Atelier « Contrer les menaces USB - Bertin IT · pas possible, le port devrait être désactivé logiquement. Par exemple, on pourrait envisager les mesures suivantes : - le blocage

BT.

D46.D

B

T.D

46.D

SAFE&SMARTSOLUTIONS

© Copyright - Bertin IT 2015

Atelier

« Contrer les menaces USB » Les Assises de la Sécurité & des Systèmes d’Information

30/09/2015

2

I. La menace USB est-elle « has been » ?

1. De quoi parle-t-on ?

2. Des usages et risques variés

3. Recommandations de l’ANSSI

II. Quelles solutions pour contrer la menace USB ?

1. Analyse des menaces

2. Mesures organisationnelles

3. Mesures techniques

4. Solutions de défense en profondeur

3

LA MENACE USB EST-ELLE

« HAS BEEN »?

4


De quoi parle-t-on ?

La clé USB…

Utilisée tous les jours pour le transport et l’échange de données

Le vecteur d’attaques connues (p.ex.: Stuxnet, Duqu, …)

et tous les objets USB compatibles

sans oublier les passerelles établies entre objets connectés entre eux (iWatch, déports d’affichage, etc.)

Nous sommes entourés d’objets à connecter très variés avec des risques associés tout aussi variés…

Espace de Stockage

Peut être pillé ou servir de vecteur

de transport à une charge virale

Firmware Peut être reprogrammé de manière à

prendre le contrôle du PC de l’utilisateur

et au-delà… (cf. BadUSB)

Smartphones

Espaces de

stockage

Appareils photos

Transfert d’importants

volumes de données

Autres objets à connectique USB

Récupération de données

Recharge de batteries, …

5


Des usages et des risques variés…

Usages sur le SI Tertiaire

Transfert de données bureautiques,

Transfert d’applications,

Transfert de patchs pour mise à jour logicielle,

Installation de nouveaux firmwares.

Usages sur le SI Industriel

Transfert de patchs pour mise à jour logicielle,

Installation de nouveaux firmwares,

Extraction de logs depuis les SI Industriels.

Fuite d’information

Captation

d’information

(bidirectionnelle)

Intrusion SI

(bidirectionnelle)

Infection

(bidirectionnelle)

Perte / corruption

de données

Aspiration de contenu de clé / de disque

Vulnérabilité BadUSB

Perte de clé

Transport d’une charge virale et infection bureautique

Transport d’une charge d’attaque et installation dans le réseau

Transport d’une charge de

destruction / d’altération de données

Arrêt, dégradation

Corruption de

données

Intrusion SI

Modification de

comportement

Perte de données

Installation d’un virus et dégradation des

données critiques

Modification de paramètre entraînant un

arrêt / une dégradation des équipements

Transport d’une charge d’attaque permettant

la modification des comportements

Transport d’une charge d’attaque permettant la prise de main à distance

Transport d’une charge de destruction de données

RISQUES ASSOCIÉS RISQUES ASSOCIÉS

6


Recommandations de l’ANSSI (1/3)

CLASSE 1

[RECOMMANDATION 233]

Une politique d’utilisation des

médias amovibles (clé USB,

disquette, disque dur, etc.)

devrait être définie.


L’emploi des médias

amovibles devrait être limité

au strict minimum.


Une station de décontamination

devrait être installée afin d’analyser et

décontaminer tous les périphériques

amovibles avant de les utiliser sur le

système industriel.


La connexion des périphériques

amovibles qui n’ont pas été vérifiés

par la station de décontamination

devrait être interdite.


Des médias amovibles dédiés aux systèmes industriels

devraient être mis à disposition des intervenants. L’utilisation de

ces médias pour tout autre usage devrait être interdite.

Réciproquement, l’utilisation de tout autre média devrait être

interdite.

Focus SI Industriel

7



CLASSE 2

Focus SI Industriel

[DIRECTIVE 238]

Les recommandations

R.233, R.234, R.235,

R.236 et R.237

deviennent des directives.


Les ports de médias amovibles devraient

être désactivés lorsque leur utilisation n’est

pas nécessaire. Si le blocage physique n’est

pas possible, le port devrait être désactivé

logiquement.

Par exemple, on pourrait envisager

les mesures suivantes :

- le blocage des ports USB à l’aide

de mécanismes de sécurité

physiques ou logiques, comme les

verrous USB physiques (avec clés)

ou par un logiciel de sécurité

capable de bloquer l’utilisation de

clés USB et autres périphériques ;

- le retrait ou la déconnexion des

lecteurs de médias amovibles.

[DIRECTIVE 240]

La recommandation R.239

devient une directive.

[DIRECTIVE 241]

Un sas doit être mis en place pour échanger

des données avec les systèmes industriels. Il

doit être placé dans une zone maîtrisée. Cet

échange de données est une action ponctuelle

qui doit être encadrée par une procédure.


La solution de sas devrait

être labellisée.

CLASSE 3

8



Répondre aux exigences de sécurisation quant à la gestion des médias amovibles pour

les SI industriels se résume à :

Garantir une décontamination des périphériques incluant le firmware

Intégrer un système de liste blanche

Permettre une option de type de SAS

Et pour les SI tertiaires, les mesures les plus utilisées:

Bloquer les ports USB : essayez d’en parler au métier et vous aurez un flot de dérogations….

Filtrage par type de média, avec des médias agréés : cher et souvent peu efficace….

Mise en place d’outils de checking des supports USB…

Focus SI Industriel

9

CONTRER LA MENACE USB QUELLES SOLUTIONS ?

10


Analyse des menaces

Identifier et cartographier les SI (zonage)

Caractériser les niveaux de sensibilité

Inventaire des menaces

Couverture par une ou plusieurs mesures

techniques ou organisationnelles

Une même menace couverte différemment

suivant les zones

MESURES

ORGANISATIONNELLES

MESURES

TECHNIQUES

11


La problématique

PROTECTION ACCÈS

SÉCURITÉ DE

L’INFORMATION

Difficile de trouver le bon équilibre !

12

Mesures

organisationnelles

Interdire l’usage des clés USB ?

Définir une politique d’usage

Recommandations d’usage (ex: clés

USB fournies par l’organisation)

Périmètre d’usage

Traçabilité

Mettre en place des procédures

Sensibilisation / formation des

collaborateurs

13


Mesures organisationnelles

Sont-elles suffisantes ?

Qu’en est-il de la sous-traitance ?

14

Mesures techniques

Cloisonnement

Désactivation des ports USB

Restrictions logicielles

Listes blanches

Stations blanches

Défense en profondeur

Filtres

15


Mesures techniques #1

DESACTIVER OU VERROUILLER LES PORTS USB

Protection « physique » maximale

• Coupure des connecteurs

• Désactivation bas niveau (ex : BIOS)

• Bouchons physiques « USB »

La désactivation des ports USB n’est pas toujours possible

(ex : mise à jour automate)

Equipements existants non configurables

Intégrité matérielle et garantie

16


Recommandations techniques #1

NE PAS EXPOSER DIRECTEMENT LES ÉQUIPEMENTS

SENSIBLES AUX CLÉS USB

Privilégier l’usage d’équipements de neutralisation des menaces USB

autonomes

La solution doit présenter des mesures de protection contre les

attaques matérielles

Support de sortie différent du support d’entrée, « nettoyage » d’une clé

USB techniquement non réaliste

17



AGENTS LOGICIELS DE RESTRICTION, ANALYSE, FILTRAGE ET INNOCUITÉ

Paramétrage de l’OS, désactivation de l’exécution de code

Liste blanche des périphériques USB autorisés (modèle, numéro de série…)

Contrôle d’innocuité, un ou plusieurs agents (anti-virus, anti-malware)

Analyse des formats pour détecter des contenus actifs

Nettoyage des charges actives potentiellement dangereuses

(ex : zeroday DRIDEX)

Vitrification

Agents intrusifs sur les équipements

Les équipements sensibles restent exposés directement aux clés USB

OS standards non durcis

Traitements non cloisonnés

Protection limitée (ex : BadUSB)

Le nettoyage des charges actives et la vitrification modifient le contenu

Mises à jour régulières

18



CLOISONNER ET SÉQUENCER LES TRAITEMENTS DE

VÉRIFICATION ET D’ANALYSE

La solution doit mettre en œuvre plusieurs traitements à paramétrer

suivant le cas d’usage

Plusieurs anti-virus et anti-malware

Analyse des formats des fichiers et liste blanche des formats autorisés

Traitements intrusifs :

Nettoyage des contenus potentiellement actifs (macros…)

Vitrification

La solution doit cloisonner les traitements et les séquencer

La solution doit être unidirectionnelle (pas d’exfiltration des données)

19



STATION / BOÎTIER DE NEUTRALISATION

Equipements sensibles non directement exposés aux clés USB

Embarque les agents de restriction et d’analyse

Agents logiciels pour assurer l’évolutivité

Mécanismes de protection contre les attaques matérielles

Point névralgique du SI à maîtriser

Solutions uniquement matérielles non évolutives

Mesure organisationnelle indispensable

20



SOLUTION RÉSILIENTE PRÉSENTANT LES CAPACITÉS POUR

REVENIR DANS UN ÉTAT SAIN

Mécanisme de mise à jour sécurisé

Les menaces évoluent

Les besoins aussi

Solutions « tout matériel » restreintes à des cas d’usage figés

Solutions offrant des protections matérielles et des extensions

logicielles paramétrables plus évolutives

21


Architecture d’un dispositif de neutralisation USB

Plateforme matérielle

Analyse, filtrage,

nettoyage,

vitrification

Guichet

d’entrée

Quarantaine

Guichet de sortie

?

(SFTP, SMTP,

SMB)

22

Des solutions

pour la défense

en profondeur

SÉCURISATION DES POSTES

DE TRAVAIL SENSIBLES (lancement prochain)

Accéder en toute sécurité aux données et

applications sensibles sur un même poste de

travail

NEUTRALISATION DES MENACES USB

Garantir l’innocuité de tout contenu actif importé

dans les systèmes via des périphériques

amovibles

SÉCURISATION DES INTERCONNEXIONS RÉSEAU

Contrôler les interconnexions réseau pour

bloquer et circonscrire les attaques sur les

systèmes

Division de Bertin Technologies

HEAD OFFICE

Parc d’Activités du Pas du Lac

10 bis avenue Ampère

78180 Montigny-le-Bretonneux

T. +33(0)1 39 30 62 50

E. [email protected]

www.bertin-it.com

BT.

D46.D

B

T.D

46.D

Documents

Atelier « Contrer les menaces USB - Bertin IT · pas possible, le port devrait être désactivé logiquement. Par exemple, on pourrait envisager les mesures suivantes : - le blocage