Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Security Days Paris 2019 : une première réussie

juin 2019 par Marc Jacob

Pour sa première édition des Security Days Paris, ESET avait réuni une centaine de clients et partenaires. Outre, les spécialistes d’ESET, l’ANSSI et Cybermalveillance.gouv.fr, des clients ont accepté d’apporter leurs retours d’expérience.

Benoit Grunemwald en introduction a rappelé que cette journée fait suite à 15 ans d’efforts sur le marché français. Cet événement animé par Jérôme Saiz est centré sur l’humain avec de nombreux retours d’expérience des interventions de l’ANSSI, cybermalveillance.com et des retours d’expérience a-t-il expliqué en introduction.

L’ANSSI : les entreprises françaises doivent élever leur niveau de sécurité

Patrice Bigeard, délégué à la sécurité numérique Île de France de l’ANSSI a fait un focus sur le réglementaire. En introduction de son intervention, il a rappelé que la directive NIS est sortie l’an dernier. L’ANSSI actuellement informe OSE par OSE leurs engagements en termes de sécurité dans l’objectif de faire monter en compétence les entreprises françaises. L’ANSSI a élargi le cercle des OSE à l’éducation, la restauration collective, les organismes sociaux. Concernant les mesures demandées, l’ANSSI pousse l’analyse de risque via EBIOS. Il a mentionné que des OSE pouvait être aussi OIV par exemple dans le s’écouter de l’assainissement. Plus d’une centaine d’OSE ont déjà été désignés et sera élargie au fil des années. Les OSE devront informer leurs prestataires de leurs désignations.

Puis il a abordé le thème de la sécurité des systèmes industriels. l’ANSSI estime qu’à ce jour en France il n’y a pas d’attaques directes sur ces systèmes si ce n’est par rebond. Par contre, pour l’instant il y a peu de systèmes de protections déployés à ce jour. En revanche, il est clair que la compétence des attaquants est avérée aujourd’hui. L’ANSSI constate qu’il y a sans doute un pré positionnement des attaquants sur certains systèmes industriels. Dans ce contexte, l’usine 4.0 avec l’ouverture, l’interconnexion ne peut être freinée mais doit être accompagnée par le déploiement de solutions qualifiées.

Quant à l’assurance cyber, l’ANSSI prépare un guide avec l’AMRAE. L’ANSSI ne préconise pas pour les PME de contracter une assurance mais d’en discuter avec leur assureur.
Enfin, les attaques sur les ESN, comme celle sur Deloitte ou Altran, démontrent la complexité a mené des actions de remédiation. La question se pose de savoir si c’est l’ESN ou ses clients qui sont visés. L’ANSSI a créé un groupe de travail ou l’on trouve des ESN, des grands clients... pour réfléchir à des réponses. Un guide sur ce sujet sortira en octobre prochain.

Enfin, il note une sophistication des attaques à des fins d’extorsion avec un ciblage de grandes entreprises le plus souvent lorsqu’elles sont en cours de mutations pendant que leur vigilance est un peu moins prégnante.

au coeur du laboratoire de recherche sur les malware d’ESET

Jérôme Saiz explique que les attaquants exploitent aujourd’hui les nouvelles technologies pour commettre leurs méfaits. Ainsi, Mathieu Tartare expert en recherche de virus d’ESET a présenté le virus Labs d’ESET. Le rôle de cette équipe est de rendre intelligible les recherches pour le grands public. Les malwares analystes proposent des solutions de remédiation. Un centre de recherche a pour objectif de trouver des malwares, d’analyser en profondeur les malwares pour comprendre la technologie utilisée. Puis, il y a une communication de ces informations aux CERT et aux clients. Enfin, il y a l’étape de publications dans des conférences. L’objectif est d’améliorer les techniques de détections. Chaque jour le laboratoire reçoit plus de 300.000 nouveaux échantillons par jour. Bien sûr, une partie de ce travail est automatisé. Si une nouvelle signature est reconnue la base de malware est enrichie et le moteur de protection est mis à jour. Lorsque l’on a une signature inconnue un travail manuel est fait avec utilisation de bac à sable pour analyser son comportement. Depuis 2005, une analyse de l’ADN des malwares est faite. Ainsi l’attaquant est obligé de créer de nouvelles familles de malwares car changer quelques bits de son malware ne suffit plus pour passer sous les radars des antivirus. ESET utilise depuis déjà 1998 un moteur de machine Learning, Augure, qui utilise des « classifieurs » pour permettre de caractériser les différentes formes de malwares. Par contre, le machine Learning peut être aussi attaqué. C’est pour cela qu’il faut avoir plusieurs couches de protection.

Puis, il a abordé les attaques sur les chaînes logistiques qui sont de plus en plus présentes. C’est une attaques ciblées va permettre de toucher un très grands nombre de personnes. Il a donné l’exemple de Winnti Umbrella qui a ciblé les jeux vidéo, l’industrie pharmaceutique... des développeurs d’un des clients d’ESET étaient compromis. Ce malware avait compris de nombreux éditeurs de jeu via une backdoor. Il semblerait que plusieurs dizaines de milliers de clients étaient atteints. Les chercheurs au départ ne trouvaient pas où se positionner le malware qui était offusqué avec des communications chiffrés. Il s’injecte dans un service en écoutant le port ciblé. Cette Backdoor reconnaît en premier lieu la langue utilisée si la langue utilisée est chinoise ou russe elle ne s’exécute pas. Elle collecte par contre tout un ensemble d’information comme l’adresse MAC, le nom de l’utilisateur, l’adresse IP, l’architecture CPU... chez toute les victimes l’attaquant envoyé une charge utile chiffrée. Lors du déchiffrement de cette payload on se rend compte que l’objectif était financier. Cette attaque utilisait des certificats volés valides.

Mathieu Tartare a abordé les techniques récentes d’exfiltration en particulier Turla un groupe d’espionnage qui cible les organisations gouvernementales de différents pays. Une campagne ciblait des ministères des affaires étrangères dans les pays d’Europe de l’Est qui utilisait les serveurs Microsoft Exchange en utilisant le serveur de Mail Transport Agent. LightNeuron permets de bloquer modifier envoyer des mails. Il contrôle les e-mails en envoyant un mail avec u PDF inoffensif contenait un malware caché par de la sténographie. Ces backdoor étaient conçues essentiellement pour exfiltrer discrètement des fichiers en les chiffrant. Ils passent donc de façon tout à fait légitime pour tous les systèmes de sécurité. L’exfiltration se déroule dans la journée donc sans aucun indicateur probant.

Il a aussi fait un focus sur l’attaque MSIL qui ciblait les crypto monnaies en volant la clé privée du portefeuille de crypto monnaie de ses victimes. Il exploitait le mot de passe utilisateur pour exfiltrer les données. Cette attaque est très simple a réalisé.

Il a aussi traité du groupe El Machete qui procède à du vol de fichier en utilisant deux méthodes d’infiltration soit un serveur FTP quand l’ordinateur est connecté à internet soit un disque amovible quand il n’ait pas connecté à internet.

Témoignages clients : ESET un déploiement très rapide et facile

Jérôme Saiz par la suite a animé le débat entre trois grands clients d’ESET et Benoit Grunemwald. Pour ce client issu d’une grande administration française qui a 85.000 postes de travail dont une partie sous Ubuntu, souhaitait avoir un antivirus changeable très rapidement. Le choix d’ESET s’est fait suite à une rencontre sur un salon. Ce qui lui plaît est sa capacité à être interchangeable. Un POC a été mis en place sur une centaine de postes de travail sous Linux et Windows avec une console centralisée. Le troisième point de son besoin était la possibilité de s’interfacer avec des sites avec des débits plus ou moins rapides. Suite à ce POC les conditions à la foi techniques et de licences ont été réunis. Aujourd’hui, les 85.000 postes sont gérés par4 personnes en tout pour l’infra et l’exploitation des remontées de malwares. Lors d’une détection de virus on procède à une mise en quarantaine systématique. Le déploiement a été réalisé en 24h pour le parc Linux, et pour Windows il a fallu 2 mois. Benoît Grunemwald a rappelé que ce client est un des plus importants pour ESET. Mettre un antivirus sur le parc Linux n’était pas évident au départ du fait de la robustesse de cet OS a expliqué ce client. Par contre, il a constaté que ce parc peut être ciblé et aussi devenir un vecteur d’infection. Donc ce client a conclu de l’intérêt de faire un tel déploiement. Le bilan est que cet antivirus fait bien son travail avec peu de faux positif et ne ralentit pas le poste de travail. Ce client voudrait qu’ESET continue à proposer une bonne détection.

Pour ce second client dans le domaine du BTP qui a déployé ESET il y a moins d’un an sur 5.500 postes. Il avait une personne au déploiement et à la maintenance donc il fallait une solution facile à déployer qui propose peu de faux positif surtout que ce client utilise des logiciels spécifiques. Lors du déploiement, il s’est aperçu qu’il y avait de nombreux malwares alors que ces postes protégés par un autre antivirus,. Le déploiement s’est fait en un moins pour les 4.500 premiers postes dont un grand nombre était des nomades. Pour lui, l’intérêt de la solution est la taille des paquets très légers qui permet une diffusion aisée. De plus, la console d’administration a tenu ses promesses en étant intuitive, facile à prendre en main avec peu de faux positif. Pour lui, la sécurité du end point n’est plus un sujet. Ce client du BTP souhaiterait qu’ESET propose des solutions d’EDR.

Ce dernier client utilise ESET depuis plusieurs années pour ses 200 salariés. Il n’a qu’une personne pour pousser la solution. L’upgrade de la nouvelle version a pris environ un mois avec l’aide du support ESET au début. L’administrateur estime qu’il a peu de travail du fait de cet antivirus. Ce client souhaiterait pour le futur avoir des rapports automatisés et qu’elle puisse bloquer des applications.

l’EDR à l’ordre du jour chez ESET

Puis Benoit Grunemwald et Bruno Chatellier expert technique d’ESET pour annoncer la prochaine mis sur le marché d’un Système d’EDR qui va permettre une meilleure détection des exfiltration, mais aussi proposer du forensic. L’EDR doit être vu comme complémentaire à l’antivirus avec ses propres règles et ses propres recherches. Par contre, le client va devoir avoir un bon niveau de maturité avec des services de Threat Monitoring. Il devra être équipé d’un SOC qui peut être infogérer ou non.

Bruno Chatellier explique que le déploiement se fait de la même manière que pour l’antivirus à l’aide de la même console d’administration. L’EDR répond aux attaques ciblées en particulier celles qui visent de l’exfiltration en restant discret où qui s’installent en attendant des ordres d’exécution. Il rappelle qu’un EDR permet de détecter et de répondre à une menace et vient en complément d’un antivirus. Il détecte les choses suspectes à l’aide de marqueurs. Il analyse les modifications de fichiers, connexion... pour ESET un EDR peut proposer par un éditeur d’antivirus en complément de son offre ou par des éditeurs spécialisés. Quand il vient en complément il est préférable qu’il remonte les informations par la console centralisée comme le propose ESET. L’administrateur doit avoir une vision sur les paramètres de détection de la solution. Lorsque le produit est installé, il fonctionne directement mais il faut un travail d’apprentissage avec les équipes SOC afin d’améliorer le système de détection.

ESET et Thalés deviennent partenaire sur la Threat Intelligence

Jérôme Saiz rappelle que les éditeurs d’antivirus depuis 30 ans fait du renseignement sur les menaces. ESET Et Thales ont annoncé à cette occasion un partenariat dans le domaine de la Threat Intelligence. Ce qui les a rapprochés est le fait que ces deux entreprises soit européennes mais aussi la capacité de détection d’ESET dont la sonde de détection a reçu le label de l’ANSSI. Ivan Fontarensky responsable du centre d’analyse technique Cyberdefense & Threat Intelligence de Thales et Benoit Grunemwald ont par la suite présenté leur vision de la Threat Intelligence. Benoit Grunemwald a présenté la solution de Threat Intelligence d’ESET qui est un portail dans lequel on trouve des rapports sur les analyses des équipes d’ESET sur l’état des menaces. Il est possible d’obtenir des techniques des attaquants via des retroHunt, mais aussi des informations spécifiques dédiées aux équipes SOC. Des flux d’informations peuvent être directement intégrer dans les équipements de sécurité réseaux comme les pare-feux. La solution d’EDR lorsqu’elle sera déployée en nombre permettra encore d’améliorer les performances des solutions de Threat Intelligence. La solution de Threat Intelligence d’ESET est compatible avec d’autres antivirus pouvant ainsi donner une vision 360° aux clients. Chez Thales la Threat Intelligence sert à sécuriser tous les produits et services offerts. Ivan Fontarensky considère qu’une entreprise comme la sienne ne peut pas se passer d’une solution de Threat Intelligence. En outre, elle lui permet de préparer les attaques de demain et d’être capable de bloquer les attaques en vérifiant quel équipement à bloquer quelle attaque ceci afin d’améliorer le renseignement sur les attaques et le niveau de défense. Elle permet donc d’anticiper à la fois les attaques et les moyens de défense. En fait, pour leurs clients la Threat Intelligence est de plus en plus demandée afin de comprendre les origines et les motivations des attaques. C’est de plus un besoin des COMEX qui souhaitent comprendre pourquoi leur entreprise est la cible d’attaques.

Ivan Fontarensky explique comment une attaque via un PowerShell peut être bloquée grâce à la Threat Intelligence. En fait, la corrélation proposée par cette solution est très utile pour détecter ce type d’attaque. Effectivement, reprend Benoit Grunemwald c’est l’enrichissement permanent via la collecte d’informations permet de réaliser cette corrélation.

cybermalveillance.gouv.fr en ordre de marche

Jérôme Notin, directeur générale de cybermalveillance.gouv.fr a présenté les actions menées par son groupe. En introduction, il a rapidement présenté les objectifs de son organisation incubée par l’ANSSI et copiloté avec le Ministère de l’Intérieur. C’est en premier lieu l’assistance aux victimes d’actes de cybermalveillance, la prévention et la sensibilisation à la sécurité du numérique et enfin prochainement est de devenir un observatoire de la menace. En 2018, cybermalveillance.gouv.fr a fait 28.500 parcours incidents et en 2019 ils sont à 87.000 personnes assistées. Cette progression s’explique par la médiatisation de son organisation suite à des attaques de type escroqueries, ransomwares... un kit de sensibilisation a été lancé qui a connu un très grand succès dont le deuxième volet vient de sortir a concouru à ce succès. En 2019 trois groupes de travail va être monté un sur la labellisation des prestataires, une étude préalable à la création d’un observatoire national du risque et la mise à disposition d’outils techniques sur la plateforme comme par exemple l’outil de déchiffrement Pylocky en juin dernier. Il a annoncé que la version 2 du site sera mise en ligne en 2020.

En conclusion, Benoit Grunemwald a annoncé le partenariat d’ESET avec Bertin IT.




Voir les articles précédents

    

Voir les articles suivants