Donnez votre avis !Depuis votre smartphone, sur : http://notes.mstechdays.fr
De nombreux lots à gagner toutes les heures !!!
Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les TechDays
http://notes.mstechdays.fr
Lutter contre les attaques ciblées
Cyril VoisinChief Security Advisor
Microsoft Gulf
Entreprise / IT / Serveurs / Réseaux / Sécurité
@cyrilvoisin #SEC203http://blogs.technet.com/voy
MENACES ACTUELLES
Attaques à l’aveugle | Attaques ciblées
Attaques à l’aveugle
http://microsoft.com/sir
1Q11 2Q11 3Q11 4Q11 1Q12 2Q120
500,000
1,000,000
1,500,000
2,000,000
2,500,000
3,000,000
3,500,000
4,000,000
4,500,000
HTML/JavaScript
Adobe Flash (SWF)
Java
DocumentsOperating SystemShellcode
OtherHeapspray
Exploitations: tendances
The number of systems reporting exploits delivered through HTML or JavaScript remained high during the first half of 2012, due primarily to the continued prevalence of Blacole.
Uni
que
Com
pute
rs w
ith D
etec
tions
Exploitations de formats de documents
• Most of the exploits that affected Adobe Acrobat were detected as variants of the generic exploit family Win32/Pdfjsc
• Pdfjsc variants are known to be associated with the JS/Blacole exploit kit
1Q11 2Q11 3Q11 4Q11 1Q12 2Q120
200,000
400,000
600,000
800,000
1,000,000
1,200,000
1,400,000
1,600,000
Adobe Reader
JustSystems Ichitaro
Microsoft Of-fice
Uni
que
Com
pute
rs w
ith D
etec
tions
Adoption des mises à jour de sécurité
Using data gathered from thousands of computers that opted in to data collection, Microsoft has analyzed the distribution of missing security updates across a variety of dimensions.
Security Update Status Microsoft Windows
Microsoft Word
Adobe Reader
Oracle Java
Adobe Flash Player
Missing latest update* 34% 39% 60% 94% 70%
Missing three latest updates 16% 35% 46% 51% 44%
* As of October 2011: At the time, the most recent updates to Adobe Flash Player, Adobe Reader, and Java had been released within one month. The most recent Windows kernel update had been released 9 months prior, and the most recent update to Word had been released one year prior.
• Attaquants motivés– Organisation avec des employés à temps plein– Maintiennent à jour les profils de vos employés et de votre
organisation• Qui a accès à ce qu’ils veulent• Qui sont les administrateurs• Qui clique sur les emails de phishing
• Feront le nécessaire pour vous atteindre• Iront là où vous irez• Buts: espionnage, modifications, sabotage
Attaques ciblées
QUELQUES RAPPELS SUR LA SÉCURITÉ
• Confidentialité– (secrets, propriété intellectuelle… à l’ère de
WikiLeaks et des réseaux sociaux)
• Intégrité– (données et systèmes)
• Disponibilité– (données et systèmes)
Objectifs de la sécurité
Pas seulement des technologies…
• Processus (gestion des risques, gestion des mises à jour, gestion de configuration, etc.)
• Personnes(employés, sous-traitants, admins, développeurs, utilisateurs, menace intérieure…)
• Technologies(pas seulement des technologies de sécurité)
La sécurité résulte de la combinaison de
• Il N’y a PAS de sécurité absolue
• Gestion des risques– (bien, vulnérabilité,
menace, atténuation) contre élimination des risques
• Défense en profondeurMise en place de plusieurs couches de protection pour ralentir ou arrêter l’attaquant (réseau, hôte, application…)
– Moindre privilège– Réduction de la surface
d’attaque– Isolation– Audit / traçabilité– Besoin d’en connaître– Séparation et rotation
des rôles– Sécurité positive
Principes de sécurité
• Nécessité de tout protéger au bon niveau
• L’attaquant a seulement besoin d’exploiter UNE faiblesse pour compromettre l’entreprise
Le dilemme du défenseur
ÉTAPES TYPIQUES D’UNE ATTAQUE CIBLÉE
Terminaux(accès): Utilisateurs et stations de travail
Gestion (pouvoir): Contrôleurs de domaine
Données et applis(valeur): Serveurs et Applications
Étapes d’une attaque cibléeCiblage de victimesExécution de code par exploitation d’une faiblesseÉlévation de privilèges si nécessaire“déplacement latéral”Installation d’un malware ou d’une boîte à outilsRecherche de crédentités puissantes (admins)Propagation par le réseauExfiltration de données ou destruction
demoPASS THE HASH
• Cette vidéo démontre l’importance de l’hygiène des crédentités• Ce n’est pas une problématique spécifique à Windows (System sur Windows
= root sur Linux/Unix = accès complet à tous les secrets sur le disque ou en mémoire, si vous savez où les trouver)
• L’attaque Pass the Hash n’exploite pas une vulnérabilité, les mêmes privilèges systèmes nécessaires à cette méthode permettent également– D’enregistrer toutes les frappes du clavier– D’enregistrer tous les clics de souris– De faire des captures d’écran à volonté– De créer de nouveaux comptes administrateurs locaux sur la machine
• L’outil de la démo est disponible publiquement et a été écrit et publié par un chercheur en sécurité indépendant (Microsoft n’en est pas l’auteur)
• Nous avons téléchargé l’outil depuis un site Web public (un blog, pas un site de hackers underground)
• Nous avons réalisé la démo dans un environnement isolé and nous ne permettrons pas à l’outil de toucher un réseau client
Avertissement à propos de la démo
• http://aka.ms/PtH• Liste les atténuations recommandées,
nous y reviendrons
Livre blanc contre le vol de crédentités
APPROCHE DÉFENSIVE STRUCTURÉE
• Tactique / Court terme / Retours rapides– Contrats de support, équipe interne de réponse à incident,
durcissement, moindre privilège…
• Stratégique / Long terme / Approche globale / Sécurité comme un atout pour l’entreprise– Initiative sécurité complète, politique de sécurité mettant en
œuvre les bonnes pratiques (prévention, détection, audit, réponse à incident, récupération post incident, continuité de l’activité, security development lifecycle), rapport pour les dirigeants mesures clés, certification ISO 27001 avec un périmètre significatif, cloud computing, etc.
Deux horizons
• Vous êtes (probablement) une cible• D’un point de vue pratique vous ne
pouvez pas tout protéger• Vous allez être attaqué (si ce n’est
pas déjà fait)=> Agir en fonction des risques (biens et personnes clés, et tout ce dont ils dépendent)
Soyons réalistes
• Protection• Détection• Confinement• Réaction• Récupération
Approche
Choisir un plan de récupération
Construire un nouvel environnement3
Analyser, nettoyer et reconstruire les DC2
Efficacité dépendante de l’exécution
Analyser et nettoyer1
Haute efficacité inhérente
Basse efficacité inhérente
Présence et compétence de l’attaquant faibles
Aucune probabilité de persistance
Présence et compétence de l’attaquant hautes
Persistance assurée
3 MESURES ESSENTIELLES
Arrêter ou ralentir significativement l’attaquant
• Objectif: ne pas laisser de vulnérabilité connue qui pourrait être exploitée par l’attaquant
• TOUS les logiciels (y compris Java, Adobe…)
• Dans un délai raisonnable• Processus, pas action coup de poing• Rappel: fin de vie de Windows XP
1. Mises à jour de sécurité
• Objectif: éviter de donner tous les droits à l’attaquant
• Administrateurs de domaine• Comptes de services• Administrateur local
2. Moindre privilège
Restreindre et protéger les comptes de domaine à haut privilèges
Cette atténuation restreint la possibilité pour les administrateurs d’exposer par mégarde leurs crédentités sur des machines à plus haut risque
• Empêcher les comptes administrateurs du domaine et de l’entreprise (DA/EA) de s’authentifier sur des machines d’un niveau de confiance inférieur
• Fournir aux administrateurs des comptes pour remplir leur devoir d’administration
• Assigner des stations de travail dédiées pour les tâches administratives
• Marquer les comptes privilégiés comme “compte […] sensible[s] et ne peu[ven]t pas être délégué[s] ”
• Ne pas configurer des tâches planifiées ou des services pour utiliser des comptes de domaine privilégiés sur des machines d’un niveau de confiance inférieur
Objectif Comment
Un attaquant ne peut pas dérober la crédentité d’un compte si celle-ci n’est jamais utilisée sur la machine qu’il a compromise
Résultat
Restreindre et protéger les comptes locaux administrateurs
Cette atténuation restreint la possibilité pour les attaquants d’utiliser des comptes locaux administrateurs ou leurs équivalents pour des mouvements latéraux de type attaque PtH
• Mettre en œuvre les restrictions disponibles dans Windows Vista/7/8 qui empêchent les comptes locaux d’être utilisés pour l’administration à distance
• Interdire explicitement les droits d’authentification par le réseau ou par Bureau à distance (RD) pour tous les comptes locaux administrateurs
• Créer des mots de passe uniques pour les comptes ayant des droits administrateurs locaux
Objectif Comment
Un attaquant qui obtient la crédentité d’un compte local d’une machine compromise ne peut pas l’utiliser pour effectuer un mouvement latéral sur le réseau de l’organisation
Résultat
Restreindre le trafic entrant avec le Pare-feu Windows
Cette atténuation restreint la possibilité pour les attaquants d’initier un mouvement latéral depuis une machine compromise en bloquant les connexions réseau entrantes
• Restreindre tout trafic entrant sur toutes les stations de travail sauf pour celles où un trafic entrant de source sure est attendu (tel que depuis les stations de travail du helpdesk, les analyseurs de conformité et serveurs)
Objectif Comment
Un attaquant qui obtient n’importe quel type de crédentité ne pourra pas se connecter aux autres stations de travail
Résultat
MICROSOFT CONF IDENTIAL – INTERNAL ONLY
Recommendations (1)Recommendations Effectiveness Effort
requiredPrivilegeescalation
Lateralmovement
Remove standard users from the local administrators group
Excellent High √ -
Limit the number and use of privileged domain accounts
Good Medium √ -
Configure outbound proxies to deny Internet access to privileged accounts
Good Low √ -
Ensure administrative accounts do not have email accounts
Good Low √ -
MICROSOFT CONF IDENTIAL – INTERNAL ONLY
Recommendations (2)More recommendations
Effectiveness Effortrequired
Privilegeescalation
Lateralmovement
Use remote management tools that do not place reusable credentials on a remote computer’s memory
Good Medium √ -
Avoid logons to potentially compromised computers
Good Low √ √
Update applications and operating systems
Partial Medium - -
Secure and manage domain controllers
Partial Medium - -
Remove LM Hashes Partial Low - -
• Objectif: lister les applications autorisées afin d’interdire les autres (notamment celles lancées par l’attaquant)
• AppLocker dans Windows 7 / Windows 8– Signatures numériques– Chemin de confiance local
3. Liste blanche d’applications
• Mises à jour de sécurité de tous les logiciels
• Restreindre et protéger les comptes hautement privilégiés (admins)
• Liste blanche d’applications
3 mesures essentielles
MESURES SUPPLÉMENTAIRES
• Surveiller votre solution antivirale– Exécution correcte, signatures à jour – peut vous donner
des indices sur un comportement anormal (l’attaquant peut arrêter les services antiviraux)
– Attention: une attaque ciblée utilisera une version non détectée d’une boîte à outils / d’un malware qui ne sera pas captée par votre antivirus (vos défenses ne doivent donc pas se reposer uniquement sur un antivirus)
Autres mesures
• Définir les données critiques et leur appliquer des protections supplémentaires (au repos et en transit)– Chiffrement avec RMS (Active Directory Rights Management Services)
– Ségréguer l’accès aux données des administrateurs de domaine– Utiliser IPsec pour empêcher la capture via le réseau et mettre en
place l’isolation de domaine et de serveurs (qui vérifie que l‘utilisateur et la machine qui essaient de se connecter à une machine ont le droit d’établir une connexion réseau; par exemple un serveur RH peut exiger que l’accès ne soit permis que depuis une station RH utilisée par un utilisateur de la RH)
– Faire des sauvegardes régulières; tester les restaurations; garder des sauvegardes hors site et hors ligne
Autres mesures
• Utiliser les modèles de sécurité (Security Compliance Manager)
• Sécurité physique• Filtrer les emails• Filtrer le contenu Web• Contrôler les disques
amovibles• Eduquer les utilisateurs• Mettre en place une politique
de mots de passe forts
• Utiliser des pare-feu personnels
• Segmenter et ségréguer le réseau + NAP
• Durcir les applications• Déployer une
authentification forte• Déployer un audit
centralisé• Surveiller les intrusions• Capter le trafic réseau…
Autres mesures
• Commencer par le durcissement des serveurs et stations critiques
• Protéger les comptes clés d’abord (puis les autres)
• Utiliser des mesures de détection et déployer des leurres
• En cas de récupération, une approche BIG BANG recommandée après un test pilote en laboratoire
En pratique
TIREZ PARTI DE CE QUE VOUS AVEZ
• Chiffrement de volume BitLocker (+démarrage sécurisé, attestation avec Windows 8)
• Liste blanche d’applications avec AppLocker• Pare-feu Windows• Connectivité, gestion et sécurité des machines
mobiles avec DirectAccess• Protection contre les machines non saines avec
NAP • Isolation de domaine et de serveurs avec IPsec
Tirer parti de ce que vous avez
System Center 2012• Configuration Manager (SCCM) pour la gestion des
mises à jour• Endpoint Protection (SCEP) pour l’antimalware• Audit Collection Services (ACS de SCOM) pour la
centralisation des audits• Data Protection Manager (DPM) pour les
sauvegardes• Orchestrator pour l’automatisation• …
Tirer parti de ce que vous avez
• Protéger le contenu et l’usage des documents sensibles avec Active Directory Rights Management Services (RMS)
• Déployer des certificats / IGC avec Active Directory Certificates Services (AD CS)
• Gestion des identités avec FIM (Forefront Identity Manager)
• Fédération des identités (AD FS)• Exchange Online Protection (EOP, ex FOPE)• Etc.
Tirer parti de ce que vous avez
COMMENT MICROSOFT PEUT VOUS AIDER
– Security Health Check– ADSA+R– Revue d’architecture de sécurité– Environnement d’administration durci– …
Microsoft Services (Premier/MCS)
• Offre de services focalisée sur AD
• 3 parties :– Analyse de sécurité selon les critères du
Security Compliance Manager (SCM) – entre 200 et 400 paramètres
– Analyse de l’appartenance aux groupes privilégiés
– Questionnaire sur les pratiques d’administration - ~150 questions
• Livrables– Rapport détaillé– Synthèse des priorités et
recommandations– Restitution aux interlocuteurs directs et au
management, recommandations, priorités– Présentation pour le management avec un
résumé pour les VIP
ADSA-R
CONSIDÉRATIONS SUPPLÉMENTAIRES
• Cloud public– Pour vos activités principales; vous partagez la
responsabilité avec le fournisseur de cloud– Pour la gestion d’incidents (VM en veille, messagerie
isolée dans Office365 pour la gestion de crise, etc.)
• Cloud privé– Automatisation, cohérence des différentes charges
pour mettre en œuvre les bonnes pratiques
• Cloud hybride (mélange des deux)
Cloud computing
Détection d’intrus ?
RÉSUMÉ
• Soyez préparé! • Engagez Microsoft et ses partenaires (proactivement:
évaluations de sécurité dans un premier temps dont ADSA-R, puis revue d’architecture de sécurité / Premier; de manière réactive si nécessaire)
• Appliquez les mesures à haut rendement maintenant pour votre infrastructure (gestion des mises à jour de sécurité, moindre privilège et contrôle des comptes privilégiés, liste blanche, pare-feu de stations, durcissement…)
• Tirez parti des logiciels que vous avez déjà• Déployez une Plateforme de Services Partagée comme fondation
pour mettre en œuvre automatiquement les mesures ci-dessus
Actions
4 ouvrages écrits par 13 Microsoftees
http://www.editions-eyrolles.com/livres/Windows-8-pour-les-professionnels
ANNEXE
• Traitement d'incidents de sécurité : cas pratiques, retours d'expérience et recommandations (SEC312) – Phil Vialle et Patrick Chuzel
• L'état de la menace avancée (dite APT) (SEC403) – Nicolas Ruff
Autres sessions
Dérober le condensat de l’administrateur local
Dérober le mot de passe en clair de la mémoire de LSA