La lutte antivirale migre vers l’infrastructure réseau
Frédéric SAULET
Product Marketing Manager
Le 15 Février 2005
Copyright 2005 – Trend Micro, Inc. 2
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineL’évolution des virus
Virus de secteur de bootVirus basé sur un
fichier
1ère génération2ème génération 3ème génération
4ème génération
Virus d’envoi en masse
Serveur de messagerie
Portable
PC de bureau
PC de bureau
PC de bureau
Serveur de réseau
Virus de réseau
Serveur
Machines protégées
Copyright 2005 – Trend Micro, Inc. 3
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line1er problème : les virus réseau ne peuvent être arrêtés
Aucune solution de sécurité n’a réussi à arrêter ou contenir ces virus réseau La plupart du temps, il était trop tard = 2.15 milliards de $ de dégâts rien qu’en 2003
Source: Trend Micro, Computer Economics
Site central
VPN
Firewall
Protection DoS
Préventiondes
intrusions
Antivirustraditionnel
Evaluation de la vulnérabilitéNimda
Code Red
Slammer MSBlaster.AWelchia
Gestion deLa sécurité
Internet
Copyright 2005 – Trend Micro, Inc. 4
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line2ème problème : le délai entre la disponibilité du correctif et la contagion se réduit
Il est pratiquement impossible de suivre le rythme des failles et correctifsOn ne sait pas quel virus est susceptible d’exploiter les failles
Source: Trend Micro
MSBlaster.A
11août 2003Patch: MS03-026
16 juillet 2003
Patch: MS02-03924 juillet 2002
Slammer
25 janvier 2003
Délai
26 jours
185 jours
336 joursNimda
Patch: MS00-07817 octobre 2000 18 septembre 2001
Copyright 2005 – Trend Micro, Inc. 5
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line
0
1
2
3
4
5
6
3ème problème : les réinfections sont un soucis majeur
1999 2002 2003M
illio
ns
d’infe
ctio
ns
(200
3) 2001
5 des 10 principaux virus de 2003 ont été lancés
depuis 1 à 4 ans
Les dispositifs infectés/non protégés se connectent depuis de multiples points d’accès
Source: Trend Micro
Copyright 2005 – Trend Micro, Inc. 6
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineLE PROBLÈME : LES ATTAQUES INTERROMPENT L’ACTIVITÉ
Sources : CNN.com, BBC.com 1- Computer Economics; 2- TrendLabs
Les attaques des vers réseau ont été très graves Les dégâts provoqués par le seul Sasser sont estimés à
3,5 milliards de dollars1
Autres exemples : Code Red, Nimda, Slammer, Blaster, Nachi Au 1/10/04, on estimait à plus de 1 000 le nombre de vers réseau,
variantes et exploitations de vulnérabilités 2
Copyright 2005 – Trend Micro, Inc. 7
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineLES DIVERSES CAUSES DU PROBLÈME…
Problème de patch ? 3 784 vulnérabilités1 en 2003 :
laquelle corriger en premier ? Appliquer les patches prend du
temps : plus de 155 jours2 rien que pour les correctifs Windows critiques
Vous ne parvenez pas à isoler l’infection et à la nettoyer ?
Le périmètre du réseau n’est pas la seule porte d’entrée.
Le nettoyage manuel est lourd en coûts et délais
Sources : 1- CERT ; 2 – Études de Yankee Group et Trend Micro
Les attaques par ver réseau se produisent malgré le déploiement d’antivirus et d’autres produits de sécurité
Les vers réseau ont un impact sur l’activité ?
Ils exploitent les vulnérabilités du système
Auto-exécution : pas besoin de cliquer sur une pièce jointe
Antivirus, pare-feu, IPS : aucun n’est adapté
L’infection vient des utilisateurs de VPN, des sous-traitants, des réseaux sans fil ?
Leur antivirus n’est pas à jour et les patches critiques ne sont pas installés
Copyright 2005 – Trend Micro, Inc. 8
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line
Prévention desattaques
Réponse au virus
Evaluation et restauration
Prévention de la vulnérabilité
Découverte de la vulnérabilité
Attaque par code malicieux
TREND MICRO CONTROL MANAGER
Outbreak Prevention Services
Virus ResponseServices
Damage Cleanup Services
Enterprise Protection Strategy: Proactive Outbreak Lifecycle Management
Surveillance et prévention des attaques sur le réseau
Surveillance et détection réseau
Nettoyage de l’Infection
code malicieuxéliminé
Isolation des vulnérabilités
Mise en œuvre des politiques de sécurité
Evaluation de la vulnérabilité
Enterprise Protection Strategy 3: Network VirusWall Components
Produits Antivirus, de filtrage du contenu et de sécurité Trend Micro pour les passerelles, messageries et le
client-serveurCo
uc
he
ap
pli
ca
tiv
eS
erv
ice
s d
ep
rév
en
tio
nC
ou
ch
eré
se
au
Copyright 2005 – Trend Micro, Inc. 9
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineEMPECHER L’ATTAQUE ET SECURISER LE RESEAU
Évaluation de la vulnérabilité Détecter les vulnérabilités et définir
leurs priorités Accélérer l’application des patches
Prévention des vers réseau, éliminer les faux positifs
Arrêter les attaques grâce à des règles de prévention
Les détecter grâce à des signatures de ver réseau
Application des règles de sécurité, sans agent
Blocage ou correction selon l’existence d’un antivirus à jour et des patches critiques
Pas d’agents = moins de tâches d’administration
Isolement et nettoyage à distance
Éliminer les nettoyages manuels coûteux
Éliminer les réinfections
Copyright 2005 – Trend Micro, Inc. 10
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineNVW 1200 PROTÈGE LE RÉSEAU DES SEGMENTS À RISQUE
Limiter les risques d’attaque Blocage des ordinateurs non
conformes Résolution/nettoyage à distance Aucun agent requis
Absence de correctif critique
Absence d’antivirus à jour
Copyright 2005 – Trend Micro, Inc. 11
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineNVW 2500 PROTÈGE PLUSIEURS SEGMENTS DE RÉSEAU
Augmenter la disponibilité Isoler les ordinateurs sans patches lorsqu’une attaque
est imminente Arrêter les vers réseau et l’exploitation des vulnérabilités Éliminer les paquets malveillants grâce à des signatures Règles spécifique à chaque attaque = pas de faux
positifs
Un NVW 2500 peut également protéger plusieurs passerelles VPN
Copyright 2005 – Trend Micro, Inc. 12
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line
Assurer la continuité de l’activité Arrêter les vers réseau et l’exploitation des
vulnérabilités Éliminer les paquets malveillants grâce à
des signatures Règles spécifique à chaque attaque = pas
de faux positifs
NVW 2500 SÉCURISE LES APPLICATIONS CRITIQUES
Copyright 2005 – Trend Micro, Inc. 13
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineDÉPLOIEMENT AISÉ SUR LES SEGMENTS DU RÉSEAU
Copyright 2005 – Trend Micro, Inc. 14
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineQUELQUES CLIENTS ET DISTINCTIONS
« Contrairement aux produits concurrents, Network VirusWall 1200 peut arrêter les attaques et empêcher les PC vulnérables d’accéder à Internet. » eWeek (26 avril 2004)
Stratégie EPSNetwork VirusWall 1200 TrendLabs
http://www.trendmicro.com/en/products/network/nvw/evaluate/overview.htm
2003 et 2004
Copyright 2005 – Trend Micro, Inc. 15
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineEN RÉSUMÉ
Trend MicroTM Network VirusWallTM :un appareil de prévention des attaques Arrête les vers réseau (sans faux positifs) Impose l’application des règles de sécurité (sans agent) Isole et nettoie les segments du réseau infectés en cas d’attaque
Aucun autre appareil de sécurisation n’offre de telles fonctionnalités critiques, essentielles pour assurer la continuité de l’activité
S’appuie sur la stratégie EPS (Enterprise Protection Strategy) de Trend Micro Soutenu par les TrendLabs, une infrastructure de service et support sans rivale
Copyright 2005 – Trend Micro, Inc. 16
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line Autre problème
70% de la production des nouveaux DABs basée sur Microsoft™ Windows. Windows est à ce jour la plateforme privilégiée des créateurs de virus…
Microsoft a sorti 77 patches pour les OS Windows en 2003• 42 pour Windows XP. • 7 ont été exploités par des virus pour une infection via le réseau.
Des réseaux de DABs isolés ont été touchés par : 1/2003: Slammer (SQL database attack)
• Bank of America – 13,000 DABs hors services. • Canadian Imperial Bank of Commerce (CIBC) également touché.
8/2003: Nachi worm (“Welchia”)• Infection de deux réseaux privés de DABs (Noms non communiqués)
Les Vers Réseaux ont un impact sur la productivité et
peuvent bloquer des transactions.
Copyright 2005 – Trend Micro, Inc. 17
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineScenario d’une infection ATM
Internet
Bank Branch
Bank Branch
Devt/QA/Test
1. Un vers réseau infecte les machines ATM. Vecteurs potentiels de propagation:
• PC infecté provenant du développement , Test, QA
• Technicien service ATM avec un portable infecté
2. Les vers réseaux utilisent les ports ouverts pour infecter les DABs.
Copyright 2005 – Trend Micro, Inc. 18
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineScénario d’une infection ATM avec NVW300
Internet
Trend Micro Control Manager for Network VirusWall 300
Bank Branch
Bank Branch
1>
4>
5>
2>
2>
3>
3>
1. Les vers de réseau infectent les machines ATM. Vecteurs potentiels d’infection:
• PC infecté du développement, Test, QA
• Portable du technicien du service ATM infecté
2. La propagation du virus est stoppée immédiatement grâce à la signature déjà déployée1>
2>
1. Les vers de réseau infectent les machines ATM. Vecteurs potentiels d’infection:
• PC infecté du développement, Test, QA
• Portable du technicien du service ATM infecté
2. Une OPP est déployée pour prévenir du nouveau virus.
3. La mise à jour de la pattern est distribuée
4. Les DABs infectés sont mis en quarantaine
5. Les DABs infectés sont nettoyés avec DCS
Copyright 2005 – Trend Micro, Inc. 19
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line
NVW300 protège sans ajout de software. NVW300 peut:
Stopper/Contenir les attaques réseaux avec des règles spécifiques Scanner/Détecter les paquets infectés avec une signature dédiée Détecter/Stopper les infections provenant des segments internes Mettre en quarantaine et contenir Identifier la source de l’infection Bloquer les accès non autorisé Nettoyer les infections avec DCS Être administré de façon centralisée via TMCM
La Solution: NVW 300
Copyright 2005 – Trend Micro, Inc. 20
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineLa famille NVW
Secure Multiple Segments/Servers
Secure Segment Secure Mission-Critical Devices
TMCM 3.0
NVW 1200
TMCM
NVW 300
Enable access control
Ease administrative burden
Lower outbreak risk
Lower clean up costs with remote clean up
Enable business continuity by dropping malicious traffic
Minimize network downtime with prevention
Early warning of outbreak with heuristics
Buy time for patching by isolating unpatched machines
KEY BENEFITS
TMCM 3.0
Firewall
Damage Cleanup
Outbreak Monitoring
Centralized Management
Security Policy Enforcement
Network Worm Scanning
Outbreak Prevention
Vulnerability Isolation
NVW 2500CAPABILITIES
Copyright 2005 – Trend Micro, Inc. 21
RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineQuestions / Réponses
Merci !
Top Related