la saint hacker tombe le 8 avril 2014. saurez-vous faire face à la fin de support de windows xp ?

La Saint Hacker tombe le 8 Avril 2014.Saurez-vous faire face à la fin de support de Windows XP ?

Edouard ViotStormShield Product Marketing Manager

Arkoon-Netasq

Problématique fin de support Windows XP

Plus de correctif de sécurité après avril 2014

8 vulnérabilités par mois en moyenne depuis deux ans, dont de nombreuses critiques permettant de contrôler la victime.

Des postes sans défense

Les technologies sur base de signature inefficaces contre les exploitations de vulnérabilité. Tout nouvelle vulnérabilité restera « 0day » ad vitam aeternam.

Une recrudescence des attaques

Trouver des vulnérabilités coûte cher sur un OS non supporté. Les pirates les moins expérimentés sauront lancer des attaques imparables contre les postes XP.

Le paradoxe Windows XP

Postes de Production

Postes de paiement CB

Postes classiques

• Figés pour plusieurs années, perte de garantie en cas de migration

• Risque sur la production en cas de brèche de sécurité

• Nombreux et dispersés, difficiles à migrer

• Risque de perte de conformité à PCI DSS

• Plan de migration en retard• Les postes XP seront la tête de

pont idéale pour infecter le reste du réseau

Scénario d’intrusion avant 2014

Scénario d’intrusion avant avril 2014

O DAY PATCH

CONNU ET MAITRISE

Network

Endpoint

Patch

Network

Endpoint

Patch

Scénario d’intrusion après avril 2014

O DAY PATCH

CONNU ET MAITRISE

Network

Endpoint

Network

Endpoint

Patch

Advanced Evasion Techniques

Fonctionnement des Advanced Evasion Techniques (AET)

Ces techniques permettent d’éviter la détection et le blocage des attaques par les systèmes de sécurité informatique.

Les AET permettent de faire transiter un contenu malveillant sur un système vulnérable en évitant une détection.

Utilisation de combinaisons inhabituelles de propriétés de protocoles rarement utilisées.

Fonctionnement des AET : exemple d’attaque

A B C D E F G HATTAQUE

D E F GSIGNATURE

Détection de l’attaque sur le

réseau

Fonctionnement des AET

A B C D E F G HATTAQUE

Fragmentation du message d’attaque

A B C D E F G HFRAGMENTATION

ENVOI DU MESSAGE…

A B C D E F G HRECONSTRUCTION DU MESSAGE PAR L’IPS

Fonctionnement des AET

Exemple des techniques d’évasion

A B C D E F G HMESSAGE FRAGMENTE

ENVOI DU MESSAGE AVEC UN LONG DELAI ENTRE CHAQUE PARTIE

A B C D E F G HENVOI DU MESSAGE

Objectif : provoquer un timeout de l’IPS pour qu’il arrête d’analyser le message

Faiblesse des antivirus

Faiblesse des antivirus

Identifier, neutraliser et éliminer des logiciels malveillants

Base de signatures comparée au fichier à vérifier

Méthode heuristique: découvrir un code malveillant par son comportement

Faiblesse des antivirus

A B C D E F G HATTAQUE

D E F GSIGNATURE

Fonctionnement d’une base de

signature

Faiblesse des antivirus

A B C D E F G HMALWARE

Chiffrement du code

NOUVEAU MALWARE А Б Ц Д Е Ф Г Х

Routine de déchiffrement

EXECUTIONRoutine de

déchiffrementА Б Ц Д Е Ф Г ХA B C D E F G H

Faiblesse des antivirus

Mutation du code

A B C D E F G HMALWARE

AUTRE FORME

A B C D E F G HZ ZD E F G

SIGNATURE

Le malware effectue la même action mais son code est différent ou modifié

Faiblesse des antivirus : moteur heuristique

L’analyse heuristique se base sur un comportement pour déterminer si ce dernier est ou non un virus.Cette analyse se fait à l’exécution du programme.

Permet de détecter des nouveaux virus et de nouvelles variantes des virus déjà existants.Son efficacité est vraiment faible ou génère un nombre important de faux positifs.

Utile sur des souches assez communes, mais pas utile pour des malwares sophistiqués

Le moteur HIPS de

Identifier, neutraliser et éliminer des logiciels malveillants

Base de signatures comparé au fichier à vérifier

Méthode heuristique: découvrir un code malveillant par son comportement

Une efficacité prouvée contre les attaques 0day :

- 100% des buffer overflows sur Acrobat Reader bloqués- 100% sur Flash- 91% de blocage pour les navigateurs

Des attaques célèbres bloquées par StormShield: Conficker, Aurora, Duqu, Bercy, etc.

Lancer une attaque sur XP

Avant avril 2014 Après avril 2014

Chercher une vulnérabilité inconnue ou l’acheter

Attendre la découverte d’une vulnérabilité sous XP ou OS

supérieur

Repackager son malware pour qu’il utilise cette vulnérabilité

Etudier le rapport et / ou le patch pour exploiter cette

vulnérabilité

Lancer l’attaqueRepackager son malware pour qu’il utilise cette vulnérabilité

Renouveler l’opération quand un patch aura été publié pour cette

vulnérabilitéLancer l’attaque

Entre 3 et 12 mois / Entre 10 000 et 100 000 euros

Immédiat, gratuit

Le risque de rebond

La plupart des attaques se découpe en deux phases :1. Primo-infection d’une machine faible2. Rebond vers les machines « cibles »

Les postes Windows XP, mêmes minoritaires, seront des vecteurs d’infection massifs.

Comment gérer ce nouveau risque ?

Options

Migration

Custom support Microsoft

Virtualisation / VDI

ExtendedXP

HIPS de StormShield

Service de veille

HIPS

« We particularly like the company's focus on advanced HIPS techniques to block unknown threats, using a combination of configuration policies, such as application control, very fine-grained device control and a flexible firewall policy, as well as proactive HIPS capabilities, such as features for blocking keyloggers and targeted attacks designed from the ground up to work together »

Gartner

Offre de service

Chaque vulnérabilité est analysée afin de savoir:

• Si elle peut fonctionner potentiellement sur le poste du client

• Si StormShield la bloque de manière proactive

Pour chaque vulnérabilité, un rapport est fourni avec:

• Description de la vulnérabilité• Si StormShield ne bloque pas, des conseils sont donnés

pour être en mesure de la bloquer (par configuration de StormShield ou du système d’exploitation)

Conclusion

Appliquer une protection comportementale qui permet de bloquer les attaques connues et non connues.

Connaître les vulnérabilités qui peuvent toucher le poste, savoir s’en prémunir.

Il est primordial de connaître le risque auquel nous faisons face, de savoir si nous le gérons par rapport à l’existant, et sinon comment le traiter.

Merci pour votre attentionN’hésitez pas à poser vos questions

Contact:

Edouard Vioteviot@arkoon.net06 79 33 74 97