Ecole polytechnique fédérale de LausanneSécurité IT : actions en cours et rétrospective 2017 Patrick Saladino / Martin Ouwehand / Alexandre Sutlian

1

Team Secure-IT

P. Saladino M. Ouwehand A. Sutlian N. RepondSécurité (85%)Service Manager (15%)

Sécurité (50%)Mail (50%)

Sécurité (15%)Réseau (85%)

Sécurité (100%)J-F. Dousson

2

RSSI (100%)

Agenda

Mailcleaner Statistiques Mail Cisco ESA (IronPort) Actions 2017/8Solution antispam officielle, n’est plus adaptée face aux menaces actuelles et futures

Combien de messages, légitimes ou non, l’EPFL reçoit-elle chaque année? Pour quels impacts opérationnels?

Présentation rapide du produit Cisco ainsi que du POC mené au Q1 2018

TeqNoSSL, authentification expéditeur mail, SMBv1, Meltdown/Spectre et antivirus

3

MailcleanerService antispam EPFL officiel

Depuis 2003 sur inscription puis généralisé en 2007

PME locale Saint-Sulpice (VD)

Limitations

Filtrage variable Peu adapté au filtrage du phishing et du malware SPAM en langues étrangères peu intercepté

Réactivité du support en baisse4

Statistiques MailMotivations

Vision de bout en bout nécessaire Combien de mails génèrent un incident au 1234

Impact sur temps de travail Des utilisateurs De l’équipe Sécurité

Méthodologie

Séquence complète du mail Serveurs d’entrée (SMTP) > Service desk Volumétrie contextuelle

5

Statistiques Mail (1/3)Transport

6

MTA Pool (DNS MX records)

SpamHaus (local DNS cache)

Blacklists (~/admin/in/*)Pattern-based

(ClamAV)Désactivé

checkMessage.plContent-based + sender verification

IP Filter (local)

Angelmatophylax (MTA)

Reporting(Sends attachments metadata to WS)

158'000 emails

188'500 emails

Qmail (MTA)

147 million emails (100%)

33,8 millionemails (22%)

Statistiques Mail (2/3)MailCleaner

7

MailCleaner Pool

TrustedSourcesSPF – Sender Policy Framework

NIceBayesBayesian filtering

ClamSpamClamAV + SPAM signatures

PreRBLReal-time Blackhole Lists

UriRBLReal-time Blackhole Lists

SpamControlSpam[Haus,Cop] + DKIM + DCC

Newsletters module

EXIM (MTA)

4'732'000 emails (14% of input)

33,8 million emails (22%)

29 millionemails (19,8%)

Statistiques Mail (3/3)Stockage

8

Exchange (Storage & access)Windows-based clientsOther clients

MTA

Exchange Backend (storage)

POP3S

Exchange Frontend

IMAPS MAPI/AS

McAfee145'000 threats

(dangerous attachments)

2400 incidents91 man-days

29 million emails (19,8%)

Statistiques MailConclusions

Situation sécuritaire pas assez maîtrisée Malgré sensibilisation Malgré filtres/AV Vecteur principal de menaces

Mobilisation ressources Secure-IT Evitable si meilleur filtrage en amont

Insatisfaction des utilisateurs finaux

Nécessité d’un antispam/malware performant

9

Cisco Email Security Appliance-ESA (IronPort)Présentation

Rachat de la technologie de IronPort Systems en 2007 IronPort AntiSpam

Leader du marché Très efficace contre le malware et le phishing Appliance de sandboxing pour malware inconnus

10

Cisco Email Security Appliance-ESA (IronPort)POC

Tests menés durant Q1 2018 Résultats très positifs

Acquisition de la solution Q2 2018 Mise en production Q3 (juillet – août)

11

Actions 2017/8Authentification expéditeur mail EPFL

Garantir que l’expéditeur est bien le ‘vrai’ correspondant Adresse email EPFL correspond usr/pwd annuaire ? Doit fonctionner pour les adresses techniques Implique quelques modifications pour certains clients

mail - Gmail et Thunderbird principalement

12

Actions 2017/8TeqNoSSL

Contrôle d’accès Tequila Basé sur des critères (ID,

rattachement, rôle, droits…) Solution SSO pour le Web

Applications en HTTP Trafic non chiffré…qui contient le

‘secret’ applicatif Interception difficile mais possible

Remédiation Imposition de HTTPS

Application XYZ

Tequila

2.

4.

1.johndoe

?appkey=540a42liysZx5.

6.

‘I am johndoe’

3.

13

Actions 2017/8SMBv1 (Samba)

Protocole de partage de ressources ‘legacy’ OS obsolètes vers NAS (compatibilité) Vulnérable à l’exploit « Eternal Blue » (NSA) Exploité par des pirates > répercutions mondiales

• Ransomware Wannacry, Wannacrypt, etc.

Réaction immédiate obligatoire Communication interne et RP Coordination avec le CSI Suppression SMBv1 client, limitation côté host/NAS Scan de vulnérabilité ‘campus wide’ et corrections

14

Actions 2017/8Spectre/Meldown

Vulnérabilités touchant le cœur du traitement processeur 5 variantes (2 nouvelles publiées en mai 2018) Nouvelle ‘classe’ de failles

• Architecture processeur «speed vs security» Remédiation complexe…et risquée (‘brick’ HW)

Mise en place d’un guide interne évolutif Classé par variante et par OS/application/device Recommandations par Secure-IT

https://wiki.epfl.ch/secure-it/meltdown-spectre

15

Actions 2017/8Migration infrastructure antivirus

Clé publiqueZEUS + cert

Clé privéeZEUS

MSSQL natif

HTTPS

Clés publiquesARES & ZEUS

+ certificat

MSSQL s/SSL

HTTPS

ClientsInternes

Clé privéeZEUS

Synchro clients déplacés

Stratégies, tâches et règles de tri

Infra ePO 5.3 (physique) ZEUS.epfl.ch

Infra ePO 5.9 (VM) ARES.epfl.ch

MSSQL2008

MSSQL2016

ePO 5.3 ePO 5.9

~7000 clients

Clé privéeARES

ePO 5.9

Agent Handler ePO 5.9 (VM) ARES-AH.epfl.ch

Clé privéeARES Clients

Externes

MSSQL s/SSL

HTTPS

DIODE

16

Actions 2017/8Q/A

?17