La sécurité des réseaux internationaux

Transcription

La sécurité des réseaux
internationaux
Eric Torres
Director of Global Network
Integration & Special Projects
AT&T Business
Conférence sécurité 12 avril 2005
© 2005 AT&T, All Rights Reserved.
4/18/2005
L’
enquêt
eEI
U-AT&T sur le futur des réseaux
•Participants: 254 senior Executives (CEO, CFO, CTO,
SVP) –entretiens téléphoniques et en tête à tête
•40% d’Europe, 27% d’
Amér
i
queduNor
d, 21% d’Asie
•Représentant plus de 20+ secteurs industriels
•Mix de PME/PMI et Grands Comptes; 23% > €1
milliard de revenus
2
Top priorités réseaux
•La sécurité est actuellement vue comme le point
le plus critique des réseaux
Les attributs les plus importants (% de réponses)
Sécurité
• Positions
inverse en
2003
Disponibilité / temps
d’
ar
r
êt
Fiabilité des liaisons
Vitesse
0%
10%
20%
30%
40%
50%
60%
70%
4/18/2005
80%
3
Domaines critiques de vulnérabilité
•Les travailleurs distants / mobiles ont accès au réseau et à
toutes les applications
•Les informations clients détaillées, stockées, analysées et
traitées éléctroniquement
•Informations financières des clients maintenues en ligne
•Données opérationnelles et financières accessibles en
ligne par les managers
•Partenaires, fournisseurs ont accès en temps réel aux
données del
a‘
suppl
ychai
n’
4/18/2005
4
L’
i
nqui
ét
uden°1, mais aussi une opportunité
•2003- 2004 prédateurs: Blaster, Sasser, Mydoom, Nachi
… etNetsky
•Un impératif : le besoin de partager les données à
l
’
ex
t
ér
i
eurde l
’
ent
r
epr
i
se
•La sécur
i
t
én’
estplus un coût, mais un f
aci
l
i
t
at
eurd’
af
f
ai
r
es
•Un challenge: assur
erl
’
i
nt
égr
i
t
éde l
’
i
nf
or
mat
i
onet du
réseau, 24 h / 24 h
•Conséquence : les sociétés vont dépenser plus en % du
budget IT pour la sécurité
Le déf
in’
estplus de créer une muraille de Chine et
d’
empêchert
out
eintrusion, mais de laisser entrer
seulement les bonnes personnes
4/18/2005
5
Laphi
l
os
ophi
edepr
ot
ect
i
ond’AT&T
-
Détecter et corriger
les menaces le plus
loin possible des
frontières du réseau
del
’
ent
r
epr
i
se
 Le faire dans Internet
-
.
.
Fournir des données
et les ANALYSER
 d’
où, qui, vers où,
pourquoi
4/18/2005
6
AT&T Internet ProtectSM
Détecter, identifier, quantifier, and localiser les menaces potentielles
envers les systèmes internes AT&T, les services et/ ou les clients
•Activités
Prédire la menace
Détecter la menace en temps réel
Créer un historique de données pour une analyse postérieure de
l
’
act
i
vi
t
ér
éseau
•En entrée
Metadata (méthode statistique, algorithmique…)
Analyse comportementale desHacker
s,vi
r
us….
10 Teraoctets analysés par jour
Tous les ports et protocoles Internet couverts
Temps réel et exhaustif
•En sortie
Alerte temps réel
Information des clients externes / internes
4/18/2005
7
AT&T Security Analysis of Network Flow Data
Indication du Port UDP - virus Slammer (01/26/03)
Début de l
’
at
t
aqueduvirus Slammer
(UDP Port 1434)
10 minutes
Trafic
moyen 3
semaines
avant
Slammer
4/18/2005
8
SQL Slammer Observation
Port 1434/udp packets
Nombre de paquets du UDP UDP 1434 sur plusieures semaines
1.00E+09
1.00E+08
Confirmation,
Confirmation,
suspicion de
suspicion
de test
testde
de
code, reconnaissance
code,
sur réseau sur
reconnaissance
réseau
Reconnu le 03 Janvier
par ATT
Activité port
normale
du
Typical
activity
port
1.00E+07
Slammer !
(01/26/03)
1.00E+06
1.00E+05
Montée
exponentielle
1/
29
/0
3
1/
22
/0
3
Ni
veaud’
al
er
t
e
est de 2 fois la
magnitude de
l
’
act
i
vi
t
énor
mal
e
1/
15
/0
3
1/
1/
03
1.00E+03
1/
8/
03
1.00E+04
Time (UTC)
L’
at
t
aqueduvirus Slammer s’
estpr
odui
t
ele 26 janvier 2003 - AT&T
Internet ProtectSM l
’
asuspect
é2 semaines avant !
4/18/2005
9
MS Blaster Observation
TCP-135 Change Factor Relative to 5 Week Mean
250
MS Blaster
200
Annonce de
vulnérabilité
Tendance plate
sur 5 semaines
150
100
50
Change factor flows
Change factor pkts
Change factor bytes
4/18/2005
10
8/
27
/0
3
8/
20
/0
3
8/
13
/0
3
8/
6/
03
7/
30
/0
3
7/
23
/0
3
7/
16
/0
3
7/
9/
03
7/
2/
03
6/
25
/0
3
6/
18
/0
3
6/
11
/0
3
6/
4/
03
5/
28
/0
3
5/
21
/0
3
5/
14
/0
3
5/
7/
03
4/
30
/0
3
4/
23
/0
3
4/
16
/0
3
4/
9/
03
0
MS Blaster
TCP-135 Change Factor Relative to 5 Week Mean
10
Moyenne 7 j
(noir) –
augmentation
de la pente
9
8
Annonce de
Vulnerabilité
7
6
5
4
3
2
1
Change factor bytes
Change factor pkts
Change factor flows
7 day Moving Average
4/18/2005
11
8/
27
/0
3
8/
20
/0
3
8/
13
/0
3
8/
6/
03
7/
30
/0
3
7/
23
/0
3
7/
16
/0
3
7/
9/
03
7/
2/
03
6/
25
/0
3
6/
18
/0
3
6/
11
/0
3
6/
4/
03
5/
28
/0
3
5/
21
/0
3
5/
14
/0
3
5/
7/
03
4/
30
/0
3
4/
23
/0
3
4/
16
/0
3
4/
9/
03
0
Sasser (early variants) with MS04-011 Exploit Timeline / Alerts
445/tcp flows volume relative to 5 week mean
01/05 Alerte
Virus SASSER
20/04 Alerte
Nouvelle release
Bloque port 139& 445
14/04 Alerte
Proof of Concept
MS04-011 Code
appliqué
30/04 Alerte
Nouvelle
attaque
28/04 Alerte
16/04 Alerte
13/04
Avertissement
Microsoft annonce
patch MS04-011
Nouvelle
Release
Scanning
croissant sur
TCP/445
26/04 Alerte
Nouvelle
attaque
Nouveau patch
L’
at
t
aqueSassers’
estproduite le 01/05/04- 2 semaines avant, AT&T savai
tqu’
i
lse produirait quelque chose
–reprioritisation des travaux IT –virus détecté le matin du 1er mai, plusieures heures avant les organismes
spécialisés.
4/18/2005
12
AT&T Internet ProtectSM Service
Cyber Attack Strategy –Perspective of Adversary
Management des Intrusions
•Les solutions actuelles corrigent après
l
’
év
ènement
•AT&T: détecter et corriger AVANT
l
’
at
t
aque
•Ramener la sécurité préventive au plus
pr
èsdel
’
or
i
gi
nedel
’
at
t
aque,donc
dans le réseau
Web-Based
Information
Collection
Broad
Network
Mapping
Service
Vulnerability
Exploitation
Social
Engineering
Targeted
Scan
Reconnaissance
DDOS Zombie
Code
Installation
Password
Guessing
Scanning
System Access
Use of Stolen
Accounts
for Attack
System File
Delete
Damage
Preventive Phase
(Defense)
Log File
Changes
Track Coverage
Reactive Phase
(Defense)
Indications and
AT&T Shifting
Warning Threshold
(Defense)
Protection Focus
Toward These Phases
of Attack Lifecycle
Document/Reference Number
13
26/05/2004
AT&T Internet Protect: Proactive Security Alert Notification
Existing AT&T Flood Security Information Analysis Program (Domes tic View)
2
5
1 7
2
AT&T Labs –Security Forensics Experts
AT&T Labs –Research Statisticians
AT&T GNOC –Security Technicians
8
2 0
2 8 4 2
GNOC
Alerts
AT&T FLOOD System
Private AT&T Transport
4.5 TB/day –08/03
7.0 TB/day –12/03
1.2 PB/day –04/04
Optical
Splitters
(Gateway
Routers)
Document/Reference Number
AT&T‘
sFLOODPl
at
f
or
me
•Analyses des données pour anomalies
•Détection des virus, vers, deni de
Service
26/05/2004
17
445/tcp flows volume relative to 5 week mean
Alert/PAGE
SASSER Worm
Spreading
Alert/PAGE
Alert/PAGE
MORE New
Exploit Code
Released
Proof of Concept
MS04-011 Exploit
Code Released
Alert
PATCH ASAP!
PATCH ASAP!
Another New
Attack Tool
Alert
Increased
Scanning
on TCP/445
Alert
New Exploit
Code Released
Alert
New Attack
Tool Released
Advisory
Microsoft Announces
MS04-011
26/05/2004
5
BusinessDirect Client Portal
Alerte des Clients
Security in the Network Infrastructure
26/05/2004
Portail AT&T Business Direct
•Dét
ai
l
l
el
‘
at
t
aque
•Détaille les actions correctives
•Hotlinks vers les sites appropriés
•Four
ni
td‘
aut
r
esi
nf
or
mat
i
onsde
sécurité
AT&T Internet Protect Security Alert Notification:
•Instrumenté avec des séparateurs
optiques
•Traite plus de 10 TéraOctets de trafic
IP par jour
Sasser (early variants) with MS04-011 Exploit Timeline /
Alerts
Security in the Network Infrastructure
•Notification des clients
•e-mail, SMS, appel téléphonique, etc.
•Résumédel
‘
év
ènement
•Renvoi vers le portail Business Direct
AT&T‘
sCor
eI
PBack
bone
29
A venir
•Mise à jour automatique des pare feux
gérés par AT&T
4/18/2005
13
Tr
ans
f
ér
erl
’
i
nt
el
l
i
genc
edel
as
éc
ur
i
t
édansl
er
éseau
Aujourd’
hui
Intelligence de la sécurité
dans le Réseau
AT&T
IP Network
AT&T
IP Network
Frontière
Client
Firewall
IDS, Anti-Virus
etc.
Frontière
Parefeuxl
IDS,
Anti-Virus
etc.
Client
- Investissements importants des clients
à la frontière
- IDS, Firewalls, Anti-Virus, Anti-SPAM
déployés par le client
- Coût, efficacité
- Répétitif pour chaque client
Sécurité dans le
réseau,
protégeant les
systèmes client
Frontière
Frontière
Client
Enterprise
Client
Enterprise
- Solutions basées dans le réseau
- Efficace, peu cher
- Mutualisé (coût)
- Amélioration du coût total de
possession
4/18/2005
14
Analyse des données issues de pare feux
Company: fir
Device: mxwfir01f
Report Name: Daily Top Source Ips blocked
Generated On: Mon Sep 22 12:50:37
GMT+00:00 2003
No.
SOURCE
2756
192.168.127.229
2180
192.168.122.17
1506
12.145.82.69
1290
192.168.122.97
1248
192.168.127.233
817
192.168.122.22
736
12.145.129.38
731
12.145.139.194
532
203.251.122.5
494
12.144.52.133
4/18/2005
15
Les failles de sécurité des réseaux internationaux
•le collaborateur mobile
se connecte en commuté, aDSL, WI FI, WIMAX
Usage personnel de son ordinateur professionnel
Un pare feu intégré au logiciel de connexion
•l
ecol
l
abor
at
euri
nt
er
neàl
’
ent
r
epr
i
se
Identifier les informations, les changements, les sites
« sensibles »
 Exiger une double, voire triple identification et tracer
les changements et leur auteurs
4/18/2005
16
Au delà de la technologie,
la sécurité est avant tout
une politique d’
ent
r
epr
i
s
e!
4/18/2005
17
Questions
[email protected]
4/18/2005

La sécurité des réseaux internationaux

Transcription

Documents pareils

Torrent de nouvelles et l`appel de la Patria : Etre un journaliste des

Animal Rights International

brochure-francais

Avril 2016

Sommaire / Table of contents

L`expérience de Robert Transport

La Vidéo à la Demande

Etat de l`écosystème UHD : de la captation à la distribution

Consultez la brochure

test dons spirituels jeunes