la lutte antivirale migre vers linfrastructure réseau frédéric saulet product marketing manager...

La lutte antivirale migre vers l’infrastructure réseau

Frédéric SAULET

Product Marketing Manager

Le 15 Février 2005

Copyright 2005 – Trend Micro, Inc. 2

RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineL’évolution des virus

Virus de secteur de bootVirus basé sur un

fichier

1ère génération2ème génération 3ème génération

4ème génération

Virus d’envoi en masse

Serveur de messagerie

Portable

PC de bureau

PC de bureau

PC de bureau

Serveur de réseau

Virus de réseau

Serveur

Machines protégées


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line1er problème : les virus réseau ne peuvent être arrêtés

Aucune solution de sécurité n’a réussi à arrêter ou contenir ces virus réseau La plupart du temps, il était trop tard = 2.15 milliards de $ de dégâts rien qu’en 2003

Source: Trend Micro, Computer Economics

Site central

VPN

Firewall

Protection DoS

Préventiondes

intrusions

Antivirustraditionnel

Evaluation de la vulnérabilitéNimda

Code Red

Slammer MSBlaster.AWelchia

Gestion deLa sécurité

Internet


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line2ème problème : le délai entre la disponibilité du correctif et la contagion se réduit

Il est pratiquement impossible de suivre le rythme des failles et correctifsOn ne sait pas quel virus est susceptible d’exploiter les failles

Source: Trend Micro

MSBlaster.A

11août 2003Patch: MS03-026

16 juillet 2003

Patch: MS02-03924 juillet 2002

Slammer

25 janvier 2003

Délai

26 jours

185 jours

336 joursNimda

Patch: MS00-07817 octobre 2000 18 septembre 2001


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line

0

1

2

3

4

5

6

3ème problème : les réinfections sont un soucis majeur

1999 2002 2003M

illio

ns

d’infe

ctio

ns

(200

3) 2001

5 des 10 principaux virus de 2003 ont été lancés

depuis 1 à 4 ans

Les dispositifs infectés/non protégés se connectent depuis de multiples points d’accès

Source: Trend Micro


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineLE PROBLÈME : LES ATTAQUES INTERROMPENT L’ACTIVITÉ

Sources : CNN.com, BBC.com 1- Computer Economics; 2- TrendLabs

Les attaques des vers réseau ont été très graves Les dégâts provoqués par le seul Sasser sont estimés à

3,5 milliards de dollars1

Autres exemples : Code Red, Nimda, Slammer, Blaster, Nachi Au 1/10/04, on estimait à plus de 1 000 le nombre de vers réseau,

variantes et exploitations de vulnérabilités 2


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineLES DIVERSES CAUSES DU PROBLÈME…

Problème de patch ? 3 784 vulnérabilités1 en 2003 :

laquelle corriger en premier ? Appliquer les patches prend du

temps : plus de 155 jours2 rien que pour les correctifs Windows critiques

Vous ne parvenez pas à isoler l’infection et à la nettoyer ?

Le périmètre du réseau n’est pas la seule porte d’entrée.

Le nettoyage manuel est lourd en coûts et délais

Sources : 1- CERT ; 2 – Études de Yankee Group et Trend Micro

Les attaques par ver réseau se produisent malgré le déploiement d’antivirus et d’autres produits de sécurité

Les vers réseau ont un impact sur l’activité ?

Ils exploitent les vulnérabilités du système

Auto-exécution : pas besoin de cliquer sur une pièce jointe

Antivirus, pare-feu, IPS : aucun n’est adapté

L’infection vient des utilisateurs de VPN, des sous-traitants, des réseaux sans fil ?

Leur antivirus n’est pas à jour et les patches critiques ne sont pas installés



Prévention desattaques

Réponse au virus

Evaluation et restauration

Prévention de la vulnérabilité

Découverte de la vulnérabilité

Attaque par code malicieux

TREND MICRO CONTROL MANAGER

Outbreak Prevention Services

Virus ResponseServices

Damage Cleanup Services

Enterprise Protection Strategy: Proactive Outbreak Lifecycle Management

Surveillance et prévention des attaques sur le réseau

Surveillance et détection réseau

Nettoyage de l’Infection

code malicieuxéliminé

Isolation des vulnérabilités

Mise en œuvre des politiques de sécurité

Evaluation de la vulnérabilité

Enterprise Protection Strategy 3: Network VirusWall Components

Produits Antivirus, de filtrage du contenu et de sécurité Trend Micro pour les passerelles, messageries et le

client-serveurCo

uc

he

ap

pli

ca

tiv

eS

erv

ice

s d

ep

rév

en

tio

nC

ou

ch

eré

se

au


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineEMPECHER L’ATTAQUE ET SECURISER LE RESEAU

Évaluation de la vulnérabilité Détecter les vulnérabilités et définir

leurs priorités Accélérer l’application des patches

Prévention des vers réseau, éliminer les faux positifs

Arrêter les attaques grâce à des règles de prévention

Les détecter grâce à des signatures de ver réseau

Application des règles de sécurité, sans agent

Blocage ou correction selon l’existence d’un antivirus à jour et des patches critiques

Pas d’agents = moins de tâches d’administration

Isolement et nettoyage à distance

Éliminer les nettoyages manuels coûteux

Éliminer les réinfections


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineNVW 1200 PROTÈGE LE RÉSEAU DES SEGMENTS À RISQUE

Limiter les risques d’attaque Blocage des ordinateurs non

conformes Résolution/nettoyage à distance Aucun agent requis

Absence de correctif critique

Absence d’antivirus à jour


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineNVW 2500 PROTÈGE PLUSIEURS SEGMENTS DE RÉSEAU

Augmenter la disponibilité Isoler les ordinateurs sans patches lorsqu’une attaque

est imminente Arrêter les vers réseau et l’exploitation des vulnérabilités Éliminer les paquets malveillants grâce à des signatures Règles spécifique à chaque attaque = pas de faux

positifs

Un NVW 2500 peut également protéger plusieurs passerelles VPN



Assurer la continuité de l’activité Arrêter les vers réseau et l’exploitation des

vulnérabilités Éliminer les paquets malveillants grâce à

des signatures Règles spécifique à chaque attaque = pas

de faux positifs

NVW 2500 SÉCURISE LES APPLICATIONS CRITIQUES


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineDÉPLOIEMENT AISÉ SUR LES SEGMENTS DU RÉSEAU


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineQUELQUES CLIENTS ET DISTINCTIONS

« Contrairement aux produits concurrents, Network VirusWall 1200 peut arrêter les attaques et empêcher les PC vulnérables d’accéder à Internet. » eWeek (26 avril 2004)

Stratégie EPSNetwork VirusWall 1200 TrendLabs

http://www.trendmicro.com/en/products/network/nvw/evaluate/overview.htm

2003 et 2004


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineEN RÉSUMÉ

Trend MicroTM Network VirusWallTM :un appareil de prévention des attaques Arrête les vers réseau (sans faux positifs) Impose l’application des règles de sécurité (sans agent) Isole et nettoie les segments du réseau infectés en cas d’attaque

Aucun autre appareil de sécurisation n’offre de telles fonctionnalités critiques, essentielles pour assurer la continuité de l’activité

S’appuie sur la stratégie EPS (Enterprise Protection Strategy) de Trend Micro Soutenu par les TrendLabs, une infrastructure de service et support sans rivale


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line Autre problème

70% de la production des nouveaux DABs basée sur Microsoft™ Windows. Windows est à ce jour la plateforme privilégiée des créateurs de virus…

Microsoft a sorti 77 patches pour les OS Windows en 2003• 42 pour Windows XP. • 7 ont été exploités par des virus pour une infection via le réseau.

Des réseaux de DABs isolés ont été touchés par : 1/2003: Slammer (SQL database attack)

• Bank of America – 13,000 DABs hors services. • Canadian Imperial Bank of Commerce (CIBC) également touché.

8/2003: Nachi worm (“Welchia”)• Infection de deux réseaux privés de DABs (Noms non communiqués)

Les Vers Réseaux ont un impact sur la productivité et

peuvent bloquer des transactions.


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineScenario d’une infection ATM

Internet

Bank Branch

Bank Branch

Devt/QA/Test

1. Un vers réseau infecte les machines ATM. Vecteurs potentiels de propagation:

• PC infecté provenant du développement , Test, QA

• Technicien service ATM avec un portable infecté

2. Les vers réseaux utilisent les ports ouverts pour infecter les DABs.


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineScénario d’une infection ATM avec NVW300

Internet

Trend Micro Control Manager for Network VirusWall 300

Bank Branch

Bank Branch

1>

4>

5>

2>

2>

3>

3>

1. Les vers de réseau infectent les machines ATM. Vecteurs potentiels d’infection:

• PC infecté du développement, Test, QA

• Portable du technicien du service ATM infecté

2. La propagation du virus est stoppée immédiatement grâce à la signature déjà déployée1>

2>

1. Les vers de réseau infectent les machines ATM. Vecteurs potentiels d’infection:

• PC infecté du développement, Test, QA

• Portable du technicien du service ATM infecté

2. Une OPP est déployée pour prévenir du nouveau virus.

3. La mise à jour de la pattern est distribuée

4. Les DABs infectés sont mis en quarantaine

5. Les DABs infectés sont nettoyés avec DCS



NVW300 protège sans ajout de software. NVW300 peut:

Stopper/Contenir les attaques réseaux avec des règles spécifiques Scanner/Détecter les paquets infectés avec une signature dédiée Détecter/Stopper les infections provenant des segments internes Mettre en quarantaine et contenir Identifier la source de l’infection Bloquer les accès non autorisé Nettoyer les infections avec DCS Être administré de façon centralisée via TMCM

La Solution: NVW 300


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineLa famille NVW

Secure Multiple Segments/Servers

Secure Segment Secure Mission-Critical Devices

TMCM 3.0

NVW 1200

TMCM

NVW 300

Enable access control

Ease administrative burden

Lower outbreak risk

Lower clean up costs with remote clean up

Enable business continuity by dropping malicious traffic

Minimize network downtime with prevention

Early warning of outbreak with heuristics

Buy time for patching by isolating unpatched machines

KEY BENEFITS

TMCM 3.0

Firewall

Damage Cleanup

Outbreak Monitoring

Centralized Management

Security Policy Enforcement

Network Worm Scanning

Outbreak Prevention

Vulnerability Isolation

NVW 2500CAPABILITIES


RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 lineQuestions / Réponses

Merci !

la lutte antivirale migre vers linfrastructure réseau frédéric saulet product marketing manager...

Documents