ecole polytechnique fédérale de lausanne · cisco email security appliance-esa (ironport )...
TRANSCRIPT
Ecole polytechnique fédérale de LausanneSécurité IT : actions en cours et rétrospective 2017 Patrick Saladino / Martin Ouwehand / Alexandre Sutlian
1
Team Secure-IT
P. Saladino M. Ouwehand A. Sutlian N. RepondSécurité (85%)Service Manager (15%)
Sécurité (50%)Mail (50%)
Sécurité (15%)Réseau (85%)
Sécurité (100%)J-F. Dousson
2
RSSI (100%)
Agenda
Mailcleaner Statistiques Mail Cisco ESA (IronPort) Actions 2017/8Solution antispam officielle, n’est plus adaptée face aux menaces actuelles et futures
Combien de messages, légitimes ou non, l’EPFL reçoit-elle chaque année? Pour quels impacts opérationnels?
Présentation rapide du produit Cisco ainsi que du POC mené au Q1 2018
TeqNoSSL, authentification expéditeur mail, SMBv1, Meltdown/Spectre et antivirus
3
MailcleanerService antispam EPFL officiel
Depuis 2003 sur inscription puis généralisé en 2007
PME locale Saint-Sulpice (VD)
Limitations
Filtrage variable Peu adapté au filtrage du phishing et du malware SPAM en langues étrangères peu intercepté
Réactivité du support en baisse4
Statistiques MailMotivations
Vision de bout en bout nécessaire Combien de mails génèrent un incident au 1234
Impact sur temps de travail Des utilisateurs De l’équipe Sécurité
Méthodologie
Séquence complète du mail Serveurs d’entrée (SMTP) > Service desk Volumétrie contextuelle
5
Statistiques Mail (1/3)Transport
6
MTA Pool (DNS MX records)
SpamHaus (local DNS cache)
Blacklists (~/admin/in/*)Pattern-based
(ClamAV)Désactivé
checkMessage.plContent-based + sender verification
IP Filter (local)
Angelmatophylax (MTA)
Reporting(Sends attachments metadata to WS)
158'000 emails
188'500 emails
Qmail (MTA)
147 million emails (100%)
33,8 millionemails (22%)
Statistiques Mail (2/3)MailCleaner
7
MailCleaner Pool
TrustedSourcesSPF – Sender Policy Framework
NIceBayesBayesian filtering
ClamSpamClamAV + SPAM signatures
PreRBLReal-time Blackhole Lists
UriRBLReal-time Blackhole Lists
SpamControlSpam[Haus,Cop] + DKIM + DCC
Newsletters module
EXIM (MTA)
4'732'000 emails (14% of input)
33,8 million emails (22%)
29 millionemails (19,8%)
Statistiques Mail (3/3)Stockage
8
Exchange (Storage & access)Windows-based clientsOther clients
MTA
Exchange Backend (storage)
POP3S
Exchange Frontend
IMAPS MAPI/AS
McAfee145'000 threats
(dangerous attachments)
2400 incidents91 man-days
29 million emails (19,8%)
Statistiques MailConclusions
Situation sécuritaire pas assez maîtrisée Malgré sensibilisation Malgré filtres/AV Vecteur principal de menaces
Mobilisation ressources Secure-IT Evitable si meilleur filtrage en amont
Insatisfaction des utilisateurs finaux
Nécessité d’un antispam/malware performant
9
Cisco Email Security Appliance-ESA (IronPort)Présentation
Rachat de la technologie de IronPort Systems en 2007 IronPort AntiSpam
Leader du marché Très efficace contre le malware et le phishing Appliance de sandboxing pour malware inconnus
10
Cisco Email Security Appliance-ESA (IronPort)POC
Tests menés durant Q1 2018 Résultats très positifs
Acquisition de la solution Q2 2018 Mise en production Q3 (juillet – août)
11
Actions 2017/8Authentification expéditeur mail EPFL
Garantir que l’expéditeur est bien le ‘vrai’ correspondant Adresse email EPFL correspond usr/pwd annuaire ? Doit fonctionner pour les adresses techniques Implique quelques modifications pour certains clients
mail - Gmail et Thunderbird principalement
12
Actions 2017/8TeqNoSSL
Contrôle d’accès Tequila Basé sur des critères (ID,
rattachement, rôle, droits…) Solution SSO pour le Web
Applications en HTTP Trafic non chiffré…qui contient le
‘secret’ applicatif Interception difficile mais possible
Remédiation Imposition de HTTPS
Application XYZ
Tequila
2.
4.
1.johndoe
?appkey=540a42liysZx5.
6.
‘I am johndoe’
3.
13
Actions 2017/8SMBv1 (Samba)
Protocole de partage de ressources ‘legacy’ OS obsolètes vers NAS (compatibilité) Vulnérable à l’exploit « Eternal Blue » (NSA) Exploité par des pirates > répercutions mondiales
• Ransomware Wannacry, Wannacrypt, etc.
Réaction immédiate obligatoire Communication interne et RP Coordination avec le CSI Suppression SMBv1 client, limitation côté host/NAS Scan de vulnérabilité ‘campus wide’ et corrections
14
Actions 2017/8Spectre/Meldown
Vulnérabilités touchant le cœur du traitement processeur 5 variantes (2 nouvelles publiées en mai 2018) Nouvelle ‘classe’ de failles
• Architecture processeur «speed vs security» Remédiation complexe…et risquée (‘brick’ HW)
Mise en place d’un guide interne évolutif Classé par variante et par OS/application/device Recommandations par Secure-IT
https://wiki.epfl.ch/secure-it/meltdown-spectre
15
Actions 2017/8Migration infrastructure antivirus
Clé publiqueZEUS + cert
Clé privéeZEUS
MSSQL natif
HTTPS
Clés publiquesARES & ZEUS
+ certificat
MSSQL s/SSL
HTTPS
ClientsInternes
Clé privéeZEUS
Synchro clients déplacés
Stratégies, tâches et règles de tri
Infra ePO 5.3 (physique) ZEUS.epfl.ch
Infra ePO 5.9 (VM) ARES.epfl.ch
MSSQL2008
MSSQL2016
ePO 5.3 ePO 5.9
~7000 clients
Clé privéeARES
ePO 5.9
Agent Handler ePO 5.9 (VM) ARES-AH.epfl.ch
Clé privéeARES Clients
Externes
MSSQL s/SSL
HTTPS
DIODE
16
Actions 2017/8Q/A
?17