cyber sécurité : connaître son adversaire pour mieux parer les attaques

34
Connaître son adversaire Sébastien Bischof, IT Security Expert Grégory Ruch, IT Security Expert Fribourg, 6 Septembre 2016

Upload: elca-informatique-sa-elca-informatik-ag

Post on 12-Jan-2017

131 views

Category:

Technology


0 download

TRANSCRIPT

Page 1: Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques

Connaître son adversaire

Sébastien Bischof, IT Security Expert

Grégory Ruch, IT Security Expert

Fribourg, 6 Septembre 2016

Page 2: Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques

INTERVENANTS

Grégory Ruch

Expert en sécurité des systèmes d’information

Master of Science en Technologies de l’Information et de

Communications – HES-SO

Sébastien Bischof

Expert en sécurité des systèmes d’information

Master of Science en Technologies de l’Information et de

Communications – HES-SO

| 06.09.2016 | 2Événement cybersécurité

Signe distinctif: n’est pas votre adversaire !

Signe distinctif: n’est pas votre adversaire !

Page 3: Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques

INTRODUCTION

故曰:知彼知己,百戰不殆;不知彼而知己,一勝一負;不知彼,不知己,每戰必殆

“Qui connaît l’autre et se connaît lui-même, peut livrer cent batailles sans jamais

être en péril. Qui ne connaît pas l’autre mais se connaît lui-même, pour chaque

victoire, connaîtra une défaite. Qui ne connaît ni l’autre ni lui-même, perdra

inéluctablement toutes les batailles.”

Sun Tzu (~ 450 ans av. J.-C.)

| 06.09.2016 | 3Événement cybersécurité

Page 4: Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques

Le b.a. - ba – Google search : «Cyber security enemies»

CONNAITRE SON ADVERSAIRE

| 06.09.2016 | 4Événement cybersécurité

Adversaire Objectifs Capacités Processus

Cib

lés

Etats, Services

de

renseignement

• Information

• Espionnage

• Lutter contre le

terrorisme / criminalité

• Grande capacité financière

• Concentré sur les bénéfices et

moins sur les coûts

• Acquisition d’expertise et

formation

• Attaques soutenues et

insoupçonnées

Terroristes • Dommages

• Visibilité

• Manipulation,

influencer la politique

• Bonne capacité financière

utilisée pour des attaques

physique et logique.

• Acquisition d’expertise et

formation sur le marché noir

• Attaques physiques et

logiques

Crime

(organisé)

• Argent • Etabli dans le monde des

affaires

• Gain d’argent sur le long-terme

• Le ratio coûts/bénéfices maitrisé

• Groupes existants

• Groupes de spécialistes

organisés spontanément

• Corruption

Opport

unis

tes “Hacktivists” • Visibilité

• Dommages

• Abus de vulnérabilités

sur des systèmes

• Peu d’investissement financier

nécessaire

• Très grande sphère d’influence

• Amateurs et spécialistes très

motivés

• Développement rapidement,

dynamique et imprévisible.

Vandales,

“script kiddies”

• Prestige • Peu de ressources et de

connaissances

• Utilisation d’outils

Page 5: Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques

| 06.09.2016 | 5Événement cybersécurité

Page 6: Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques

Comprendre les motivation des cyber attaquants

CONNAITRE SON ADVERSAIRE

« Quelles sont les motivations des attaquants ? »

Le profit

| 06.09.2016 | 6Événement cybersécurité

Page 7: Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques

Comprendre les motivation des cyber attaquants

CONNAITRE SON ADVERSAIRE

« Quelles sont les motivations des attaquants ? »

Le profit

| 06.09.2016 | 6Événement cybersécurité

Page 8: Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques

Comprendre les motivation des cyber attaquants

CONNAITRE SON ADVERSAIRE

« Quelles sont les motivations des attaquants ? »

Le profit

| 06.09.2016 | 6Événement cybersécurité

Page 9: Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques

Comprendre les motivation des cyber attaquants

CONNAITRE SON ADVERSAIRE

Extortion profit

| 06.09.2016 | 7Événement cybersécurité

So

urc

e : h

ttp

://w

ww

.ble

ep

ingco

mpute

r.co

m/

Page 10: Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques

Comprendre les motivation des cyber attaquants

CONNAITRE SON ADVERSAIRE

Extortion profit

| 06.09.2016 | 7Événement cybersécurité

So

urc

e : h

ttp

://w

ww

.ble

ep

ingco

mpute

r.co

m/

Page 11: Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques

Comprendre les motivation des cyber attaquants

CONNAITRE SON ADVERSAIRE

Extortion profit

| 06.09.2016 | 7Événement cybersécurité

Page 12: Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques

Comprendre les motivation des cyber attaquants

CONNAITRE SON ADVERSAIRE

Extortion profit

| 06.09.2016 | 7Événement cybersécurité

So

urc

e : h

ttp

://w

ww

.ble

ep

ingco

mpute

r.co

m/

Page 13: Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques

CONAITRE SON ADVERSAIRE

| 06.09.2016 | 8Événement cybersécurité

Page 14: Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques

Quels sont les autres motifs des attaquants (1/5)

CONNAITRE SON ADVERSAIRE

■ Justice sociale ou politique

Anonymous is a loosely associated international

network of activist and hacktivist entities.

(www.wikipedia.org)

«United States Army Cyber Command and Second

Army directs and conducts integrated electronic

warfare, information and cyberspace operations as

authorized, or directed, to ensure freedom of action

in and through cyberspace and the information

environment, and to deny the same to our

adversaries.»

(www.arcyber.army.mil)

| 06.09.2016 | 9Événement cybersécurité

Page 15: Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques

Quels sont les autres motifs des attaquants (2/5)

CONNAITRE SON ADVERSAIRE

■ Patriotisme ou idéologie

«Groups of patriotic Eastern European hackers are using cyberattacks as a

means to achieve Russia’s geopolitical goals.» (www.foxnews.com)

| 06.09.2016 | 10Événement cybersécurité

Page 16: Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques

Quels sont les autres motifs des attaquants (3/5)

CONNAITRE SON ADVERSAIRE

■ Sabotage

«Stuxnet changed the game in our awareness», Phyllis Schneck, vice president

and chief technology officer for public sector at McAfee, said in an interview.

«Attacks are being developed directly for the capability of creating events

on a physical infrastructure.»

| 06.09.2016 | 11Événement cybersécurité

Page 17: Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques

Quels sont les autres motifs des attaquants (4/5)

CONNAITRE SON ADVERSAIRE

■ Ego ou vanité

“Anonymous claims that a cyberattack launched against Israeli government Web

sites this weekend has caused billions of dollars of damage, although Israeli

officials say there have been no major disruptions.” (www.cnet.com)

| 06.09.2016 | 12Événement cybersécurité

Source: xkcd.com

Page 18: Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques

Quels sont les autres motifs des attaquants (5/5)

CONNAITRE SON ADVERSAIRE

■ Vengeance

| 06.09.2016 | 13Événement cybersécurité

Page 19: Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques

Evolution

CONNAITRE SON ADVERSAIRE

| 06.09.2016 | 14Événement cybersécurité

Page 20: Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques

Evolution - Idées préconçues vs. réalité

CONNAITRE SON ADVERSAIRE

| 06.09.2016 | 15Événement cybersécurité

Page 21: Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques

Evolution - Idées préconçues vs. réalité

CONNAITRE SON ADVERSAIRE

| 06.09.2016 | 15Événement cybersécurité

Page 22: Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques

“The Shadow Brokers”

CONNAITRE SON ADVERSAIRE

■ The 15th of August, an unknown group called Shadow Brokers started an

auction after claiming they hacked Equation Group (NSA entity named like

that by Kaspersky, and believed to be the author of Stuxnet & Flame)

| 06.09.2016 | 16Événement cybersécurité

Source: https://medium.com/@msuiche

Page 23: Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques

“The Shadow Brokers”

CONNAITRE SON ADVERSAIRE

| 06.09.2016 | 17Événement cybersécurité

Source: https://medium.com/@msuiche

Page 24: Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques

“The Shadow Brokers”

CONNAITRE SON ADVERSAIRE

| 06.09.2016 | 18Événement cybersécurité

Source: https://medium.com/@msuiche

Page 25: Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques

“The Shadow Brokers”

CONNAITRE SON ADVERSAIRE

| 06.09.2016 | 19Événement cybersécurité

Source: https://medium.com/@msuiche

Page 26: Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques

“The Shadow Brokers”

CONNAITRE SON ADVERSAIRE

| 06.09.2016 | 20Événement cybersécurité

Source: https://medium.com/@msuiche

Page 27: Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques

“The Shadow Brokers”

CONNAITRE SON ADVERSAIRE

| 06.09.2016 | 20Événement cybersécurité

Source: https://medium.com/@msuiche

Page 28: Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques

CRM dans le cloud

CONNAITRE SON ADVERSAIRE

| 06.09.2016 | 21Événement cybersécurité

Ce nouveau CRM,

on le met chez nous

ou dans le cloud?

Page 29: Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques

CRM dans le cloud

CONNAITRE SON ADVERSAIRE

| 06.09.2016 | 21Événement cybersécurité

Les utilisateurs

consomment le service

CRM cloud à travers un

canal sécurisé

Il est très probable que le CRM soit

hébergé dans une infrastructure de

virtualisation.

Les Administrateurs ont accès à

l’hyperviseur et ses fonctions

d’administration mais pas à la

machine virtuelle et ne peuvent donc

pas déchiffrer le trafic.

Dans le cloud!

Page 30: Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques

CRM dans le cloud

CONNAITRE SON ADVERSAIRE

| 06.09.2016 | 22Événement cybersécurité

A l’aide de ses outils standards, l’administrateur de l’hyperviseur peut facilement:

1. Détecter une connexion SSL/TLS entrante

2. Faire un «dump» de la mémoire de la machine virtuelle du CRM

A l’aide d’un peu d’automatisation il peut:

3. Récupérer la clé privée SSL du dump de la mémoire

4. Déchiffrer le trafic et obtenir les données en clair en temps réel!

Si les données étaient chiffrées

directement depuis le poste de l’utilisateur

puis stockées de la même façon dans le

cloud, cette attaque n’aurait pas d’impact!

L’occasion fait le

larron! Si la

possibilité existe, le

risque également!

Page 31: Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques

10 Basic Cybersecurity Measures

CHECKLIST

■ Maintain an Accurate Inventory of Control System Devices and Eliminate Any

Exposure of this Equipment to External Networks

■ Implement Network Segmentation and Apply Firewalls

■ Use Secure Remote Access Methods

■ Establish Role-Based Access Controls and Implement System Logging

■ Use Only Strong Passwords, Change Default Passwords, and Consider Other

Access Controls

■ Maintain Awareness of Vulnerabilities and Implement Necessary Patches and

Updates

■ Develop and Enforce Policies on Mobile Devices

■ Implement an Employee Cybersecurity Training Program

■ Involve Executives in Cybersecurity

■ Implement Measures for Detecting Compromises and Develop a Cybersecurity

Incident Response Plan

| 06.09.2016 | 23Événement cybersécurité

Source: https://ics-cert.us-cert.gov

Page 32: Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques

10 Basic Cybersecurity Measures

CHECKLIST

| 06.09.2016 | 23Événement cybersécurité

Source: https://www.bsi.bund.de

Page 33: Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques

Souvenez-vous ! Un adversaire attaque toujours à deux occasions:

CONNAITRE SON ADVERSAIRE

Lorsqu’il est prêt.

Lorsque vous ne l’êtes pas.

| 06.09.2016 | 24Événement cybersécurité

Source https://twitter.com/thegrugq

Page 34: Cyber Sécurité : Connaître son adversaire pour mieux parer les attaques

ELCA Informatique SA | Lausanne 021 613 21 11 | Genève 022 307 15 11

ELCA Informatik AG | Zürich 044 456 32 11 | Bern 031 556 63 11

www.elca.ch

Contact

Thank you.

| © ELCA

Sébastien Bischof

| 06.09.2016 | 25Événement cybersécurité

IT Security Expert

[email protected]

+41 21 613 22 80

Grégory Ruch

IT Security Expert

[email protected]

+41 21 613 22 69