Rapport sur les Menaces 2020 - Michel Lanaspèze Directeur Marketing - Europe de l'Ouest - Config Groupe Référence
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Rapport sur les
Menaces
2020
Michel Lanaspèze
Directeur Marketing - Europe de l’Ouest
26 février 2020
• Web Le fond diffus de menaces Internet • Mobiles Entre pratiques discutables et attaques malveillantes • Ransomware La menace qui refuse de disparaître • Cloud De petits oublis aux lourdes conséquences • Piratage Patience et discrétion - la devise des attaques actives • Réseaux Un trafic de plus en plus chiffré et difficile à identifier • IA et Machine Learning Jeu du chat et de la souris avec les cybercriminels
Le « fond diffus » de menaces Internet
Lors d’une expérience, Sophos a configuré des « honeypots » dans des centres de données répartis autour du globe.
Certains ont reçu près de 600 000 tentatives de connexions RDP illégitimes par force brute en un seul mois.
Le « fond diffus » de menaces Internet
En l’espace d’un mois, Sophos a enregistré des millions de tentatives de connexion RDP à ses honeypots.
Le nombre de vulnérabilités ne cesse de croître
17,313
16,514
14,641
7,937
6,487 6,446
5,286 5,186
4,639 4,150
2010 2011 2012 2013 2014 2015 2016 2017 2018 2019
Source: NIST National Vulnerability Database
https://nvd.nist.gov/vuln-metrics/visualizations/cvss-severity-distribution-over-time
5
Protection Anti-Exploit
Mandatory
Enforce data
address space
execution Bottom-up ASLR
layout
prevention
randomization
Null page Heap spray Dynamic heap
deference allocation spray
Stack pivot and Structured
stack exec Stack-based ROP exception
handling
(memory (caller) overwrite
protection) (SEHOP)
Import address
Reflective DLL
table faltering Load library
injection
(IAF)
Malicious VBScript god
WOW64
shellcode mode
Syscall Hollow process DLL hijacking
Squiblydoo APC protection
Process privilege
Applocker (Double Pulsar /
escalation
bypass Atom Bombing)
• Web Le fond diffus de menaces Internet • Mobiles Entre pratiques discutables et attaques malveillantes • Ransomware La menace qui refuse de disparaître • Cloud De petits oublis aux lourdes conséquences • Piratage Patience et discrétion - la devise des attaques actives • Réseaux Un trafic de plus en plus chiffré et difficile à identifier • IA et Machine Learning Jeu du chat et de la souris avec les cybercriminels
Mobiles
Entre pratiques discutables et attaques malveillantes
Hiddad
ou l’art de se dissimuler … pour vous soumettre à d’incessantes publicités
Mobiles
Entre pratiques discutables et attaques malveillantes
Fleeceware
ou l’art de plumer les utilisateurs qui ne lisent pas avec suffisamment d’attention les T&C …
car désinstaller une application en essai gratuit ne suffit pas toujours à éviter l’abonnement payant !
Mobiles
Entre pratiques discutables et attaques malveillance
Anubis
ou l’art de l’esquiveMobiles
Entre pratiques discutables et attaques malveillance
Anubis
ou l’art de l’esquive « Lost in Translation »Sophos Mobile Advanced
Gestion unifiée des systèmes Endpoint + Protection Mobile
INTERCEPT X FOR MOBILE
UEM MTD
UNIFIED MOBILE
ENDPOINT THREAT
MANAGEMENT DEFENSE• Web Le fond diffus de menaces Internet • Mobiles Entre pratiques discutables et attaques malveillantes • Ransomware La menace qui refuse de disparaître • Cloud De petits oublis aux lourdes conséquences • Piratage Patience et discrétion - la devise des attaques actives • Réseaux Un trafic de plus en plus chiffré et difficile à identifier • IA et Machine Learning Jeu du chat et de la souris avec les cybercriminels
30%
Organisations victimes de ransomwares
US$ 852 886 CA$ 1,308 M £ 564 072 599 537 € 599 203 €
¥ 25 494 443 AU$ 803 875 6 233 220 MXN ₹ 74 264 070 R 7 911 110
Coût moyen de remédiation aux impacts d’une attaque de ransomware (2017)
1530 ? ans
AIDS
Cheval de Troie “d’information”
8-12 décembre 1989
• Surfe sur la peur du SIDA
• 20 000 disquettes 8’’ distribuées
• Chiffre le disque dur après …
… 90 lancements de l’application
• Paiement par virement bancaire
vers une société immatriculée …
… au Panama30 ans de Ransomware
1989 Installer le ransomware Chiffrer puis déchiffrer les fichiers Recevoir le paiement
Décennie 2010-19 Installer le ransomware Chiffrer puis déchiffrer les fichiers Recevoir le paiement Maximiser les revenus
Ryuk
Depuis Août 2018
• Association de techniques d’attaque
de masse avancées avec
du piratage manuel ciblé (type APT)
• Cible des organisations ne pouvant se
permettre aucune indisponibilité de service
• Rançons à 6 chiffres … payables en BitcoinsRYUK
Comment bloquer les ransomwares ?
Intercept XComment bloquer les ransomwares ?
Intercept X XG FirewallComment bloquer les ransomwares ?
Intercept X XG Firewall Synchronized SecurityComment bloquer les ransomwares ?
Intercept X XG Firewall Synchronized Security Sophos MTRComment bloquer les ransomwares ?
Protections actives sur toute la chaîne d’attaque
Politiques de sécurité fortes
Limiter Mots de passe
les droits d’accès complexes
Patchez tôt Authentification Activez la protection
Patchez souvent multi-facteurs contre modifications
Contrôlez l’usage Sauvegardes
du RDP régulières et offline
30Comment bloquer les ransomwares ?
Protections actives sur toute la chaîne d’attaque
Politiques de sécurité fortes
Education continue des utilisateurs
sophos.fr/lp/anti-phishing/awareness-toolkit
Toolkit
Anti-phishing
31Sophos Phish Threat
Sensibiliser et éduquer les utilisateurs, « maillons faibles » de la sécurité
#1 Sélectionnez #2 Sélectionnez
#3 Gérez la
une campagne un module de sensibilisation et la Gestion des utilisateurs
de simulation d’attaque formation formation des utilisateurs depuis Sophos Central
avec synchro AD
Emails prédéfinis en français Cours prédéfinis en français Suivi d’activité et d’adhésion
• Phishing de masse • Phishing • Reporting par campagne
• Spear phishing • Vishing (phone phishing) • Approche par organisation
• Récupération de mots de passe • Vol d’identifiants • Approche par groupe
• Pièces attachées malicieuses • Ingénierie sociale • Approche par individu NL
• Ransomware
…
Support multilingue
Interface utilisateur,
templates email
et cours• Web Le fond diffus de menaces Internet • Mobiles Entre pratiques discutables et attaques malveillantes • Ransomware La menace qui refuse de disparaître • Piratage Patience et discrétion - la devise des attaques actives • Cloud De petits oublis aux lourdes conséquences • Réseaux Un trafic de plus en plus chiffré et difficile à identifier • IA et Deep Learning Jeu du chat et de la souris avec les cybercriminels
Piratage
Patience et discrétion: la devise des attaques actives
Schéma de déploiement de MegaCortexProtections contre les attaques actives
Incluses dans Intercept X
ÉLÉVATION
ANTI-RANSOMWARE VOL D’IDENTIFIANTS DE PRIVILÈGES
DE PROCESSUS
Stoppe les techniques d’attaque Stoppe les techniques qui collectent Détecte l’insertion d’un jeton de
par ransomware les identifiants utilisateur noyau pour élever les privilèges
MIGRATION
DE PROCESSUS CODE CAVE VIOLATION APC et
MALVEILLANT ATOM BOMBING
Empêche le mouvement vers des Détecte le code caché dans des Détecte les violations APC et
processus distants pour persistance applications légitimes les abus sur la table ATOM
MODIFICATIONS MAN-IN-THE-
DE LA BASE VERROUILLAGE
DE REGISTRES DE PROCESSUS BROWSER
Empêcher l’exécution de code Bloque le lancement de Powershell, Prévient les modifications illicites du
arbitraire via la base de registres de macros … pour injecter du code browser pouvant conduire à des attaquesProtections contre les attaques actives
EDR: Endpoint Detection & Response
Identifier les “événements” suspects Examiner la chaîne d’attaque ayant Trouver tous les endroits où
à examiner, tels que Dropper.exe mené à l’identification de Dropper.exe Dropper.exe est présent
Obtenir une analyse détaillée Analyser le code pour déterminer Remédier à la menace:
des SophosLabs si le fichier est malveillant bloquer, nettoyer et prévenirSophos MTR fusionne les technologies de Deep Learning avec des analyses menées
par des Experts pour neutraliser les menaces les plus sophistiquées 24h/24 et 7j/7
Fonctions EDR (Endpoint Detection and Response)
Intercept X with EDR Le Deep Learning assigne une Les activités malveillantes
détecte les menaces et priorité aux activités suspectes avérées sont interrompues
les activités suspectes automatiquement
Service MTR (surveillance, analyse et réponse par des Experts en 24x7)
Des analystes experts mènent Ils mènent des recherches Ils prennent les actions
des investigations sur les approfondies pour nécessaires pour neutraliser
activités suspectes trouver de nouvelles menaces les menaces• Web Le fond diffus de menaces Internet • Mobiles Entre pratiques discutables et attaques malveillantes • Ransomware La menace qui refuse de disparaître • Cloud De petits oublis aux lourdes conséquences • Piratage Patience et discrétion - la devise des attaques actives • Réseaux Un trafic de plus en plus chiffré et difficile à identifier • IA et Machine Learning Jeu du chat et de la souris avec les cybercriminels
Cloud
De petits oublis aux lourdes conséquences
%
39Cloud
De petits oublis aux lourdes conséquences
D’ici 2020
SIX MILLIONS D’INFORMATIONS PERSONNELLES
95% TELECOMMUNICATIONS COMPANY
200 000 ENREGISTREMENTS D’APPELS CLIENTS EXPOSÉS
HOLIDAY BOKINGS SERVICE
des problèmes de sécurité Cloud
seront dues à des erreurs de la
part des utilisateurs
20 000 ENREGISTREMENTS CLIENTS
LARGE DISCOUNT BROKERAGE FIRM
Source: Gartner, Clouds Are Secure: Are You Using Them Securely? by Jay Heiser
40Cloud
De petits oublis aux lourdes conséquences
41Sophos Cloud Optix
Protège les ressources d’entreprise dans les Clouds Publics
Support natif d’AWS, Microsoft Azure, Reporting et conformité basés sur les Remédiation automatique
et Google Cloud Platform comportements et les meilleures pratiques et réponse à incident
VISIBILITÉ CONFORMITÉ RÉPONSE
Si vous ne pouvez pas le Environnements en Attaques complexes
voir, vous ne pouvez pas évolution permanente et ressources limitées
le sécuriser
Visibilité en continu Évaluation continue Détection de comportements
anormaux
Visualisation de la topologie Personnalisation
Garde-fous et remédiation
Détection d'une anomalie Travail collaboratif
Scan proactif des modèles
Conformité GDPR, PCI-DSS, HIPAA …
42• Web Le fond diffus de menaces Internet • Mobiles Entre pratiques discutables et attaques malveillantes • Ransomware La menace qui refuse de disparaître • Cloud De petits oublis aux lourdes conséquences • Piratage Patience et discrétion - la devise des attaques actives • Réseaux Un trafic de plus en plus chiffré et difficile à identifier • IA et Machine Learning Jeu du chat et de la souris avec les cybercriminels
Réseaux
Un trafic de plus en plus chiffré et difficile à identifier
Proportion du trafic réseau chiffré en 2019
80% ?
Source - Gartner Predicts 2017: Network and Gateway Security
(Lawrence Orans, Adam Hils, Jeremy D’Hoinne and Eric Ahlm)
44Réseaux
Un trafic de plus en plus chiffré et difficile à identifier
Chiffrement + Dissimulations
Difficultés des Firewalls à filtrer le trafic réseau
?
Règles : Generic-HTTP
Generic-HTTPS = Pas de filtrage !
Generic-TLS
45Sophos Next-Gen Firewall
Pare-feu NextGen en pointe pour la protection, le contrôle et la visibilité
Architecture• Web Le fond diffus de menaces Internet • Mobiles Entre pratiques discutables et attaques malveillantes • Ransomware La menace qui refuse de disparaître • Cloud De petits oublis aux lourdes conséquences • Piratage Patience et discrétion - la devise des attaques actives • Réseaux Un trafic de plus en plus chiffré et difficile à identifier • IA et Machine Learning Jeu du chat et de la souris avec les cybercriminels
IA & Machine Learning
Ciblage et utilisation des techniques d’IA par les cybercriminels
• Le Machine Learning sur la sellette
o Compétitions dans la sphère académique - Hacking DEF CON®
- Attaques réussies contre des modèles d’apprentissage académiques, par simple ajout de données
o Skylight Cyber:
- Activation de module de suppression de faux positifs, par un simple ajout de texte
• Le Machine Learning passe à l’offensive
o Conférence DerbyCon
- Utilisation de scores de Machine Learning pour identifier des mots clés utilisés
dans les classificateurs de courriers, afin d’échapper aux filtres antispam
o Contournement des CAPTCHA
o Arnaques au VISHING (Voice Phishing)
o DEEPFAKES
o GAN (Generative Adversary Networks)
48Avantages d’une solution hybride complète
Agent Endpoint unique: Protections classiques + Next-Gen
Technologies classiques Technologies Next-Gen
Prévenir
Corréler les indicateurs de menaces pour Contrôle des Contrôle Contrôle de Contrôle
bloquer les menaces web, les applications périphériques des apps contenu du Web
Deep
illégitimes, les URLs dangereuses et les Réputation des Analyse statique Analyse Learning
CODE
desEXECUTION
fichiers génotype
codes malicieux avant exécution. téléchargement
Détecter
Analyser le comportement à l’exécution Analyse Anti Anti
Analyse dynamique Exploit Piratage
des fichiers comportementale
des codes et du trafic réseau, vous
alertant en cas de menaces cachées. Détection du Security Anti Wipe
trafic malveillant Heartbeat TM Ransomware Guard
Répondre
Supprime les malwares, isoler les systèmes Blocage Verrouillage
Quarantaine EDR
compromis, rechercher les menaces des clés
latentes, remédier et prévenir les attaques Sécurité Nettoyage
Alertes Logs et rapports Restauration avancé
Synchronisée
49Sécurité Synchronisée
La plate-forme de sécurité la plus complète et la plus avancée du marché
Analytics | Analyse les données provenant de tous les produits Sophos pour une meilleure visibilité, corrélation et automatisation
INFRASTRUCTURE ADMIN TERMINAUX
Firewall Web Wireless Email Sophos Server Encryption Mobile Endpoint
Central
U R L D a t a bas e | M a l wa re I de nti ti es | F i l e L o ok -up | G e n o typ es | R e p uta ti on | B e h a vio ura l R ul e s |
Sophos Labs | Réseau d’analystes mondial 24x7x365 | A P T R u l e s A p ps | A n t i -Spa m | D a ta C o ntr ol | S o ph osI D | P a t c hes | V u l ne r abi liti e s | S a nd box ing |
2015 2016 2017 2018 2019
• Endpoint + Firewall • Endpoint + Chiffrement • Contrôle applicatif synchr. • Endpoint & Mobile + WiFi • XG SFOS 18
• Security Heartbeat TM • Heartbeat TM Destination • Heartbeat TM sur Linux • PhishThreat + Endpoint • Interaction profonde
• Isolement Automatique • Absence d’état HeartbeatTM • Heartbeat TM sur Mac OS • Blocage attaques latérales Endpoint et FirewallVous pouvez aussi lire
