Donnez votre avis !Depuis votre smartphone, sur : http://notes.mstechdays.fr

De nombreux lots à gagner toutes les heures !!!

Claviers, souris et jeux Microsoft…

Merci de nous aider à améliorer les TechDays

http://notes.mstechdays.fr

Lutter contre les attaques ciblées

Cyril VoisinChief Security Advisor

Microsoft Gulf

Entreprise / IT / Serveurs / Réseaux / Sécurité

@cyrilvoisin #SEC203http://blogs.technet.com/voy

MENACES ACTUELLES

Attaques à l’aveugle | Attaques ciblées

Attaques à l’aveugle

http://microsoft.com/sir

1Q11 2Q11 3Q11 4Q11 1Q12 2Q120

500,000

1,000,000

1,500,000

2,000,000

2,500,000

3,000,000

3,500,000

4,000,000

4,500,000

HTML/JavaScript

Adobe Flash (SWF)

Java

DocumentsOperating SystemShellcode

OtherHeapspray

Exploitations: tendances

The number of systems reporting exploits delivered through HTML or JavaScript remained high during the first half of 2012, due primarily to the continued prevalence of Blacole.

Uni

que

Com

pute

rs w

ith D

etec

tions

Exploitations de formats de documents

• Most of the exploits that affected Adobe Acrobat were detected as variants of the generic exploit family Win32/Pdfjsc

• Pdfjsc variants are known to be associated with the JS/Blacole exploit kit

1Q11 2Q11 3Q11 4Q11 1Q12 2Q120

200,000

400,000

600,000

800,000

1,000,000

1,200,000

1,400,000

1,600,000

Adobe Reader

JustSystems Ichitaro

Microsoft Of-fice

Uni

que

Com

pute

rs w

ith D

etec

tions

Adoption des mises à jour de sécurité

Using data gathered from thousands of computers that opted in to data collection, Microsoft has analyzed the distribution of missing security updates across a variety of dimensions.

Security Update Status Microsoft Windows

Microsoft Word

Adobe Reader

Oracle Java

Adobe Flash Player

Missing latest update* 34% 39% 60% 94% 70%

Missing three latest updates 16% 35% 46% 51% 44%

* As of October 2011: At the time, the most recent updates to Adobe Flash Player, Adobe Reader, and Java had been released within one month. The most recent Windows kernel update had been released 9 months prior, and the most recent update to Word had been released one year prior.

• Attaquants motivés– Organisation avec des employés à temps plein– Maintiennent à jour les profils de vos employés et de votre

organisation• Qui a accès à ce qu’ils veulent• Qui sont les administrateurs• Qui clique sur les emails de phishing

• Feront le nécessaire pour vous atteindre• Iront là où vous irez• Buts: espionnage, modifications, sabotage

Attaques ciblées

QUELQUES RAPPELS SUR LA SÉCURITÉ

• Confidentialité– (secrets, propriété intellectuelle… à l’ère de

WikiLeaks et des réseaux sociaux)

• Intégrité– (données et systèmes)

• Disponibilité– (données et systèmes)

Objectifs de la sécurité

Pas seulement des technologies…

• Processus (gestion des risques, gestion des mises à jour, gestion de configuration, etc.)

• Personnes(employés, sous-traitants, admins, développeurs, utilisateurs, menace intérieure…)

• Technologies(pas seulement des technologies de sécurité)

La sécurité résulte de la combinaison de

• Il N’y a PAS de sécurité absolue

• Gestion des risques– (bien, vulnérabilité,

menace, atténuation) contre élimination des risques

• Défense en profondeurMise en place de plusieurs couches de protection pour ralentir ou arrêter l’attaquant (réseau, hôte, application…)

– Moindre privilège– Réduction de la surface

d’attaque– Isolation– Audit / traçabilité– Besoin d’en connaître– Séparation et rotation

des rôles– Sécurité positive

Principes de sécurité

• Nécessité de tout protéger au bon niveau

• L’attaquant a seulement besoin d’exploiter UNE faiblesse pour compromettre l’entreprise

Le dilemme du défenseur

ÉTAPES TYPIQUES D’UNE ATTAQUE CIBLÉE

Terminaux(accès): Utilisateurs et stations de travail

Gestion (pouvoir): Contrôleurs de domaine

Données et applis(valeur): Serveurs et Applications

Étapes d’une attaque cibléeCiblage de victimesExécution de code par exploitation d’une faiblesseÉlévation de privilèges si nécessaire“déplacement latéral”Installation d’un malware ou d’une boîte à outilsRecherche de crédentités puissantes (admins)Propagation par le réseauExfiltration de données ou destruction

demoPASS THE HASH

• Cette vidéo démontre l’importance de l’hygiène des crédentités• Ce n’est pas une problématique spécifique à Windows (System sur Windows

= root sur Linux/Unix = accès complet à tous les secrets sur le disque ou en mémoire, si vous savez où les trouver)

• L’attaque Pass the Hash n’exploite pas une vulnérabilité, les mêmes privilèges systèmes nécessaires à cette méthode permettent également– D’enregistrer toutes les frappes du clavier– D’enregistrer tous les clics de souris– De faire des captures d’écran à volonté– De créer de nouveaux comptes administrateurs locaux sur la machine

• L’outil de la démo est disponible publiquement et a été écrit et publié par un chercheur en sécurité indépendant (Microsoft n’en est pas l’auteur)

• Nous avons téléchargé l’outil depuis un site Web public (un blog, pas un site de hackers underground)

• Nous avons réalisé la démo dans un environnement isolé and nous ne permettrons pas à l’outil de toucher un réseau client

Avertissement à propos de la démo

• http://aka.ms/PtH• Liste les atténuations recommandées,

nous y reviendrons

Livre blanc contre le vol de crédentités

APPROCHE DÉFENSIVE STRUCTURÉE

• Tactique / Court terme / Retours rapides– Contrats de support, équipe interne de réponse à incident,

durcissement, moindre privilège…

• Stratégique / Long terme / Approche globale / Sécurité comme un atout pour l’entreprise– Initiative sécurité complète, politique de sécurité mettant en

œuvre les bonnes pratiques (prévention, détection, audit, réponse à incident, récupération post incident, continuité de l’activité, security development lifecycle), rapport pour les dirigeants mesures clés, certification ISO 27001 avec un périmètre significatif, cloud computing, etc.

Deux horizons

• Vous êtes (probablement) une cible• D’un point de vue pratique vous ne

pouvez pas tout protéger• Vous allez être attaqué (si ce n’est

pas déjà fait)=> Agir en fonction des risques (biens et personnes clés, et tout ce dont ils dépendent)

Soyons réalistes

• Protection• Détection• Confinement• Réaction• Récupération

Approche

Choisir un plan de récupération

Construire un nouvel environnement3

Analyser, nettoyer et reconstruire les DC2

Efficacité dépendante de l’exécution

Analyser et nettoyer1

Haute efficacité inhérente

Basse efficacité inhérente

Présence et compétence de l’attaquant faibles

Aucune probabilité de persistance

Présence et compétence de l’attaquant hautes

Persistance assurée

3 MESURES ESSENTIELLES

Arrêter ou ralentir significativement l’attaquant

• Objectif: ne pas laisser de vulnérabilité connue qui pourrait être exploitée par l’attaquant

• TOUS les logiciels (y compris Java, Adobe…)

• Dans un délai raisonnable• Processus, pas action coup de poing• Rappel: fin de vie de Windows XP

1. Mises à jour de sécurité

• Objectif: éviter de donner tous les droits à l’attaquant

• Administrateurs de domaine• Comptes de services• Administrateur local

2. Moindre privilège

Restreindre et protéger les comptes de domaine à haut privilèges

Cette atténuation restreint la possibilité pour les administrateurs d’exposer par mégarde leurs crédentités sur des machines à plus haut risque

• Empêcher les comptes administrateurs du domaine et de l’entreprise (DA/EA) de s’authentifier sur des machines d’un niveau de confiance inférieur

• Fournir aux administrateurs des comptes pour remplir leur devoir d’administration

• Assigner des stations de travail dédiées pour les tâches administratives

• Marquer les comptes privilégiés comme “compte […] sensible[s] et ne peu[ven]t pas être délégué[s] ”

• Ne pas configurer des tâches planifiées ou des services pour utiliser des comptes de domaine privilégiés sur des machines d’un niveau de confiance inférieur

Objectif Comment

Un attaquant ne peut pas dérober la crédentité d’un compte si celle-ci n’est jamais utilisée sur la machine qu’il a compromise

Résultat

Restreindre et protéger les comptes locaux administrateurs

Cette atténuation restreint la possibilité pour les attaquants d’utiliser des comptes locaux administrateurs ou leurs équivalents pour des mouvements latéraux de type attaque PtH

• Mettre en œuvre les restrictions disponibles dans Windows Vista/7/8 qui empêchent les comptes locaux d’être utilisés pour l’administration à distance

• Interdire explicitement les droits d’authentification par le réseau ou par Bureau à distance (RD) pour tous les comptes locaux administrateurs

• Créer des mots de passe uniques pour les comptes ayant des droits administrateurs locaux

Objectif Comment

Un attaquant qui obtient la crédentité d’un compte local d’une machine compromise ne peut pas l’utiliser pour effectuer un mouvement latéral sur le réseau de l’organisation

Résultat

Restreindre le trafic entrant avec le Pare-feu Windows

Cette atténuation restreint la possibilité pour les attaquants d’initier un mouvement latéral depuis une machine compromise en bloquant les connexions réseau entrantes

• Restreindre tout trafic entrant sur toutes les stations de travail sauf pour celles où un trafic entrant de source sure est attendu (tel que depuis les stations de travail du helpdesk, les analyseurs de conformité et serveurs)

Objectif Comment

Un attaquant qui obtient n’importe quel type de crédentité ne pourra pas se connecter aux autres stations de travail

Résultat

MICROSOFT CONF IDENTIAL – INTERNAL ONLY

Recommendations (1)Recommendations Effectiveness Effort

requiredPrivilegeescalation

Lateralmovement

Remove standard users from the local administrators group

Excellent High √ -

Limit the number and use of privileged domain accounts

Good Medium √ -

Configure outbound proxies to deny Internet access to privileged accounts

Good Low √ -

Ensure administrative accounts do not have email accounts

Good Low √ -

MICROSOFT CONF IDENTIAL – INTERNAL ONLY

Recommendations (2)More recommendations

Effectiveness Effortrequired

Privilegeescalation

Lateralmovement

Use remote management tools that do not place reusable credentials on a remote computer’s memory

Good Medium √ -

Avoid logons to potentially compromised computers

Good Low √ √

Update applications and operating systems

Partial Medium - -

Secure and manage domain controllers

Partial Medium - -

Remove LM Hashes Partial Low - -

• Objectif: lister les applications autorisées afin d’interdire les autres (notamment celles lancées par l’attaquant)

• AppLocker dans Windows 7 / Windows 8– Signatures numériques– Chemin de confiance local

3. Liste blanche d’applications

• Mises à jour de sécurité de tous les logiciels

• Restreindre et protéger les comptes hautement privilégiés (admins)

• Liste blanche d’applications

3 mesures essentielles

MESURES SUPPLÉMENTAIRES

• Surveiller votre solution antivirale– Exécution correcte, signatures à jour – peut vous donner

des indices sur un comportement anormal (l’attaquant peut arrêter les services antiviraux)

– Attention: une attaque ciblée utilisera une version non détectée d’une boîte à outils / d’un malware qui ne sera pas captée par votre antivirus (vos défenses ne doivent donc pas se reposer uniquement sur un antivirus)

Autres mesures

• Définir les données critiques et leur appliquer des protections supplémentaires (au repos et en transit)– Chiffrement avec RMS (Active Directory Rights Management Services)

– Ségréguer l’accès aux données des administrateurs de domaine– Utiliser IPsec pour empêcher la capture via le réseau et mettre en

place l’isolation de domaine et de serveurs (qui vérifie que l‘utilisateur et la machine qui essaient de se connecter à une machine ont le droit d’établir une connexion réseau; par exemple un serveur RH peut exiger que l’accès ne soit permis que depuis une station RH utilisée par un utilisateur de la RH)

– Faire des sauvegardes régulières; tester les restaurations; garder des sauvegardes hors site et hors ligne

Autres mesures

• Utiliser les modèles de sécurité (Security Compliance Manager)

• Sécurité physique• Filtrer les emails• Filtrer le contenu Web• Contrôler les disques

amovibles• Eduquer les utilisateurs• Mettre en place une politique

de mots de passe forts

• Utiliser des pare-feu personnels

• Segmenter et ségréguer le réseau + NAP

• Durcir les applications• Déployer une

authentification forte• Déployer un audit

centralisé• Surveiller les intrusions• Capter le trafic réseau…

Autres mesures

• Commencer par le durcissement des serveurs et stations critiques

• Protéger les comptes clés d’abord (puis les autres)

• Utiliser des mesures de détection et déployer des leurres

• En cas de récupération, une approche BIG BANG recommandée après un test pilote en laboratoire

En pratique

TIREZ PARTI DE CE QUE VOUS AVEZ

• Chiffrement de volume BitLocker (+démarrage sécurisé, attestation avec Windows 8)

• Liste blanche d’applications avec AppLocker• Pare-feu Windows• Connectivité, gestion et sécurité des machines

mobiles avec DirectAccess• Protection contre les machines non saines avec

NAP • Isolation de domaine et de serveurs avec IPsec

Tirer parti de ce que vous avez

System Center 2012• Configuration Manager (SCCM) pour la gestion des

mises à jour• Endpoint Protection (SCEP) pour l’antimalware• Audit Collection Services (ACS de SCOM) pour la

centralisation des audits• Data Protection Manager (DPM) pour les

sauvegardes• Orchestrator pour l’automatisation• …

Tirer parti de ce que vous avez

• Protéger le contenu et l’usage des documents sensibles avec Active Directory Rights Management Services (RMS)

• Déployer des certificats / IGC avec Active Directory Certificates Services (AD CS)

• Gestion des identités avec FIM (Forefront Identity Manager)

• Fédération des identités (AD FS)• Exchange Online Protection (EOP, ex FOPE)• Etc.

Tirer parti de ce que vous avez

COMMENT MICROSOFT PEUT VOUS AIDER

– Security Health Check– ADSA+R– Revue d’architecture de sécurité– Environnement d’administration durci– …

Microsoft Services (Premier/MCS)

• Offre de services focalisée sur AD

• 3 parties :– Analyse de sécurité selon les critères du

Security Compliance Manager (SCM) – entre 200 et 400 paramètres

– Analyse de l’appartenance aux groupes privilégiés

– Questionnaire sur les pratiques d’administration - ~150 questions

• Livrables– Rapport détaillé– Synthèse des priorités et

recommandations– Restitution aux interlocuteurs directs et au

management, recommandations, priorités– Présentation pour le management avec un

résumé pour les VIP

ADSA-R

CONSIDÉRATIONS SUPPLÉMENTAIRES

• Cloud public– Pour vos activités principales; vous partagez la

responsabilité avec le fournisseur de cloud– Pour la gestion d’incidents (VM en veille, messagerie

isolée dans Office365 pour la gestion de crise, etc.)

• Cloud privé– Automatisation, cohérence des différentes charges

pour mettre en œuvre les bonnes pratiques

• Cloud hybride (mélange des deux)

Cloud computing

Détection d’intrus ?

RÉSUMÉ

• Soyez préparé! • Engagez Microsoft et ses partenaires (proactivement:

évaluations de sécurité dans un premier temps dont ADSA-R, puis revue d’architecture de sécurité / Premier; de manière réactive si nécessaire)

• Appliquez les mesures à haut rendement maintenant pour votre infrastructure (gestion des mises à jour de sécurité, moindre privilège et contrôle des comptes privilégiés, liste blanche, pare-feu de stations, durcissement…)

• Tirez parti des logiciels que vous avez déjà• Déployez une Plateforme de Services Partagée comme fondation

pour mettre en œuvre automatiquement les mesures ci-dessus

Actions

4 ouvrages écrits par 13 Microsoftees

http://www.editions-eyrolles.com/livres/Windows-8-pour-les-professionnels

ANNEXE

• Traitement d'incidents de sécurité : cas pratiques, retours d'expérience et recommandations (SEC312) – Phil Vialle et Patrick Chuzel

• L'état de la menace avancée (dite APT) (SEC403) – Nicolas Ruff

Autres sessions

Dérober le condensat de l’administrateur local

Dérober le mot de passe en clair de la mémoire de LSA