Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Projet Anti-Malware

No description
by

Christopher Mulligan

on 2 February 2015

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Projet Anti-Malware

Projet Anti-Malware
Ne correspond pas au menace courante
Les menaces et vulnérabilités : menaces persistantes avancées (APT) par courriel, attaques ciblées, nouveau virus indétectable (zero day), attaque Web port 80 (PHP, injection SQL, cross-site scripting).

Les nouveaux virus en attachement ou en lien Internet passent à travers le Symantec Messaging Gateway et le pare-feu sans problème. Il chiffre le virus avec de l'encryption ou des manières de contourner les antivirus comme Symantec et sur le poste de travail. Quand l'utilisateur clique sur l'hyperlien ou sur le fichier PDF, il infecte le poste. La mission du premier virus est de télécharger d'autres virus pour pouvoir s'implanter plus facilement et profondément. Il existe des kits de fabrication pour produire des virus pour infecter des PDF. Ces virus sont transmis à des personnes ciblées ainsi qu'à de nombreuses personnes d'entreprise. Afin d'augmenter la possibilité que quelqu'un clique sur lien pour infecter l'entreprise.


Botnet ZeroAccess

Le but
Le méchant Botnet
Le but principal d'un botnet est le vol d'information et le profit. La mafia russe à fait plus d'argent avec les fraudes par Internet que le cartel de drogue. La suite d'écriture de virus Blackhole exploit kit a un support technique professionnel pour les gens qui veulent infecter des entreprises. Il y a aussi la menace d'espionnage des chinois. Ces derniers sont très actifs, ils font énormément de tests de vulnérabilité à grande échelle pour s'introduire dans les entreprises.
Comment se protéger contre les menaces informatiques

Virus, botnet, APT
Nous avons été infectés par ce virus qui est déployé à grande échelle partout dans le monde. Ils utilisent des techniques de P2P (Torrent) pour communiquer. Malgré tout, les virus ne sont pas facilement détectables. Certains virus restent dans le même subnet pour ne pas être détectés par des services de système de détection d'intrusion (IDS). À l'occasion et lorsqu'ils sont prêt, les personnes créant ces virus s'approprient des informations confidentielles. Durant la création de virus, les créateurs s'assurent de la qualité de ces derniers. Cette étape permet de ne pas être détectée par les antivirus sur le marché. Ce qui explique que nous devons changer notre stratégie pour faire face à ces nombreux virus qui sont de plus en plus menaçants et nombreux.
Étape 1 : sécuriser les courriels
Solution anti-spam, antivirus, sandboxing contre les malwares connus et inconnus par courriel.

Analyse les hyperliens via le cloud sur des machines virtuelles pour tester les liens et les fichiers afin de constater des anomalies ou comportements néfastes. Détecte et empêche 99,99 % du spam et les attaques par courriel.
Coût : 23 500 $ par année. Le meilleur dans le domaine présentement : http://www.proofpoint.com/fr/products/protection/index.php

Protection des données, de l'information, diminuer les risques d'intrusion et de malware
+
-
+
-
+
-
Étape 3 Protection sur poste de travail et serveur
Internet
Cisco ASA 5510
FortiGate 200C
Web filtre
Symantec antivirus
Futur
Bromium: exécution de fichier par courriel et lien dans une machine virtuelle http://www.bromium.com/products/vsentry.html
Bit9: analyse les postes en vérifiant les processus sur les serveurs et poste de travail pour permettre la détection d'attaques ciblées et des infections virales. White listing et black listing d'application (bloque les applications et restreint les applications utilisées) https://www.bit9.com
Chiffrement des bases de données et contrôle d'accès aux données
Coffre fort de mots de passe et audit des accès et administrateur et gestion des serveurs http://www.cyber-ark.com/fr/
GreenSQL (machines virtuelles devant les serveurs SQL pour la protection) http://www.greensql.com
NAC (Network access control)
Sécurité des mobiles et sans-fil
Gestion des patchs (SCCM 2012)
VMware Vshield
Durcissement des systèmes d'exploitation et configuration de pare-feu sur les postes

Forefront

Application Web
Courriel
Symantec SBG
Actuel
Étape 2 : sécurisé le Web
Solution de pare-feu de nouvelle génération, IPS, détection de Botnet, Scan du trafic avec antivirus et téléchargement, Sandboxing pour examiner les fichiers. On pourrait l'installer devant le FortiGate et quand nous sommes prêts à retirer la boîte pour la remplacer. Coût : 6 000 $
Étape 4 : protection du périmètre
Remplacement d'équipement de Cisco ASA 5510 pour le Cisco ASA 5515-X à 5 500 $. Il est 3 fois plus rapide et il a des options comme la protection contre les attaques, contre les Scan, contre les botnets, bloquer les adresses de façon géographiquement, réputation Web, injection SQL. On peut utiliser les mêmes paramètres sans impacts majeurs et reconfiguration du pare-feu, même instruction pour utilisateur pour le VPN, même configuration donc gros avantage que de tout remplacer par un autre produit. Pas besoin de refaire tous les DMZ et l'impact pour améliorer la sécurité est énorme. Il va améliorer la sécurité dans les 3 domaines (courriels, Web et services Web)
Internet
Détecte des virus qui ne sont pas détectables en utilisant une boîte virtuelle (sandboxing) qui est à la fine pointe de la technologie au niveau de la sécurité. Le département de la défense américaine et la CIA utilisent le produit. FireEye n'utilise pas des techniques de signature pour détecter les APT et les virus inconnus. FireEye utilise une technologie qu'ils ont mi au point. Cette technologie est plus dispendieuse que d'autres (100 Megs 25 000 $ à 40 000 $). Les autres produits bloquent 90 % des virus. FireEye détecte les virus inconnus. On pourrait mettre le 100 Megs en Network tap ou en ligne pour bloquer les virus. http://www.fireeye.com/fr/fr/resources/pdfs/fireeye-advanced-threat-protection.pdf
Analyse la première instance de l'attaque après infection quand le virus fait une requête DNS à son centre de commande. Il fait une corrélation du trafic suspect. Il tient compte de la vitesse des accès Web et des heures d'utilisation. Il y a aussi l'option d'analyser les .exe ou .pdf qui sont suspects. Il existe un Damballa Micro-Sensor de 100 Megs pour 1 500 $. D'ailleurs, le prix n'est pas dispendieux . C'est une solution envisageable et intéressante lorsque nous sommes déjà infectés par un virus. https://www.damballa.com/
Étape 6 : protection contre les menaces intétectables
VS
Application contrôle (image des processus et des exécutables d'une machine)
Virtual patch
Débutent dans la virtualisation
Déploiement de patchs
Test de vulnérabilité
Support technique manquant
1 Console de gestion EPO avec plusieurs revendeurs de sécurité (fireEye, Damballa, Cyber-Ark). EPO est gratuit.
Console complexe
Console simple
Avantages communs des 3 produits :
99 % de détection de virus
Sans agent (Agentless) en virtuel
Utilise technologie de hashing pour scanner seulement les fichiers modifiés semblables aux technologies de backup
Réputation Web
Présentement en phase de test. Dans un monde parfait on utiliserait McAfee pour la console et le controle applicatif, kaspersky pour les postes de travail et Trend Micro pour les serveurs virtuels.
Blue Coat est la meilleure solution pour la protection des applications Web. Nous avons de plus en plus d'application Web. Nous avons également comme option d'installer un module de Forefront gratuitement sur tous nos serveurs de IIS pour renforcer la sécurité Web. Elle agit comme proxy et intercepte les attaques Web (injection SQL, cross-site scripting, applicatif Web port 80 et 443)
Étape 5 : protection des services Web

Internet
Trend Micro, McAfee ou Kaspersky
Forefront

Application Web
Courriel
Proofpoint
Proposition 1
Cisco ASA IPS 5515-x
Blue Coat WAF
Palo Alto
Fortinet
Damballa ou FireEye
Détection de virus
La situation actuelle
Contre-mesure mise en place :
Java 7 et Adobe 11
Serveur Forefront, Fortinet, serveur AD et 680 postes de travail sur 1 100 postes « patchés »
Symantec antivirus à jour sur poste de travail
Détection de 7 virus par semaine
Méthode courante de sécurité (Cisco ASA, Fortinet, antivirus et Symantec Messaging Gateway)
Pour avoir une sécurité complète, on doit renforcer la protection au périmètre, protection au poste de travail et serveurs, courriels, Web, sans-fil et mobile

Projet Anti-Malware 19 août 2013 Christopher Mulligan
NAC et IPS intéressant
HIPS
Intégrité des fichiers
Plusieurs consoles par produit
Pas d'application control
Pas d'analyse de vulnérabilité
Forefront et Exchange ont une console différente
Impact de performance
1
2
3
5
6
7
8
9
10
11
12
14
15
16
17
19
18
Full transcript