La sécurité des réseaux internationaux
Transcription
La sécurité des réseaux internationaux
La sécurité des réseaux internationaux Eric Torres Director of Global Network Integration & Special Projects AT&T Business Conférence sécurité 12 avril 2005 © 2005 AT&T, All Rights Reserved. 4/18/2005 L’ enquêt eEI U-AT&T sur le futur des réseaux •Participants: 254 senior Executives (CEO, CFO, CTO, SVP) –entretiens téléphoniques et en tête à tête •40% d’Europe, 27% d’ Amér i queduNor d, 21% d’Asie •Représentant plus de 20+ secteurs industriels •Mix de PME/PMI et Grands Comptes; 23% > €1 milliard de revenus Conférence sécurité 12 avril 2005 © 2005 AT&T, All Rights Reserved. 2 Top priorités réseaux •La sécurité est actuellement vue comme le point le plus critique des réseaux Les attributs les plus importants (% de réponses) Sécurité • Positions inverse en 2003 Disponibilité / temps d’ ar r êt Fiabilité des liaisons Vitesse 0% Conférence sécurité 12 avril 2005 10% 20% 30% 40% © 2005 AT&T, All Rights Reserved. 50% 60% 70% 4/18/2005 80% 3 Domaines critiques de vulnérabilité •Les travailleurs distants / mobiles ont accès au réseau et à toutes les applications •Les informations clients détaillées, stockées, analysées et traitées éléctroniquement •Informations financières des clients maintenues en ligne •Données opérationnelles et financières accessibles en ligne par les managers •Partenaires, fournisseurs ont accès en temps réel aux données del a‘ suppl ychai n’ Conférence sécurité 12 avril 2005 © 2005 AT&T, All Rights Reserved. 4/18/2005 4 L’ i nqui ét uden°1, mais aussi une opportunité •2003- 2004 prédateurs: Blaster, Sasser, Mydoom, Nachi … etNetsky •Un impératif : le besoin de partager les données à l ’ ex t ér i eurde l ’ ent r epr i se •La sécur i t én’ estplus un coût, mais un f aci l i t at eurd’ af f ai r es •Un challenge: assur erl ’ i nt égr i t éde l ’ i nf or mat i onet du réseau, 24 h / 24 h •Conséquence : les sociétés vont dépenser plus en % du budget IT pour la sécurité Le déf in’ estplus de créer une muraille de Chine et d’ empêchert out eintrusion, mais de laisser entrer seulement les bonnes personnes Conférence sécurité 12 avril 2005 © 2005 AT&T, All Rights Reserved. 4/18/2005 5 Laphi l os ophi edepr ot ect i ond’AT&T - Détecter et corriger les menaces le plus loin possible des frontières du réseau del ’ ent r epr i se Le faire dans Internet - . . Conférence sécurité 12 avril 2005 © 2005 AT&T, All Rights Reserved. Fournir des données et les ANALYSER d’ où, qui, vers où, pourquoi 4/18/2005 6 AT&T Internet ProtectSM Détecter, identifier, quantifier, and localiser les menaces potentielles envers les systèmes internes AT&T, les services et/ ou les clients •Activités Prédire la menace Détecter la menace en temps réel Créer un historique de données pour une analyse postérieure de l ’ act i vi t ér éseau •En entrée Metadata (méthode statistique, algorithmique…) Analyse comportementale desHacker s,vi r us…. 10 Teraoctets analysés par jour Tous les ports et protocoles Internet couverts Temps réel et exhaustif •En sortie Alerte temps réel Information des clients externes / internes Conférence sécurité 12 avril 2005 © 2005 AT&T, All Rights Reserved. 4/18/2005 7 AT&T Security Analysis of Network Flow Data Indication du Port UDP - virus Slammer (01/26/03) Début de l ’ at t aqueduvirus Slammer (UDP Port 1434) 10 minutes Trafic moyen 3 semaines avant Slammer Conférence sécurité 12 avril 2005 © 2005 AT&T, All Rights Reserved. 4/18/2005 8 SQL Slammer Observation Port 1434/udp packets Nombre de paquets du UDP UDP 1434 sur plusieures semaines 1.00E+09 1.00E+08 Confirmation, Confirmation, suspicion de suspicion de test testde de code, reconnaissance code, sur réseau sur reconnaissance réseau Reconnu le 03 Janvier par ATT Activité port normale du Typical activity port 1.00E+07 Slammer ! (01/26/03) 1.00E+06 1.00E+05 Montée exponentielle 1/ 29 /0 3 1/ 22 /0 3 Ni veaud’ al er t e est de 2 fois la magnitude de l ’ act i vi t énor mal e 1/ 15 /0 3 1/ 1/ 03 1.00E+03 1/ 8/ 03 1.00E+04 Time (UTC) L’ at t aqueduvirus Slammer s’ estpr odui t ele 26 janvier 2003 - AT&T Internet ProtectSM l ’ asuspect é2 semaines avant ! Conférence sécurité 12 avril 2005 © 2005 AT&T, All Rights Reserved. 4/18/2005 9 MS Blaster Observation TCP-135 Change Factor Relative to 5 Week Mean 250 MS Blaster 200 Annonce de vulnérabilité Tendance plate sur 5 semaines 150 100 50 Change factor flows Conférence sécurité 12 avril 2005 Change factor pkts © 2005 AT&T, All Rights Reserved. Change factor bytes 4/18/2005 10 8/ 27 /0 3 8/ 20 /0 3 8/ 13 /0 3 8/ 6/ 03 7/ 30 /0 3 7/ 23 /0 3 7/ 16 /0 3 7/ 9/ 03 7/ 2/ 03 6/ 25 /0 3 6/ 18 /0 3 6/ 11 /0 3 6/ 4/ 03 5/ 28 /0 3 5/ 21 /0 3 5/ 14 /0 3 5/ 7/ 03 4/ 30 /0 3 4/ 23 /0 3 4/ 16 /0 3 4/ 9/ 03 0 MS Blaster TCP-135 Change Factor Relative to 5 Week Mean 10 Moyenne 7 j (noir) – augmentation de la pente 9 8 Annonce de Vulnerabilité 7 6 5 4 3 2 1 Change factor bytes Conférence sécurité 12 avril 2005 Change factor pkts Change factor flows © 2005 AT&T, All Rights Reserved. 7 day Moving Average 4/18/2005 11 8/ 27 /0 3 8/ 20 /0 3 8/ 13 /0 3 8/ 6/ 03 7/ 30 /0 3 7/ 23 /0 3 7/ 16 /0 3 7/ 9/ 03 7/ 2/ 03 6/ 25 /0 3 6/ 18 /0 3 6/ 11 /0 3 6/ 4/ 03 5/ 28 /0 3 5/ 21 /0 3 5/ 14 /0 3 5/ 7/ 03 4/ 30 /0 3 4/ 23 /0 3 4/ 16 /0 3 4/ 9/ 03 0 Sasser (early variants) with MS04-011 Exploit Timeline / Alerts 445/tcp flows volume relative to 5 week mean 01/05 Alerte Virus SASSER 20/04 Alerte Nouvelle release Bloque port 139& 445 14/04 Alerte Proof of Concept MS04-011 Code appliqué 30/04 Alerte Nouvelle attaque 28/04 Alerte 16/04 Alerte 13/04 Avertissement Microsoft annonce patch MS04-011 Nouvelle Release Scanning croissant sur TCP/445 26/04 Alerte Nouvelle attaque Nouveau patch L’ at t aqueSassers’ estproduite le 01/05/04- 2 semaines avant, AT&T savai tqu’ i lse produirait quelque chose –reprioritisation des travaux IT –virus détecté le matin du 1er mai, plusieures heures avant les organismes spécialisés. Conférence sécurité 12 avril 2005 © 2005 AT&T, All Rights Reserved. 4/18/2005 12 AT&T Internet ProtectSM Service Cyber Attack Strategy –Perspective of Adversary Management des Intrusions •Les solutions actuelles corrigent après l ’ év ènement •AT&T: détecter et corriger AVANT l ’ at t aque •Ramener la sécurité préventive au plus pr èsdel ’ or i gi nedel ’ at t aque,donc dans le réseau Web-Based Information Collection Broad Network Mapping Service Vulnerability Exploitation Social Engineering Targeted Scan Reconnaissance DDOS Zombie Code Installation Password Guessing Scanning System Access Use of Stolen Accounts for Attack System File Delete Damage Preventive Phase (Defense) Log File Changes Track Coverage Reactive Phase (Defense) Indications and AT&T Shifting Warning Threshold (Defense) Protection Focus Toward These Phases of Attack Lifecycle © 2004 AT&T, All Rights Reserved. Document/Reference Number 13 26/05/2004 AT&T Internet Protect: Proactive Security Alert Notification Existing AT&T Flood Security Information Analysis Program (Domes tic View) 2 5 1 7 2 AT&T Labs –Security Forensics Experts AT&T Labs –Research Statisticians AT&T GNOC –Security Technicians 8 2 0 2 8 4 2 GNOC Alerts AT&T FLOOD System Private AT&T Transport 4.5 TB/day –08/03 7.0 TB/day –12/03 1.2 PB/day –04/04 Optical Splitters (Gateway Routers) Document/Reference Number AT&T‘ sFLOODPl at f or me •Analyses des données pour anomalies •Détection des virus, vers, deni de Service 26/05/2004 © 2004 AT&T, All Rights Reserved. 17 445/tcp flows volume relative to 5 week mean Alert/PAGE SASSER Worm Spreading Alert/PAGE Alert/PAGE MORE New Exploit Code Released Proof of Concept MS04-011 Exploit Code Released Alert PATCH ASAP! PATCH ASAP! Another New Attack Tool Alert Increased Scanning on TCP/445 Alert New Exploit Code Released Alert New Attack Tool Released Advisory Microsoft Announces MS04-011 © 2004 AT&T, All Rights Reserved. 26/05/2004 5 BusinessDirect Client Portal Alerte des Clients Security in the Network Infrastructure © 2004 AT&T, All Rights Reserved. 26/05/2004 Portail AT&T Business Direct •Dét ai l l el ‘ at t aque •Détaille les actions correctives •Hotlinks vers les sites appropriés •Four ni td‘ aut r esi nf or mat i onsde sécurité AT&T Internet Protect Security Alert Notification: Conférence sécurité 12 avril 2005 •Instrumenté avec des séparateurs optiques •Traite plus de 10 TéraOctets de trafic IP par jour Sasser (early variants) with MS04-011 Exploit Timeline / Alerts Security in the Network Infrastructure •Notification des clients •e-mail, SMS, appel téléphonique, etc. •Résumédel ‘ év ènement •Renvoi vers le portail Business Direct AT&T‘ sCor eI PBack bone 29 A venir •Mise à jour automatique des pare feux gérés par AT&T © 2005 AT&T, All Rights Reserved. 4/18/2005 13 Tr ans f ér erl ’ i nt el l i genc edel as éc ur i t édansl er éseau Aujourd’ hui Intelligence de la sécurité dans le Réseau AT&T IP Network AT&T IP Network Frontière Client Firewall IDS, Anti-Virus etc. Frontière Parefeuxl IDS, Anti-Virus etc. Client - Investissements importants des clients à la frontière - IDS, Firewalls, Anti-Virus, Anti-SPAM déployés par le client - Coût, efficacité - Répétitif pour chaque client Conférence sécurité 12 avril 2005 Sécurité dans le réseau, protégeant les systèmes client Frontière Frontière Client Enterprise Client Enterprise - Solutions basées dans le réseau - Efficace, peu cher - Mutualisé (coût) - Amélioration du coût total de possession © 2005 AT&T, All Rights Reserved. 4/18/2005 14 Analyse des données issues de pare feux Company: fir Device: mxwfir01f Report Name: Daily Top Source Ips blocked Generated On: Mon Sep 22 12:50:37 GMT+00:00 2003 No. SOURCE 2756 192.168.127.229 2180 192.168.122.17 1506 12.145.82.69 1290 192.168.122.97 1248 192.168.127.233 817 192.168.122.22 736 12.145.129.38 731 12.145.139.194 532 203.251.122.5 494 12.144.52.133 Conférence sécurité 12 avril 2005 © 2005 AT&T, All Rights Reserved. 4/18/2005 15 Les failles de sécurité des réseaux internationaux •le collaborateur mobile se connecte en commuté, aDSL, WI FI, WIMAX Usage personnel de son ordinateur professionnel Un pare feu intégré au logiciel de connexion •l ecol l abor at euri nt er neàl ’ ent r epr i se Identifier les informations, les changements, les sites « sensibles » Exiger une double, voire triple identification et tracer les changements et leur auteurs Conférence sécurité 12 avril 2005 © 2005 AT&T, All Rights Reserved. 4/18/2005 16 Au delà de la technologie, la sécurité est avant tout une politique d’ ent r epr i s e! Conférence sécurité 12 avril 2005 © 2005 AT&T, All Rights Reserved. 4/18/2005 17 Questions [email protected] Conférence sécurité 12 avril 2005 © 2005 AT&T, All Rights Reserved. 4/18/2005