CONTRÔLE ENDPOINT APPLICATIONS, PÉRIPHÉRIQUES ET FILTRAGE INTERNET

Kaspersky Lab France

CHARTE INFORMATIQUE

Règles d’utilisation des outils

informatiques mis à la disposition

des salariés.

• Installation de logiciels susceptibles de

créer des risques de sécurité

• Matériel personnel des salariés connecté

au réseau de l’entreprise

• Confidentialité des informations

• Téléchargement de fichiers illégaux

• Navigation sur des sites Internet sans

rapport avec le travail du salarié

SOMMAIRE

CONTRÔLE DES APPLICATIONS

FLEXIBILITÉ DE GESTION

CONTRÔLE DES PÉRIPHÉRIQUES

MAÎTRISEZ LES RISQUES INTERNES

FILTRAGE INTERNET

DES RÈGLES COHÉRENTES 35

23

4

Reprenez le contrôle de vos postes de travail : contrôlez le lancement des

applications, surveillez celles qui sont démarrées, automatisez ce

processus à l’aide de fonctions de sécurité avancées

CONTRÔLE DES APPLICATIONS FLEXIBILITÉ DE GESTION

MENACES INTERNES & ABUS DE PRIVILÈGES

D’après des rapports* sur la

sécurité des comptes avec

privilèges

• Les mots de passe des comptes admin ou

avec privilèges sont partagés dans 51% des

sociétés sondées

• Cela prend 90 jours en moyenne à ces

sociétés pour changer ces mots de passe

• Certaines applications métiers requièrent

des comptes avec privilèges

• 69% ne sont pas capables d’identifier une

menace interne

* CYBERARK Privileged Account Security & Compliance Survey Report – May 2013

Ponemon Institute report

APPLICATIONS INDÉSIRABLES : VULNÉRABILITÉS ET FUITES DE DONNÉES

Des risques pour les données de

l’entreprise

• Les logiciels illégaux posent des risques

d’infection et juridiques

• Le service informatique doit remasteriser les

machines plus souvent

• Fuites / partages de données accidentels

lors de l’installation de logiciels P2P

• Fuites / partages de données intentionnels

lors de la démission ou le licenciement

d’employés

CONTRÔLE DU LANCEMENT DES APPLICATIONS

Contrôle l’exécution des processus et des scripts

Contrôle du lancement

des applications

KES 10

Rundll32.exe .dll

Exécutable

portable

*.exe *.scr *.sys

cmd.exe .bat .cmd .com

msiexec.exe .msi

mmc.exe .msc

wscript.exe cscript.exe .js .vbs .wsf

CONTRÔLE DU LANCEMENT DES APPLICATIONS

Enregistre et autorise/bloque les

tentatives de lancement des

applications

• Empêche l’abus de privilèges par les

utilisateurs (installation d’applications

interdites par la charte)

• Empêche l’exploitation d’applications

portables (applications autonomes) pour les

utilisateurs avec des privilèges restreints

• Intégration Active Directory : application des

règles à des utilisateurs et groupes

DÉFINITIONS DES CATÉGORIES Un système de catégories flexible.

• Basée sur des catégories prédéfinies de Kaspersky Lab

• Basée sur le contenu de dossiers contenant des fichiers

d’applications spécifiques (ex : dévelopement interne)

• Basée sur les fichiers exécutables de machines de

référence (master)

• Possibililité d’import/export des catégories

LES CATÉGORIES PRÉDÉFINIES KL

Un moyen simple et rapide de gérer les catégories d’applications.

• Le travail de catégorisation est réalisée par KL dans le cadre du whitelisting

• 16 catégories principales pour couvrir tous types d’applications (multimédia, conception graphique, réseau, navigateurs, divertissements, etc.) avec de nombreuses sous-catégories

• Référencés actuellement dans le catalogue :

• 1 340 585 éditeurs

• 3 691 636 applications

• 2 149 804 584 fichiers

• http://whitelist.kaspersky.com/catalogue

NOTIFICATIONS UTILISATEURS DE BLOCAGE

Notifications système et Kaspersky

Endpoint Security

• Blocage à l’éxecution de l’application

• Notification KES avec détails sur l’infraction

constatée (utilisateur, machine, horodatage

et règles violées)

• Possibilité d’envoi d’une plainte par

l’utilisateur à l’administrateur de la solution

pour une correction des règles

TRAITEMENT DES PLAINTES DES UTILISATEURS

Flexibilité dans les restrictions

imposées aux utilisateurs

• Notifications (email, script, SNMP, SMS) lors

de la récéption d’une nouvelle plainte

envoyé à l’administrateur

• Ajout de l’objet (hash ou certificat) à une

catégorie existante (exclusion) ou à une

nouvelle catégorie directement depuis la

liste des plaintes

MODE TEST POUR LES RÈGLES

Système de validation des règles.

• Pas de blocage, mais des alertes sont

générées en cas de déclenchement des

règles

• Permet de vérifier les règles pendant une

période de test avant activation pour une

mise en production

• Réduit les risques de blocage indésirable

d’une application métier

BLOCAGE PAR DÉFAUT (DENY ALL)

Toutes les autres applications sont

bloquées

Les applications de la liste blanche

sont autorisées

• Fichiers du système d’exploitation

• Office

• Clients de messagerie

• Navigateurs

• Applications d’entreprise

• etc.

?

AVANTAGES DU BLOCAGE PAR DÉFAUT

Protection contre les attaques ciblées et les

Advanced Persistent Threat (APT)

Protection contre les utilisateurs malveillants

et malicieux

Protection Anti-malware

Diminue la surface d’attaque

CAS D’UTILISATION DU BLOCAGE PAR DÉFAUT

Machine avec fonctionnalités

limitées

Réseaux d’entreprise classique

POS, ATM

Terminaux

PC à usage unique

— Caisse

— Gestion des stocks

Machines accédées

publiquement

Postes de travail

APPLICATION DU BLOCAGE PAR DÉFAUT

Augmente considérablement le

niveau de sécurité

• Désactivation de la règle par défaut “Tout

autoriser”

• Création de règles d’autorisations

d’exécution d’applications pour des

utilisateurs ou groupes d’utilisateurs

• Règles basées sur des catégories

alimentées depuis les métadonnées des

fichiers, les catégories KL, une machine

référence ou encore le contenu d’un dossier

RAPPORT DU CONTRÔLE DU LANCEMENT DES APPLICATION

Consultation centralisée des

tentatives d’exécution bloquées

• Se repose sur les évènements de blocage

de lancement d’applications

• Les évènements liés au mode test sont

ignorés

• Possibilité d’export du rapport au format

HTML, PDF et XML

CONTRÔLE DE L’ACTIVITÉ DES APPLICATIONS

KES analyse les applications lors de leur

lancement et les répartis automatiquement dans

différentes catégories :

• De confiance

• Restrictions faibles

• Restrictions élevées

• Douteuses

Cette catégorisation s’effectue via :

• KSN

• Les paramètres indiqués par l’administrateur

• Une analyse heuristique

CONTRÔLE DE L’ACTIVITÉ DES APPLICATIONS

Des limitations s’appliquent à chaque catégorie :

• Accès aux fichiers

• Accès au registre

• Interaction avec les autres applications

Ces permissions sont modifiables pour chaque

catégorie, avec par défaut les règles suivantes :

• De confiance : aucune limitation

• Restrictions faibles : La plupart des actions sont

autorisées, interdiction de modifier les modules

systèmes

• Restrictions élevées : La plupart des actions

sont interdites, surtout celles qui affectent le

système

• Douteuses : Toute action est bloquée

PROTECTION CONTRE LES CRYPTOMALWARES

Protection avancée contre les

cryptomalwares (ransomwares)

• Protection des données personnelles et

sensibles via le Contrôle des privilèges

des applications et la classification

automatique des programmes

• Possibilité d’étendre la liste des documents

protégés contre les modifications

(chiffrement) en cas d’infection

CONTRÔLE DES APPLICATIONS

Par catégories prédéfinies

Supporte le

“Blocage par défaut”

Privilèges des applications

Whitelisting et inventaire Stratégie de groupe

Définir les périphériques autorisés afin de réduire les menaces internes

évitent les épidémies virales dans le réseau de l’entreprise

CONTRÔLE DES PÉRIPHÉRIQUES MAITRISEZ LES RISQUES INTERNES

L’HYGIÈNE DES CLÉS USB

Les clés USB : une méthode

d’infiltration pour les pirates

• 30% des infections malware sont répandues

via des supports amovibles (clés USB, carte

SD)

• Stuxnet : 2 centrales nucléaires ont été

inflitré après qu’un employé ait connecté une

clé USB infectée dans les systèmes

• Infection via le lancement automatique

depuis le support amovible (autorun)

LES RISQUES LIÉS AUX SUPPORTS AMOVIBLES

Les fuites de données

• D’après un sondage de SanDisk*, les données copiées par les utilisateurs sont :

• Les données des clients (25%)

• Les informations financières (17%)

• Les projets de l’entreprise (15%)

• Les données sur les employés (13%)

• Les projets marketing (13%)

• La propriété intellectuelle (6%)

• Les codes sources (6%)

Les infections

• 26%** des infections opèrent via le mécanisme Autorun des disques amovibles

• Utilisé dans les attaques ciblées permanentes (APT)

*SanDisk Survey Shows Organizations at Risk from Unsecured Usb Flash Drives

**Microsoft Security Intelligence Report Volume 11, January-June, 2011

CONTRÔLE DES PÉRIPHÉRIQUES

Restreint l’accès :

• Disques durs

• Disques amovibles

• Disquettes

Bloque l’accès :

• Imprimantes

• Lecteurs CD/DVD

• Modems

• Lecteurs de bandes

• Périphériques multifonctionnels

• Lecteurs de carte à puce

• Périphériques Windows CE USB ActiveSync

• WiFi

• Adaptateurs réseaux externes

• Périphériques portables (MTP)

• Bluetooth

• Caméras et scanners

Selon :

— Le compte

— Le type d’opération : Lecture/Ecriture

— La planification

PROTECTION CONTRE LA FUITE DES DONNÉES

Restrictions d’accès aux

périphériques

• Interdit la copie de données sur les supports

amovibles

• Empêche la copie de données sensibles en

dehors des heures de bureau

BUS DE CONNEXION

Blocage des bus de connexion

• Infrarouge

• Port série

• Port parallèle

• USB

• Firewire

• PCMCIA

Pour une protection renforcée des machines en accès publique

• Salle de formation

• Machine outil

• Machine en accès libre (bibliothèque)

PÉRIPHÉRIQUE DE CONFIANCE

Règles d’exclusion des

périphériques

• Liste des périphériques autorisés

• Vue personnalisable des champs pour

l’utilisateur

PÉRIPHÉRIQUE DE CONFIANCE

Exclusions par Modèle, ID et

Masque

• Liste des périphériques basée sur l’audit

matériel

• Possibilité d’utiliser un masque pour exclure

un ensemble de périphériques sans les

connecter

Applicable aux objets

• Utilisateurs ou groupe d’utilisateurs

• Machines, via les stratégies et profils de

protection

ACCÈS TEMPORAIRE AUX PÉRIPHÉRIQUES BLOQUÉS

1. L’utilisateur crée une clé d’accès

2. Et l’envoie à l’administrateur

3. L’administrateur génère un code

4. Et l’envoie à l’utilisateur

5. L’utilisateur active la clé

6. Et peut accéder au périphérique

NOTIFICATIONS UTILISATEURS DE BLOCAGE

Notifications système et Kaspersky

Endpoint Security

• Blocage lors de l’accès au périphérique

• Possibilité d’envoi d’une plainte par

l’utilisateur à l’administrateur de la solution

pour une correction des règles

TRAITEMENT DES PLAINTES DES UTILISATEURS

Flexibilité dans les restrictions

imposées aux utilisateurs

• Notifications (email, script, SNMP, SMS) lors

de la récéption d’une nouvelle plainte

envoyé à l’administrateur

CONTRÔLE DES PÉRIPHÉRIQUES

Restriction d’accès à un utilisateur/groupe

Gestion des bus de connexion

Contrôle par Device ID

Planification possible Stratégie de groupe

Renforcez la sécurité de la navigation des employés : une continuité entre

votre politique de filtrage appliquée au sein du réseau local et aux

nomades

FILTRAGE INTERNET DES RÈGLES COHÉRENTES

LES HABITUDES DE NAVIGATION EN ENTREPRISE

Des comportements à risque,

contreproductif et consommateur

de bande passante

• Utilisation de services de stockage en ligne

pour l’échange de fichiers volumineux

(Dropbox, Google Drive, etc.)

• Navigation sur les réseaux sociaux,

boutiques en lignes

• Jeux en ligne

• Téléchargement de contenu illicite

ACTIVITÉS BANNIES OU RESTREINTES EN ENTREPRISE

Kaspersky Lab Global IT Security Risks - 2012

?

FILTRAGE DE CONTENU POUR LES NOMADES

FILTRAGE DE CONTENU

Application des règles de filtrage

sur le poste de travail

• Filtre l’accès aux ressources Internet selon

la charte informatique de la société

• S’applique au trafic HTTP / HTTPS

• Indépendant du navigateur

FILTRAGE DE CONTENU

Critères de blocage

• Par adresse

• Par contenu

• Selon des catégories prédéfinies

• Selon des types de données prédéfinis

• Selon des catégories et des types de

données

• Par utilisateur ou groupe d’utilisateur

• Selon une planification

NOTIFICATION LIÉE À UN AVERTISSEMENT

Notification intégrée au navigateur

• Personnalisation du message par

l’administrateur

• Possibilité pour l’utilisateur de continuer sur

la ressource Internet

• Possibilité d’envoyer une plainte à

l’administrateur

NOTIFICATION LIÉE À UN BLOCAGE HTTPS

Notification intégrée au navigateur

• Analyse de l’URL

• Message du navigateur lié à l’impossibilité

d’afficher la page

• Il est impossible de remplacer le contenu

d’une connexion sécurisée

NOTIFICATION LIÉE À UN BLOCAGE HTTP

Notification intégrée au navigateur

• Personnalisation du message par

l’administrateur

• Impossible d’accéder à la ressource pour

l’utilisateur

• Possibilité d’envoyer une plainte à

l’administrateur

TRAITEMENT DES PLAINTES DES UTILISATEURS

Consultation centralisée des

plaintes

• Notifications (email, script, SNMP, SMS) lors

de la récéption d’une nouvelle plainte

envoyé à l’administrateur

RAPPORT DE FILTRAGE DE CONTENU

Consultation centralisée des

blocages et avertissements

• Décompose les statistiques du filtrage de

contenu par règles et actions entreprises

• Possibilité d’export du rapport au format

HTML, PDF et XML

FILTRAGE DE CONTENU

Filtrage du trafic web

indépendant du navigateur

Blocage par catégories d’URL

Blocage des contenus (vidéos, images, archives,…)

MAJ temps réel par le Cloud Kaspersky

Stratégie de groupe

XXX

€€€

Jackpot

Poker

MERCI, QUESTIONS ? Kaspersky Lab France

2, rue Joseph Monier

92500 Rueil Malmaison

Tel : 0.825.888.612

www.kaspersky.fr