster (reboot)
Storm (botnet)
Zeus (Bank worm)
• Professionnalisation des attaques Evolution de la complexité des malwares
*Source: Wikipedia
Slammer (SQL)
Sasser (Network outage)
2004 2008
Conficker (worm & USB)
2010
Stuxnet (SCADA network)
2012
Flame Shamoon
(cyber espionage)
Cryptolocker (crypto randsomware)
Evolution des malware de rançonnage Nombre total de ransomware depuis 2012
*Source: McAfee Labs 7
500’000
1’000’000
1’500’000
2’000’000
Q1 2012
Q2 2012
Q3 2012
Q4 2012
Q1 2013
Q2 2013
Q3 2013
Q4 2013
Q1 2014
Q2 2014
Q3 2014
Q4 2014
2’500’000
• 2014 – 2015 Principaux vecteurs de compromission
Phishing Attachement email Site web dangereux et compromis Stick USB
4 Une fois résidant en mémoire et avec les droits admin, le système compromis permet tous types d’opérations: propagation, arrêt des protection, vol de données, etc...
Windows Desktop or Server
Corporate Network
Exemple d’infection d’un système informatique Grâce à l’exploitation d’une vulnérabilité du navigateur
Système vulnérable “Non-patché ou vulnérabilité zero-day”
Sales Force Customers
Exploitation de la faille
2 …et écriture de codes en mémoire
3
Firewall
Remote Workers
Internet
L’utilisateur est incité à se rendre sur un site web piégé
1
Sensitive Data
11
Le système compromis ouvre alors une brèche depuis l’intérieur du réseau protégé !
Malware Expiro
12
• Entreprise active dans le domaine de la construction
• Début de l’infection par une clé USB privé contenant un malware
• Propagation rapide au travers des partages réseaux et clés USB
• Infection de tous les exécutables sur tous les postes et tous les serveurs; ~70’000 exécutables sur ~250 systèmes
• Les machines compromises font partie d’un réseau de zombie
• Les mots de passe des navigateurs sont volés
• Le malware se connecte régulièrement aux serveurs de contrôle et mute toute les 24 heures
Septembre 2013
• 3 personnes pendant 5 jours pour désinfecter (220h/hommes) • Perte de productivité importante pour 80% des collaborateurs
pendant 3 jours • Changement global de tous les mot de passe des collaborateurs
Ransomware [email protected]
13
• Entreprise publique active dans le domaine de la santé
• Début de l’infection par un email contenant une pièce jointe infectée
• Chiffrement de tous les documents et images présente sur le poste
• Chiffrement de tous les documents sur tous les partage réseau accessibles par l’utilisateur connecté
• En moins de 2h30, plus de 6 Téraoctets sont chiffrés sur les serveurs
• Il faudra plus de 3 heures pour détecter le poste infecté, le localiser et le déconnecter du réseau
Décembre 2014
• 4 personnes pendant 12h pour résoudre l’incident (48h/hommes) • 9 heures de restauration des données sur les serveurs • Perte de tous les documents créés par 20% des collaborateurs
pendant la journée
APT Generic_R!CTH
14
• Entreprise active dans le domaine chimique
• Début de l’infection par un lien dans un email pointant vers une fausse facture
• Tentative de connexion à des serveurs de contrôle
• Envoi régulier par email des captures de frappe et de lien url
• Tentative d’attaque bruteforce contre le site intranet de l’entreprise
• Le malware était présent depuis le mois de juillet 2014 sans aucune détection anti-virale
• Lors de sa découverte, aucun des 55 anti-virus ne connaissait ce malware. Aujourd’hui seul 39/55 (source VirusTotal)
Décembre 2014
• 4 postes infectés sans aucun impact de performance ou soupçons • 6 mois de présence et de «collecte d’information»
Quels sont les risques et les conséquences:
16
Données chiffrées, illisibles ou détruites Perte de données
Hébergement illégal (Impact media & opinion publique) Dégats d’image
Exfiltration de données confidentielles, revente, publication Vol de données
Détournement bancaire, «arnaque au président» Pertes financière
Hébergement malveillant, minage de Bitcoin, P2P Exploitation des resources
Compromission des systèmes, interruption de(s) service(s) Indisponibilité
Connaître
19
Facteurs clé de la sécurité IT
Gérer
Protéger Surveiller
• Inventaire IT complet et à jour • Schéma réseau • Procédures documentées • Formation continue • Participation aux événements
• Outils de management global • Adaptation régulière des règles de
protection • Tests et validation
• Limitation de l’exposition aux risques • Déploiement de solutions de
protection adaptées • Sensibilisation des utilisateurs aux
problèmes de sécurité
• Rapport réguliers • Alertes lors d’incidents ou de
seuil particulier • Audit de sécurité
Conseils de protection pour le service IT
20
Proposition de mesures et de solutions afin de se prémunir de risques majeurs
Appliquer les mises à jour logicielle
Déployer et gérer une solution anti-virus fiable
Adapter les droits des utilisateurs
Changer les mots de passe par défaut ou trop simples
Effectuer des sauvegardes régulières et vérifier les processus de restauration
Protéger vos accès vers l’extérieur (Firewall, Web, Email)
Implémenter une solution de protection comportementale
Exploiter des outils de monitoring
Bonnes pratiques à l’intention des utilisateurs
21
Ne pas utiliser de programmes non distribués ou scrupuleusement vérifiés
En cas de doute, toujours vérifier l’identité de votre interlocuteur par un moyen tierce
Ne pas confondre outils informatique professionnel et système privé ou récréatif
Informer immédiatement le service IT en cas de doute, de mauvaise manipulation ou d’infection
Ne JAMAIS transmettre ses identifiants (usename, password,…) à qui conque!
Sensibilisation régulière des utilisateurs avec exercices et validation