Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC

Business Unit

Evolution des menaces et adaptation des SOC Jeudi de l'AFAI à Dauphine

3 décembre 2015

1 Nouvelles menaces 1

2 ICS/SCADA et IoT 9

3 Adaptation des SOCs 14

4 Evaluation d’un SOC 16

5 Le constat sur les SOC 18

6 Modèle opératoire d’un SOC 20

Page

Contents

PwC

3 décembre 2015

1

Evolution des menaces et adaptation des SOC • Jeudi de l'AFAI

Section 1 Nouvelles menaces

Draft

3 décembre 2015

Acteurs malveillants derrière les menaces Quelles causes aux incidents ?

De nouveaux attaquants

• Un nombre croissant de hackers isolés à la force de frappe indéniable (ex. Lordfenix),

• Une implication croissante des Etats,

• Des équipes pluridisciplinaires avec une synchronisation professionnelle.

De nouvelles cibles

• Du vol de données à l’indisponibilité des données : les ransomwares sont toujours présents,

• Du vol de données à la compromission d’infrastructures critiques,

- Réseaux (transport, télécom, électricité) et médical.

De nouveaux modes opératoires

• Stratégiques :

- Attaques ne ciblant plus une catégorie de victimes, mais LA victime,

- Attaques complexes (ex. island-hopping : piratage d’une entité tierce avant de remonter vers la cible finale),

• Techniques :

- Développement des ThingBots (ex. vers Linux Darllox pour miner les nouvelles monnaies),

- Cryptographie : découverte de bugs composants (ex. HeartBleed) et attaque d’outils (ex. TrueCrypt),

- Air-gaps : utilisation de canaux cachés (ultrasons, rayonnement magnétique, lumière, etc.).

Section 1 – Nouvelles menaces


2

Draft

3 décembre 2015

Nouvelles menaces, anciens acteurs • L’évolution des malware

- Les malwares ont connus un enrichissement exponentiel de leurs capacités. Les nouvelles menaces sont représentées aussi par leurs facultés à :

◦ Cibler de manière précise leurs victimes grâce aux réseaux sociaux et l’ingénierie sociale (ex. la chasse «aux baleines»)

◦ Pouvoir se diffuser sans distinction sur toutes les plateformes (OS, terminaux mobiles, objets connectés de la vie quotidienne, systèmes de contrôle industriel…)

◦ Evolution des scenarii d’attaque et des vecteurs de diffusion. Par ex. (i) attaque connue vers un cadre exécutif en ciblant le PC non-sécurisé de son épouse comme vecteur de compromission, (ii) ciblage des smartphones en tant que portefeuilles virtuels, ou comme moyens d’authentification.



Stade réplicatif

Stade évasif Stade

pandémique Stade

destructif

Stade verrouillage

Capacité à contourner les mécanismes de détection.

Polymorphisme couplé avec une gestion centralisée distante.

Apparition des Etats comme sponsors des vecteurs, et des nouvelles capacités*.

Capacité à se répliquer.

Capacité à verrouiller les données au lieu de les détruire.

Stade expansif

Nouvelles capacités de :

• Ciblage (réseaux sociaux,

ingénierie sociale)

• Diffusion (malwares web multi-canal, terminaux mobiles, objets connectés)

*Destruction physique des infrastructures, et surveillance des individus 3

Draft

3 décembre 2015

Employé de la banque

Nouvelles menaces, anciens acteurs • La rencontre des compétences de métiers différents

- Une première forme est la multitude des compétences présentée par les attaquants

◦ Ex: Vol de 1 millard de dollars US par le cybergang Carbanak en 2015



Porte dérobée Carbanak envoyée en tant que pièce jointe

Vol des informations d’identification

Message électronique avec codes d’exploitation

1. Infection

Des centaines de machines infectées

à la recherche de l’ordinateur de l’administrateur

Admin

2. Collecte de renseignements

Interception des écrans des employés

Pirate

Système de transfert d’argent

Banque en ligne L’argent était transféré vers les

comptes des pirates

3. Imitation du personnel

Comment l’argent a été volé

Systèmes de paiement électroniques

L’argent était envoyé à des banques aux USA et en Chine

Gonflement des soldes de compte Les fonds supplémentaires étaient

retirés via une transaction frauduleuse

Contrôle des DAB Instructions pour donner de l’argent à

une heure prédéterminée

4

Draft

3 décembre 2015

Analyse Avancée

Nouvelles menaces, anciens acteurs • La rencontre des compétences de métiers différents

- Une autre forme est la collaboration entre les hackers et des groupes d’initiés au sein des métiers ciblés

◦ Ex: Equipe pluridisciplinaire de cyber-attaquants et traders dans le schéma d’insider trading découvert en aout 2015



Business Wire

PR Newswire

Marketwired

Investisseurs Pirates Marchés boursiers

Données financières

Serveurs de fournisseurs de données financières via câble

Plus-value

Actions &

Stock-options

Pays de provenance des membres du groupe

1. Piratage des serveurs et récupération des

données

2. Vente des données

4. Opérations boursières en se basant sur les données

obtenues

3. Paiement

5. Liquidation des positions et récupération des plus-values

obtenues

5

Draft

3 décembre 2015

Nouveaux horizons

L’Active Directory est toujours une cible de choix

• Au centre de tout l’IT : la compromission des postes de travail implique la compromission de toute ressource accédée depuis ce poste de travail (même non connectée aux domaines),

• Œil rouge : nouvelles techniques de reconnaissance et d’élévation de privilèges : un domaine compromis = une forêt à reconstruire,

• Œil bleu : techniques de détection de compromission et contremesures.

• Des techniques de plus en plus sophistiquées et industrialisées…:

- Kerberos Golden Ticket

- Scan SPN pour les comptes de service

- Exploitation des préférences pour les politiques de groupe

• …et qui permettent une persistance furtive

- DSRM (Directory Services Restore Mode) / WMI (Windows Management Instrumentation)

La détection reste un sujet complexe et loin d’être exploré entièrement

• Exploitation des artefacts forensics

- Volatile : réseau (pcap, routes, netstat) / listing des processus / captures RAM / fichier vmem des VMs suspendues…

- Non-volatile :Logs d’évenements / Registre / System info / images disque / fichier VMDK pour les VMs

• Comment identifier les signaux faibles des APT dans les logs AD?

Et surtout…

• Systèmes de Controles Industriels(ICS)/SCADA,

• Objets connectés (IoT).



6

Draft

3 décembre 2015

Nouveaux horizons Nouvelles menaces présentées : SMART SAFE, un coffre-fort pas très smart!



Le coffre CompuSafe Galileo de Brinks

Internet

1. Prise de contrôle avec un malware dans la clé USB

Ecran tactile

Base de données avec le log des

opérations

Imprimante de factures

4. Communication des opérations au serveur Brinks

Serveur Brinks

1. Dépôt de billets

3. Impression de la facture

2. Enregistrement de l’opération dans le log

Facture

Port USB pour la maintenance

2. Emulation de clavier/souris pour l’ouverture du coffre-fort

3. Récupération de billets

4. Suppression de l’opération du log

Coffre-fort

7

Draft

3 décembre 2015

Nouveaux horizons Nouvelles menaces présentées : Applications médicales (ou presque…)

• Comment pirater les Scada humains?



Module à radiofréquences Arduino-Texas Interments CC1101

Système CGM (Continuous Glucose Monitoring)

Sonde à radiofréquences du niveau de glycémie

• Provoquer une hyper/hypoglycémie

• Provoquer un arrêt cardiaque

Sonde à radiofréquences pour les commandes et mise-à-jour du firmware

1. Décodage du signal radio (fréquence et code binaire utilisé)

2. Codage du signal radio avec le faux taux de glycémie

3. Réduction/augmentation de la quantité d’insuline injectée

Pacemaker

1. Décodage du signal radio (fréquence et code binaire utilisé)

2. Codage d’un signal de commande pour l’envoi d’une tension de 830V, ou envoi d’une version de mise-à-jour de firmware contenant un malware.

3. Arrêt cardiaque immédiat, ou à échéance dans le cas du malware

8

PwC

3 décembre 2015


Section 2 ICS/SCADA et IoT

9

Draft

3 décembre 2015

ICS/SCADA : l’architecture Serveur– Contrôleurs – Capteurs & Actionneurs Une même architecture pour les nouveaux usages : SmartGRIDs, ICS, IoT

Section 2 – ICS/SCADA et IoT


Appareils terrain Réseau d’automate Réseau de

Commande et

Contrôle

Historique

Interface homme-machine

Serveur de contrôle

Automate Programmable Industriel (API)

Équipement terminal distant

(RTU)

Interface homme-machine

Point de contrôle

Actionneur

Point de

surveillance

Capteur

Point de contrôle

Actionneur

Point de surveillance

Capteur

Automate Programmable Industriel (API)

10

Draft

3 décembre 2015

ICS/SCADA au sens large De nouvelles compétences pour de nouvelles menaces



HardwareHacking

Authentication Authorization

EmbeddedOS

(exploitation)BackendAttacks

ChannelHacking

(com protocols)

- Désassemblage d’appareils • Identification des composants

- Analyse entropique • Analyse des signaux - Espionnage des canaux • Découverte du canal de

Fréquences utilisé

- Test de signal radio • Vérification de fonctionnement

- Cryptographie • (Dé)Chiffrement des données

- Rétro-ingénierie de protocoles • Extraction du protocole employé

- Elévation de privilèges • Prise du rôle administrateur

- Compromission de session • Vol de session

- Rétro-ingénierie firmware - Piratage du noyau - Failles dans la logique applicative - Injection de malware

Hardware

Canaux

de

communic

ation

Authentif

ication et

contrôle

d’accès

OS

embarqué Serveur

11

Draft

3 décembre 2015

ICS/SCADA : Illustration par un cas réel • La surveillance physique

- Les systèmes de surveillance physique, omniprésents, ont évolué pour devenir des composants à part entière des réseaux IT



- Le couplage sondes-réseau a donné naissance au systèmes cyber-physiques:

◦ Amélioration de la qualité de protection d’un site

◦ Mais une surface d’attaque agrandie, avec parfois de lourdes conséquences

Des firmwares

vulnérables

Absence de logs

Identification de la sonde par IP

- L’enrichissement des sondes de surveillance mène à:

◦ L’absence des mesures de protection adéquates (reverse proxy, ségrégation des sondes du réseau interne, mises à jour régulières du firmware, absence d’information sur l’équipement déployé…)

◦ Leur non prise en compte lors des analyses de risques et des audits de sécurité IT

◦ Des points d’entrées au réseau vulnérables, et sans aucune surveillance, et à portée des attaquants qui peuvent se trouver à l’extérieur des locaux.

12

Draft

3 décembre 2015

ICS/SCADA : Illustration par un cas réel • La surveillance physique

- Pénétration d’un Intranet et récupération de données, impliquant un système de surveillance d'un site moderne



Caméra WiFi

Firmware v<11.37.2.49

IP:192.168.3.67

Caméra WiFi

Internet

CVE-2013-2560

Firewall

Intranet

Serveur vidéo

1. Exploitation de la vulnérabilité et accès à l’Intranet

2. Vol des informations d’identification

3. Déploiement de malware

4. Récupération du flux vidéo, FTP, et e-mails

13

3 décembre 2015

Section 3


14

Adaptation des SOCs

Draft

3 décembre 2015

Retour sur le SOC

Section 3 – Adaptation des SOCs

Questions fondamentales :

• Comment évaluer les objectifs du SOC? • Peut-on maximiser son optimisation? • Que peut-on (et ne doit-on pas) exiger d’un SOC? • Quel modèle opératoire définir pour un SOC optimal?

Retour d’expérience et constats:

• Qui possède réellement un SOC actuellement? • Combien exploitent leur SOC à son potentiel réel? • Combien de SOC sont accompagnés des experts nécessaires? • Et combien font l’objet de rapports analytiques réguliers sur les attaques subies?


Objectifs:

• Le SOC doit permettre la convergence et la centralisation de toutes les ressources et les solutions mises en œuvre pour assurer la sécurité, et la réaction face aux menaces cyber.

15

3 décembre 2015

Section 4


16

Evaluation d’un SOC

Draft

3 décembre 2015

Evaluation d’un SOC

Section 4 – Evaluation d’un SOC

Principes d’évaluation: • Confrontation Red team versus Blue team • Emploi de cas d’usages réalistes • Identification et réalisation d’un

environnement d’entraînement (réaliste) à la cyber-défense

Threat intel:

• Modélisation du mode opératoire, des caractéristiques et des motivations des attaquants

• Simulation d’attaquants et d’utilisateurs pour valider les postures défensives

SOC 1

SOC 2

SOC 3

SOC 4

SOC 5

Comment évaluer un SOC: • Les systèmes de scoring restent incontournables

• Utilisation de menaces présentant des niveaux de furtivité grandissants • Un score attaché à la capacité du SOC à détecter une menace d’un niveau de furtivité donné

• Identification des rôles et des responsabilités dans les fonctions de sécurité • Connaissance parfaite des mécanismes de réponse aux incidents et aux détection des attaques avancées


17

3 décembre 2015

Section 5


18

Le constat sur les SOC

Draft

3 décembre 2015

Le constat sur les SOC

Section 5 – Le constat sur les SOC

Point positifs : • Une volonté de mieux connaitre les nouvelles menaces

• Des menaces progressant plus rapidement que les technologies des SOCs

• La recherche de l’expertise technique revient sur le devant • Une expertise humaine réévaluée à sa juste valeur • Incorporation des avancées technologiques dans le périmètre défensif

Points négatifs :

• Un grand nombre d’acteurs continue de faire une confusion entre SOC et NOC • Difficulté à maintenir la compétence

• Les profils experts sont souvent chargés avec taches mécaniques et routinières • Confusion entre avoir un SOC et opérer un SOC

• Le déploiement initial d’un SOC est insuffisant: • Besoin d’un suivi d’amélioration permanente, • Garantir la complétude des compétences requises pour l’opérer

• Confiance excessive en les capacités du SOC déployé • Une évaluation inefficace, basé sur des indicateurs statiques dépourvus de sens opérationnel

Quel modèle opératoire pour un SOC?


19

3 décembre 2015

Section 6


20

Modèle opératoire d’un SOC

Draft

3 décembre 2015

Modèle opératoire d’un SOC

~100 million d’événements par jour

~50 million de logs corrélés par jour

~100 alertes par jour

~10 alertes

escaladées

par jour

Principes généraux: • Une veille Cyber efficace et à large ouverture • Augmentation des capacité d’analyse des logs générés par les outils de surveillance et les équipements • Une cartographie des ressources de l’infrastructure, ainsi que

des opérateurs de la chaine du SOC • Communication entre les trois niveaux composant le SOC:

• Niveau 1 : alertes temps réel • Niveau 2 : corrélation entre les alertes des sources

multiples • Niveau 3 : Forensics et découverte des indicateurs de

compromission, un niveau d’importance primordiale Approches: • Sur la base de logs (par ex, produits par un SIEM), typologie des comportements et évènements, détection,

filtrage et investigation de signaux faibles et de comportements anormaux, acquisition de connaissances

• Etablissement de graphes de défense, proposition de contre mesures basées sur des correctifs ou de reconfiguration de politiques de contrôle d’accès ou de flux

• Validation et suivi des politiques de sécurité d’un point de vue opérationnel

• Analyse d’impact métier (contexte : analyse de vulnérabilités), sur la base d’un cas concret

• Convergence des analyses statiques et dynamiques. Définition d’un modèle de données pivot contenant les informations d’analyse de risque, de topologie technique et des processus métiers.


Section 6 – Modèle opératoire d’un SOC

21

Draft

3 décembre 2015

Analyse Avancée

Modèle opératoire ciblé d’un SOC Processus d’implémentation des mécanismes avancées de découverte

• Menaces Business

• Sécurité, Fraude, Opérations

• Partenaires / Fournisseurs

Rapports de la Veille

des Menaces

Sources de Données des Applications

de l’Enterprise

• Personnes • Processus • Technologie

Mise à jour des

Contrôles de Sécurité

• Veille des Identités

• Cyber-Surveillance

• Malware / APT

Veille des Menaces

Exploitable

Maturité et la capacité de

détecter et de répondre aux

menaces et aux attaques

ciblées

Sources de Données de

l’Infrastructure

Sources de Données AAA*

Sources de Données de

l’Infrastructure de Sécurité

G

e

s

t

i

o

n

d

e

L

o

g

s

Surveillance temps-réel

Conformité

Amélioration du Processus

Gestion de l’Escalade

Gestion des Incidents

SOC

Ta

blea

ux

de

bo

rd

Ra

pp

orts

Alertes

• Verrouillage des Comptes

• Tentatives d’Accès

• Création de Ressources

• Evènements LDAP

• Détections AV • Alertes IPS/IDS • Règles de

Firewall • Alertes DLP • Surveillance de

l’Intégrité des Fichiers

• Logons/Logoffs

• Informations sur les Blogs de Sécurité

• Scans de Vulnérabilités

• Tests de Pénétration

• Liste de Surveillance

SIEM

Processus de conversion de l’informations en provenance de

plusieurs sources en une surveillance de sécurité

opérationnelle actionnable et multidimensionnelle

Veille Extérieure au Groupe

*Authentication, Authorization, and Accounting


Section 6 – Modèle opératoire d’un SOC

Correlation

22

Technology

Jeudi de l AFAI - Evolutions des menaces et adaptation des SOC