Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

4 moyens pour se protéger contre la cybercriminalité

juin 2015 par Marc Jacob

Pour sa nouvelle édition de Global Security Mag SSI qui s’est déroulée le 18 juin au Mussée du Vin, une quarantaine de participants était réunie autour de 4 sponsors : Balabit Security, Hoyos Labs, Trend Micro et LogRhythm afin de débattre autour des moyens de se protéger contre la cybercriminalité.

Limiter et contrôler les actions des administrateurs à privilèges et des sous-traitants

Dan Farache, directeur France de Balabit Security a débuté son analyse en abordant la problématique des comptes a privilèges. Il a en préambule dressé un bref historique de sa société. Créée en 2000 à partir de la solution Syslog NG, Balabit a sans cesse enrichie son offre. Ainsi, en 2003 elle a lancé de Zop Gateway un Firewall et enfin Shell Control Box ( SBC) pour effectuer de la traçabilité et du contrôle des comptes a privilège. La société est certifié par de nombreux laboratoire et est en phase de certification ANSSI.

Dan Farache considère que les questions sont clés à se poser quant à la traçabilité des administrateurs sont nombreuses parmi lesquels : « peut-on surveiller les actions des administrateurs ? Peut-on confirmer leurs actions ?...

Selon Dan Farache, les Logs sont souvent insuffisants pour comprendre ce qui s’est passé sur le réseau. On ne sait pas : « qui », « pourquoi », « comment »... Ainsi, la solution Shell Control Box permet de connaître toutes ses informations. C’est une Appliance sous forme de VM sans agent qui est donc non intrusive. Cette solution grâce à son proxy transparent permet de contrôler les actions à la fois des sous-traitants, des différentes personnes qui ont un accès a privilèges... En fait, tous les flux d’administrateurs vont passer par l’appliance ce qui permet d’effectuer du contrôle d’accès, d’obtenir une traçabilité des actions, mais aussi de bloquer des actions malveillantes. Dans ce cadre, il faut au départ passer par une phase d’authentification via l’annuaire LDAP, AD... En vérifiant quels sont les droits, la tranche horaire de connexion... Une fois cette phase validée toutes les actions seront tracées. Par ailleurs,, les mots de passe de l’équipement peuvent être stockés dans SCB afin d’éviter de communiquer les mots de passe à tous les utilisateurs. Ainsi, seuls ceux qui ont les droits pourront accéder aux équipements. De plus, il est possible de réduire les droits d’accès de façon individuelle en fonction des actions autorisées. Il est aussi possible d’avoir une autorisation en double regard par exemple pour les sous-traitants avec non seulement l’authentification mais en plus une autorisation par du personnel interne. Bien sûr, une fois l’accès autorisé, il est possible d’effectuer un enregistrement des actions est réalisées en temps réel. SCB propose aussi une console d’administration centralisée et fournit des rapports d’audit utiles pour l’investigation. La session d’administration est décortiquée par un OCR avancé. Elle supporte une centaine de langue et permet ainsi, de trouver facilement par ce moteur de recherche faire de l’investigation post-mortem très avancée.
Tous les session sont chiffrées et sont horodatées. Par contre, la solution permet aussi de bloquer les actions malveillantes avant quel ne se produisent grâce à un système de White List et Black List. Des alertes sont aussi lancées en temps réel. Ccette solution empêche aussi le rebond vers d’autres machines via un système de blocage des actions.
Les actions sont enregistrées en trames protocolaires. SCB reput gérer jusqu’à 1000 sessions en parallèle, ce qui fait plus 400 personnes qui se connecteraient en même temps en prenant pour l’exemple l’ouverture de plusieurs sessions en même temps par un seul administrateur. Si le réseau d’administration n’est pas conçu en mode réputation, un mode bastion existe aussi. Dans ce cas l’administrateur saisit l’adresse IP de l’équipement et s’il est autorisé, il pourra mener ses actions. Par ailleurs, même si l’administrateur se connecte en RDP via un client lourd un enregistrement est aussi possible car la solution est agnostique des protocoles de communication. Bien sur, un fichier d’audit en RDP est fourni.

Hoyos Labs : quand le corps devient le mot de passe

Cédric Bornecque directeur commercial France d’Hoyos Labs a proposé sa vision de la sécurisation des accès à lk’aide de la biométrie. En préambule il a rappelé que sa société a été fondée en 2013 par Hector Hoyos un spécialiste de la reconnaissance de l’iris. En fondant Hoyos Labs il a souhaité remédier au problème de coût de la biométrie. Pour lui, le Biometric Open Protocole Standard BOPS va remettre en question l’existence de mots de passe. Il a démontré, s’il le fallait encore, cette faiblesse en citant le récent piratage de Lastpast qui gère des mots de passe. Avec la solution d’Hoyos Labs il est possible de se passer totalement du mot de passe. Il a présenté les différentes techniques de biométrie : la reconnaissance du visage, de l’empreinte de l’iris. Bien sûr, la biométrie est soumise à un taux d’erreur mais relativement faible en fonction des technologies utilisées : pour le visage, il y a 20 degré de liberté, pour une empreinte digitale il y trente degré de liberté. Pour l’iris il y a 249 degré de liberté. Pour remédier au problème du vol des données biométriques Hoyos a mis en place le Passive Liveness Détection qui oblige par une combinaison de geste prédéfinis d’effectuer un contrôle de l’aspect vivant de la personne qui s’authentifie. Il est couplé au système d’active Liveness Dectection qui permet de vérifier que l’on est bien face à une personne réel. Ainsi, par exemple dans l’Apple Watch on contrôle aussi le flux sanguin par exemple, pour l’iris on vérifie sa dilatation. Avec Hoyos Labs les données sont stockées sur le téléphone mobile de l’utilisateur ce qui résoudre une partie des problèmes vis à vis de la CNIL. En outre, il a rappelé que le BOPS est un standard adopté par l’IEEE.

Au niveau technique, une authentification double est effectuée entre des téléphones mobiles et un serveur. Aucune information n’est stockée sur le serveur. Donc le piratage du serveur ne sert rien. De même, si on vole le téléphone mobile, il faut avoir aussi son possesseur ou le mot de passe du téléphone. Ce système fonctionne aujourd’hui sur IOS et Androïd. La transmission est faite via un certificat SSL. La phase d’enrôlement est spécifiquement encadrée avec un pré-enregistrement. Pour l’authentification post-enrôlement une première est faire lorsque l’on se connecte a son téléphone puis une authentification est faite à l’aide d’un certificat et enfin une troisième est réalisée lorsque l’on se connecte au serveur. Dans ce schéma, le serveur sert de tiers de confiance. Par la suite on gère des opportunités de session à l’aide d’un QR code qui permet d’ouvrir les sessions. La connexion se fait avec un certificat à usage unique.
Il est aussi possible d’intégrer dans le QR code des paramètre pour limiter les actions de l’utilisateur en fonction de différents paramètres comme la localisation par exemple. Il est aussi de détecter des intrusions pour résoudre les problèmes d’usurpation d’identité, de DDOS... Des tests de pénétration et des revues d’architecture sont réalisés régulièrement afin de sans cesse améliorer la qualité du logiciel.

De façon pragmatique le QR code est scanné pour une première authentification et une demande d’accès est réalisée pour l’ouverture des droits.

De l’hameçonnage ciblé à l’exploitation d’une vulnérabilté

Johanne Ulloa Security Expert chez Trend Micro a présenté les différentes phases d’une attaque ciblée. Ces phases sont systématiquement les mêmes c’est tout d’abord la prise d’information via un phishing à l’aide d’une pièce jointe sur laquelle la cible à double cliqué, la deuxièmement est la communication d’informations enfin une phase de mouvement latérale pour récupère des données qui sont exfiltrés dans une 4ème phase. Il a effectué plusieurs démonstration de piratage dans le première exemple le pirate utilise Armitage une surcouche de Metaxploit.

Puis il a fait une seconde démonstration sur l’exploitation d’une vulnérabilité pour l’exemple MS 14-068 qui concerne une élévation de privilège via Kerberos. L’attaquant grâce à cette exploitation peut récupérer tous les mots de passe de domaine.

Ces deux exemples, démontrent qu’il faut changer les systèmes de défenses. En premier lieu il faut moins se reposer sur la défense périmétrique réseau. Il est nécessaire aujourd’hui de classifier les données afin de renforcer la sécurité des points ou ces informations résident. Il faut avoir pour objectif de minimiser les impacts suite à une attaque. De plus, il faut surveiller le réseau interne afin de détecter les intrusions. Il a préconisé de faire passer les fichiers reçus pas une SandBox afin de voir ce qui se passe lors de l’exécution du fichier reçu. Il faut aussi surveiller les communications vers l’extérieur. Il a rappelé que les clients de Trend Micro peuvent rentrer dans une communauté pour recevoir des informations sur les nouvelles attaques et communiquer ou non des informations concernant des attaques sur leurs propres SI. Pour éviter les mouvements latéraux, il est nécessaire de déployer des sondes pour surveiller les communications. Il faut aussi bien sûr déployer des patches de sécurité quand ils existent. Il a expliqué que lors de l’annonce d’une nouvelle une fenêtre exposition est ouverte. Il a préconisé pour réduire cette fenêtre d’exposition d’utiliser des patchs virtuels comme par exemple Deep Security. Cela permet d’analyser l’impact de l’utilisation d’une vulnérabilité par l’analyse des comportements des machines et ainsi de bloquer ces actions de façon préventives. Par contre, cette solution ne dispense pas de déployer des patches dès leurs disponibilités. De plus, Deep Security permet de protéger le SI, grâce à des agents, en agissant comme un IPS.

Chez trend Micro, les solutions de prévention et de détection pour ces deux types d’attaque sont pour la détection deep Discovery Inspector et pour le virtual patching Deep Security.

L’analyse de log à la rescousse des attaques ciblées

Enfin, Nicolas Stricher, consultant Europe du Sud de LogRhythm a démontré comme l’analyse de logs pouvait permettre de repérer des attaques ciblées. Pour cela, il s’est appuyé sur un Livre blanc sur le SIEM publié par son entreprise. Ce livre est basé sur deux principes : combien de temps faut-il pour repérer un événement de sécurité majeur et combien il faut pour répondre à cet incident. Il est nécessaire de prendre conscience que si il est important de déployer des outils de sécurité, il faut prendre conscience qu’il est possible malgré cela d’être victime d’une intrusion malveillante. Les temps de détections peuvent aller de plusieurs années a quelques heures comme c’est arrivé récemment à Kaspersky. Bien sûr, on recense de nombreux motivation : des raisons politiques, idéologiques et bien entendu la motivation criminelle qui est la plus courante. Pour lui une des attaque récentes les plus importantes est celle des Impôts aux US qui aurait rapporté plus de 40 millions de $.

Les méthodes utilisées par les pirates sont multiples avec dernièrement par exemple les Cryptolockers. Parmi les méthodes utilise on recense l’utilisation des mots de passe faible, l’ingénierie social, les Botnets, les menaces internes... Ainsi, les outils de SIEM permettent de remonter rapidement des alertes grâce à un paramétrage granulaire. Selon le Ponemone Institute le temps de détection moyen serait de 31 jours. Il a présenté les différents niveaux de maturité des entreprises : le niveau O est la simple mise en place d’outils traditionnels de sécurité type antivirus pare-feu. Le niveau 1 est l’utilisation d’un SIEM pour obtenir une conformité. Le niveau 2 permet de faire en plus de la corrélation de logs. Le niveau 3 est la mise en place d’un SOC avec du personnel capable d’analyser les logs au quotidien. On met ainsi des outils automatiques de détection. Enfin, le niveau 4 SOC consiste en une veille 24/7 avec des spécialistes qui vont pouvoir faire de l’analyse permanente.

Puis, il a présenté plusieurs études de cas en fonction des niveaux de déploiement des outils de SIEM.

Dans un Comté anglais équipé au niveau 1, suite à une agression à main armées la police a pu à partir des logs trouver les criminels qui avaient publié un site web pour leur servir à effectuer leur action.

Le deuxième exemple concernait une mairie française qui a pu repérer un RootKit sur un PC suite à une détection en quelques minute d’actions malveillantes,

Le troisième exemple a été pris aux Etats-Unis. Dans ce cas, les experts en procédant à l’analyse comportementale, ont constaté des accès inhabituels à des fichiers sensibles. Ainsi, ils ont effectué plusieurs actions suite à la détection de cet incident : déconnexion du compte, désactivation semi-automatique et mise sous surveillance du poste.

Concernant le quatrième niveau il a cité l’exemple d’un établissement hospitalier prestigieux aux Etats-Unis, qui a mis en place de métriques afin de véridiques le gain de la solution et obtenir du budget supplémentaire pour recruter une équipe dédiée afin de réaliser de la protection ciblées par rapport aux types de clients qu’ils accueillent.

Il a cité une étude du Gartner qui prévoit que les budgets vont être de plus en plus alloués aux outils de détection.

Il a pour finir présenter rapidement la solution LogRhythm de collecte, d’analyse de logs et de fourniture de rapports conforme aux exigences actuelles. Dans cette solution, le modèle est un tout inclus. Les entreprises en fonction de leur niveau de maturité peuvent activer les fonctionnalités offertes par la solution. Le modèle de facturation est double la volumétrie et dans le cas où le matériel est fourni. Dans certain cas LogRhytm propose aussi une facturation suivant le nombre d’agents déployés.


Voir les articles précédents

    

Voir les articles suivants