Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
BT.
D46.D
B
T.D
46.D
SAFE&SMARTSOLUTIONS
© Copyright - Bertin IT 2015
Atelier
« Contrer les menaces USB » Les Assises de la Sécurité & des Systèmes d’Information
30/09/2015
2
I. La menace USB est-elle « has been » ?
1. De quoi parle-t-on ?
2. Des usages et risques variés
3. Recommandations de l’ANSSI
II. Quelles solutions pour contrer la menace USB ?
1. Analyse des menaces
2. Mesures organisationnelles
3. Mesures techniques
4. Solutions de défense en profondeur
4
© Copyright - Bertin IT 2015
De quoi parle-t-on ?
La clé USB…
Utilisée tous les jours pour le transport et l’échange de données
Le vecteur d’attaques connues (p.ex.: Stuxnet, Duqu, …)
et tous les objets USB compatibles
sans oublier les passerelles établies entre objets connectés entre eux (iWatch, déports d’affichage, etc.)
Nous sommes entourés d’objets à connecter très variés avec des risques associés tout aussi variés…
Espace de Stockage
Peut être pillé ou servir de vecteur
de transport à une charge virale
Firmware Peut être reprogrammé de manière à
prendre le contrôle du PC de l’utilisateur
et au-delà… (cf. BadUSB)
Smartphones
Espaces de
stockage
Appareils photos
Transfert d’importants
volumes de données
Autres objets à connectique USB
Récupération de données
Recharge de batteries, …
5
© Copyright - Bertin IT 2015
Des usages et des risques variés…
Usages sur le SI Tertiaire
Transfert de données bureautiques,
Transfert d’applications,
Transfert de patchs pour mise à jour logicielle,
Installation de nouveaux firmwares.
Usages sur le SI Industriel
Transfert de patchs pour mise à jour logicielle,
Installation de nouveaux firmwares,
Extraction de logs depuis les SI Industriels.
Fuite d’information
Captation
d’information
(bidirectionnelle)
Intrusion SI
(bidirectionnelle)
Infection
(bidirectionnelle)
Perte / corruption
de données
Aspiration de contenu de clé / de disque
Vulnérabilité BadUSB
Perte de clé
Transport d’une charge virale et infection bureautique
Transport d’une charge d’attaque et installation dans le réseau
Transport d’une charge de
destruction / d’altération de données
Arrêt, dégradation
Corruption de
données
Intrusion SI
Modification de
comportement
Perte de données
Installation d’un virus et dégradation des
données critiques
Modification de paramètre entraînant un
arrêt / une dégradation des équipements
Transport d’une charge d’attaque permettant
la modification des comportements
Transport d’une charge d’attaque permettant la prise de main à distance
Transport d’une charge de destruction de données
RISQUES ASSOCIÉS RISQUES ASSOCIÉS
6
© Copyright - Bertin IT 2015
Recommandations de l’ANSSI (1/3)
CLASSE 1
[RECOMMANDATION 233]
Une politique d’utilisation des
médias amovibles (clé USB,
disquette, disque dur, etc.)
devrait être définie.
[RECOMMANDATION 234]
L’emploi des médias
amovibles devrait être limité
au strict minimum.
[RECOMMANDATION 235]
Une station de décontamination
devrait être installée afin d’analyser et
décontaminer tous les périphériques
amovibles avant de les utiliser sur le
système industriel.
[RECOMMANDATION 236]
La connexion des périphériques
amovibles qui n’ont pas été vérifiés
par la station de décontamination
devrait être interdite.
[RECOMMANDATION 237]
Des médias amovibles dédiés aux systèmes industriels
devraient être mis à disposition des intervenants. L’utilisation de
ces médias pour tout autre usage devrait être interdite.
Réciproquement, l’utilisation de tout autre média devrait être
interdite.
Focus SI Industriel
7
© Copyright - Bertin IT 2015
Recommandations de l’ANSSI (2/3)
CLASSE 2
Focus SI Industriel
[DIRECTIVE 238]
Les recommandations
R.233, R.234, R.235,
R.236 et R.237
deviennent des directives.
[RECOMMANDATION 239]
Les ports de médias amovibles devraient
être désactivés lorsque leur utilisation n’est
pas nécessaire. Si le blocage physique n’est
pas possible, le port devrait être désactivé
logiquement.
Par exemple, on pourrait envisager
les mesures suivantes :
- le blocage des ports USB à l’aide
de mécanismes de sécurité
physiques ou logiques, comme les
verrous USB physiques (avec clés)
ou par un logiciel de sécurité
capable de bloquer l’utilisation de
clés USB et autres périphériques ;
- le retrait ou la déconnexion des
lecteurs de médias amovibles.
[DIRECTIVE 240]
La recommandation R.239
devient une directive.
[DIRECTIVE 241]
Un sas doit être mis en place pour échanger
des données avec les systèmes industriels. Il
doit être placé dans une zone maîtrisée. Cet
échange de données est une action ponctuelle
qui doit être encadrée par une procédure.
[RECOMMANDATION 242]
La solution de sas devrait
être labellisée.
CLASSE 3
8
© Copyright - Bertin IT 2015
Recommandations de l’ANSSI (3/3)
Répondre aux exigences de sécurisation quant à la gestion des médias amovibles pour
les SI industriels se résume à :
Garantir une décontamination des périphériques incluant le firmware
Intégrer un système de liste blanche
Permettre une option de type de SAS
Et pour les SI tertiaires, les mesures les plus utilisées:
Bloquer les ports USB : essayez d’en parler au métier et vous aurez un flot de dérogations….
Filtrage par type de média, avec des médias agréés : cher et souvent peu efficace….
Mise en place d’outils de checking des supports USB…
Focus SI Industriel
10
© Copyright - Bertin IT 2015
Analyse des menaces
Identifier et cartographier les SI (zonage)
Caractériser les niveaux de sensibilité
Inventaire des menaces
Couverture par une ou plusieurs mesures
techniques ou organisationnelles
Une même menace couverte différemment
suivant les zones
MESURES
ORGANISATIONNELLES
MESURES
TECHNIQUES
11
© Copyright - Bertin IT 2015
La problématique
PROTECTION ACCÈS
SÉCURITÉ DE
L’INFORMATION
Difficile de trouver le bon équilibre !
12
Mesures
organisationnelles
Interdire l’usage des clés USB ?
Définir une politique d’usage
Recommandations d’usage (ex: clés
USB fournies par l’organisation)
Périmètre d’usage
Traçabilité
Mettre en place des procédures
Sensibilisation / formation des
collaborateurs
13
© Copyright - Bertin IT 2015
Mesures organisationnelles
Sont-elles suffisantes ?
Qu’en est-il de la sous-traitance ?
14
Mesures techniques
Cloisonnement
Désactivation des ports USB
Restrictions logicielles
Listes blanches
Stations blanches
Défense en profondeur
Filtres
15
© Copyright - Bertin IT 2015
Mesures techniques #1
DESACTIVER OU VERROUILLER LES PORTS USB
Protection « physique » maximale
• Coupure des connecteurs
• Désactivation bas niveau (ex : BIOS)
• Bouchons physiques « USB »
La désactivation des ports USB n’est pas toujours possible
(ex : mise à jour automate)
Equipements existants non configurables
Intégrité matérielle et garantie
16
© Copyright - Bertin IT 2015
Recommandations techniques #1
NE PAS EXPOSER DIRECTEMENT LES ÉQUIPEMENTS
SENSIBLES AUX CLÉS USB
Privilégier l’usage d’équipements de neutralisation des menaces USB
autonomes
La solution doit présenter des mesures de protection contre les
attaques matérielles
Support de sortie différent du support d’entrée, « nettoyage » d’une clé
USB techniquement non réaliste
17
© Copyright - Bertin IT 2015
Mesures techniques #2
AGENTS LOGICIELS DE RESTRICTION, ANALYSE, FILTRAGE ET INNOCUITÉ
Paramétrage de l’OS, désactivation de l’exécution de code
Liste blanche des périphériques USB autorisés (modèle, numéro de série…)
Contrôle d’innocuité, un ou plusieurs agents (anti-virus, anti-malware)
Analyse des formats pour détecter des contenus actifs
Nettoyage des charges actives potentiellement dangereuses
(ex : zeroday DRIDEX)
Vitrification
Agents intrusifs sur les équipements
Les équipements sensibles restent exposés directement aux clés USB
OS standards non durcis
Traitements non cloisonnés
Protection limitée (ex : BadUSB)
Le nettoyage des charges actives et la vitrification modifient le contenu
Mises à jour régulières
18
© Copyright - Bertin IT 2015
Recommandations techniques #2
CLOISONNER ET SÉQUENCER LES TRAITEMENTS DE
VÉRIFICATION ET D’ANALYSE
La solution doit mettre en œuvre plusieurs traitements à paramétrer
suivant le cas d’usage
Plusieurs anti-virus et anti-malware
Analyse des formats des fichiers et liste blanche des formats autorisés
Traitements intrusifs :
Nettoyage des contenus potentiellement actifs (macros…)
Vitrification
La solution doit cloisonner les traitements et les séquencer
La solution doit être unidirectionnelle (pas d’exfiltration des données)
19
© Copyright - Bertin IT 2015
Mesures techniques #3
STATION / BOÎTIER DE NEUTRALISATION
Equipements sensibles non directement exposés aux clés USB
Embarque les agents de restriction et d’analyse
Agents logiciels pour assurer l’évolutivité
Mécanismes de protection contre les attaques matérielles
Point névralgique du SI à maîtriser
Solutions uniquement matérielles non évolutives
Mesure organisationnelle indispensable
20
© Copyright - Bertin IT 2015
Recommandations techniques #3
SOLUTION RÉSILIENTE PRÉSENTANT LES CAPACITÉS POUR
REVENIR DANS UN ÉTAT SAIN
Mécanisme de mise à jour sécurisé
Les menaces évoluent
Les besoins aussi
Solutions « tout matériel » restreintes à des cas d’usage figés
Solutions offrant des protections matérielles et des extensions
logicielles paramétrables plus évolutives
21
© Copyright - Bertin IT 2015
Architecture d’un dispositif de neutralisation USB
Plateforme matérielle
Analyse, filtrage,
nettoyage,
vitrification
Guichet
d’entrée
Quarantaine
Guichet de sortie
?
(SFTP, SMTP,
SMB)
22
Des solutions
pour la défense
en profondeur
SÉCURISATION DES POSTES
DE TRAVAIL SENSIBLES (lancement prochain)
Accéder en toute sécurité aux données et
applications sensibles sur un même poste de
travail
NEUTRALISATION DES MENACES USB
Garantir l’innocuité de tout contenu actif importé
dans les systèmes via des périphériques
amovibles
SÉCURISATION DES INTERCONNEXIONS RÉSEAU
Contrôler les interconnexions réseau pour
bloquer et circonscrire les attaques sur les
systèmes
Division de Bertin Technologies
HEAD OFFICE
Parc d’Activités du Pas du Lac
10 bis avenue Ampère
78180 Montigny-le-Bretonneux
T. +33(0)1 39 30 62 50
www.bertin-it.com
BT.
D46.D
B
T.D
46.D