Après le message de bienvenue de Julien Champigny , directeur commercial de Nes, le Responsable Technique du pôle Audit de Nes a analysé le nouveau ransomware qui sévit depuis le mardi 27 juin. Petya2 a ciblé en premier l’Ukraine en paralysant ses infrastructures critiques, puis s’est propagé dans le monde. Il remarque que les pirates ont amassé au 29 juin 12h00 n’ont gagné environ que 10000€, ce qui pour une attaque d’une telle ampleur est véritablement très faible. A croire que l’enjeu est à chercher ailleurs…

Au niveau fonctionnement de ce malware, plusieurs vecteurs de propagation ont été utilisé dont le premier est le « profile MeDoc » qui a permis aux pirates de le pousser. De plus, il s’est diffusé via des sites malicieux. Par contre, il n’utilise pas le mail.

Ce ransomware modifie le secteur d’amorçage du disque dur en chiffrant uniquement les fichiers Business. Il se déclenche sur poste en chiffrant les fichiers du disque dur. Enfin, il réclame 300$ pour déchiffrer le disque.

Par ailleurs, il embarque un outil pour chercher tous les mots de passe locaux, énumère toutes les machines sur le réseau local et infecte via VMIV et PSEXEC. Il fait aussi une infection via SMB Eternal Blue.

Puis, le Directeur Technique pôle Intégration de NES a expliqué comment se protéger contre ses nouvelles menaces Web. Il a cité les protections classiques comme le filtrage URL par catégorie, la protection par liste de filtrage et MDS ou encore l’analyse statistique ou heuristique.

Par contre, il estime qu’il faut passer à de nouvelle génération comme le blocage par identification de contenu, la protection par analyse du comportement des fichiers tel le sandboxing. Toutefois, il est nécessaire de faire du déchiffrement SSL pour récupérer les données nécessaires à ces analyses. Par contre, cette technologie a un impact sur la charte de Sécurité...

Au niveau des Mail, de même les protections classiques existent comme par exemple la réputation, l’antimalware, le sandboxing... par contre, les solutions de nouvelle génération permettent de récupérer et transformer les URL contenue dans les mails et
de faire du filtrage URL de type sandboxing cloud. Cela permet de bloquer via le
Cloud lorsque l’utilisateur clique sur le lien. Il recommande aussi pour se protéger contre l’usurpation de mail de mettre en place de SPF/DKIM et de déployer les solutions DMARC qui collecte les résultats de. L’authentification DKIM. Cette solution ne nécessite pas d’inventaire.

Quant au End Point on trouve plusieurs niveau de protection.

–  Le niveau 1 il s’agit de l’antivirus,
–  le niveau 2 été niveau inclut un firewall, de l’HIPS, du NAC du sandboxing.
–  Enfin le niveau 3 est de pousser un EDR qui travail
sur le comportement des utilisateurs. Ce dernier type de solution est proposer entre autre par Check Point et Palo Alto.

Par contre, pour vérifier la conformité, il
recommande l’utilisation de solutions de Promisec qui fait à la fois du contrôle e
conformité et de al remédiation.

En parallèle de cette infrastructure NES propose un Service de Threat
Intelligence. Cette solution surveille la présence et la diffusion d’informations sensibles et confidentielles sur les différents canaux internet, incluant les réseaux sociaux. Elle permet de protéger contre les attaques sur les marques, la réputation... il permet de pallier le phising, la fuite de données. Enfin, Nes a lancé il y a quelques année un SOC interne et externe. Il offre la possibilité
d’identifier de façon spécifique des menaces par analyse fin des lots. Il
répertorie tant les malwares qui s’activent de l’extérieur et certains malware silencieux par une analyse des résultats de Sandbox, du comportements remontés par l’ EDR ou encore l’analyse des déviation du comportement des utilisateurs. Enfin, en cas de compromission d’un site, il ne faut pas éteindre l’ordinateur mais l’isoler.

Bien entendu, il a rappelé qu’il faut aussi sensibiliser les utilisateurs en
utilisant des démonstrations.

Promisec la sécurité et l’intégrité du poste de travail

Isaac Boccara, country Manager de Promisec pour la France a rappelé que Promisec a été créé en 2004. Aujourd’hui, Promisec est constitué de 80 personnes dans le monde avec une présence en Israël, aux Etats-Unis, en France, en Grande Bretagne et en Inde.
Elle a lancé à cette époque Promisec EndPoint Management appelé aussi PEM. Depuis 2014 la société a lancé une solution dans le Cloud : « Promisec Integrity ».

La cible de Promisec est pour PEM les grandes entreprises et pour la partie Cloud les PME. La spécificité de ces solutions est qu’elles fonctionnent sans agent.

Cette solution permet de scanner l’ensemble du parc en quelques minutes. Il vérifie la conformité des postes à la politique de
Sécurité de l’entreprise. Ainsi, il offre une visibilité sur la présence des
agents des solutions de sécurité, de mettra jour par exemple les antivirus
présents sur les postes... il contient une console d’administration avec la
fourniture d’un tableau de bord qui permet en un clin d’œil de vérifier la
conformité des postes de travail. Il propose une vision par poste de leur état par rapport à la politique de Sécurité. Il est possible de créer des blacklists. Cet
outil permet de réaliser des audits réguliers. Quant à la partie
vulnérabilité, il propose un détail profond sur ces vulnérabilités de chaque
machine. Il est possible de Check clés de registres. Cette solution s’intègre
aujourd’hui avec des SIEM comme par exemple avec Splunk.

Lors d’une attaque les fichiers Hash des malwares sont adressés afin que les
utilisateurs puissent vérifier leur niveau de vulnérabilités par rapport a cette attaque. Un inventaire applicatif est fourni ce qui permet de vérifier
l’homogénéité du parc en cas de migration comme par exemple lors de la migration
d’XP. La solution contient aussi un module de gestion de l’énergie des postes qui
permet de mieux gérer la consommation énergétique de chaque poste.

Promisec : pour une visibilité complète du parc

Un client historique de Promisec a expliqué comme il utilise la solution Promisec EndPoint Management. Pour lui, ce produit offre une plus grande visibilité sur le parc
et a mis en place un reporting hebdomadaire. Il permet, en outre, de décliner la
politique de Sécurité. Il collecte les informations en vérifiant les
autorisations sur les administrateurs. Il vérifie qu’il y a un bien agent de
l’antivirus et SI les mise à jour sont faite, que les patch sont bien passés, que
les outils chiffrement sont bien présents... il utilise l’outil d’inventaire pour
connaître toutes les versions présentent. Sur les poste et ainsi de remédier au
Shadow IT.

Par contre, il souhaiterait avoir comme amélioration d’aller vers des versions fonctionnant sous Linux et Unix. Il voudrait avoir la possibilité d’avoir des droits d’administrateur sur le poste de l’utilisateur. Enfin, il voudrait que l’outil puisse détecter les antivirus Virtuels pour les VM. 

En conclusion il estime que Promisec lui a permis d’accroître son niveau de
conformité. Ainsi, d’autres entités de son groupe sont en train de tester la solution.