2. 1 Nouvelles menaces 1
2 ICS/SCADA et IoT 9
3 Adaptation des SOCs 14
4 Evaluation d’un SOC 16
5 Le constat sur les SOC 18
6 Modèle opératoire d’un SOC 20
Page
Contents
4. Draft
3 décembre 2015
Acteurs malveillants derrière les menaces
Quelles causes aux incidents ?
De nouveaux attaquants
• Un nombre croissant de hackers isolés à la force de frappe indéniable (ex. Lordfenix),
• Une implication croissante des Etats,
• Des équipes pluridisciplinaires avec une synchronisation professionnelle.
De nouvelles cibles
• Du vol de données à l’indisponibilité des données : les ransomwares sont toujours présents,
• Du vol de données à la compromission d’infrastructures critiques,
- Réseaux (transport, télécom, électricité) et médical.
De nouveaux modes opératoires
• Stratégiques :
- Attaques ne ciblant plus une catégorie de victimes, mais LA victime,
- Attaques complexes (ex. island-hopping : piratage d’une entité tierce avant de remonter vers la cible finale),
• Techniques :
- Développement des ThingBots (ex. vers Linux Darllox pour miner les nouvelles monnaies),
- Cryptographie : découverte de bugs composants (ex. HeartBleed) et attaque d’outils (ex. TrueCrypt),
- Air-gaps : utilisation de canaux cachés (ultrasons, rayonnement magnétique, lumière, etc.).
Section 1 – Nouvelles menaces
Evolution des menaces et adaptation des SOC • Jeudi de l'AFAI
2
5. Draft
3 décembre 2015
Nouvelles menaces, anciens acteurs
• L’évolution des malware
- Les malwares ont connus un enrichissement exponentiel de leurs capacités. Les nouvelles menaces sont représentées
aussi par leurs facultés à :
◦ Cibler de manière précise leurs victimes grâce aux réseaux sociaux et l’ingénierie sociale (ex. la chasse «aux baleines»)
◦ Pouvoir se diffuser sans distinction sur toutes les plateformes (OS, terminaux mobiles, objets connectés de la vie
quotidienne, systèmes de contrôle industriel…)
◦ Evolution des scenarii d’attaque et des vecteurs de diffusion. Par ex. (i) attaque connue vers un cadre exécutif en
ciblant le PC non-sécurisé de son épouse comme vecteur de compromission, (ii) ciblage des smartphones en tant que
portefeuilles virtuels, ou comme moyens d’authentification.
Section 1 – Nouvelles menaces
Evolution des menaces et adaptation des SOC • Jeudi de l'AFAI
Stade
réplicatif
Stade évasif
Stade
pandémique
Stade
destructif
Stade
verrouillage
Capacité à contourner les
mécanismes de détection.
Polymorphisme couplé
avec une gestion
centralisée distante.
Apparition des Etats
comme sponsors des
vecteurs, et des nouvelles
capacités*.
Capacité à se répliquer.
Capacité à verrouiller les
données au lieu de les
détruire.
Stade
expansif
Nouvelles capacités de :
• Ciblage (réseaux sociaux,
ingénierie sociale)
• Diffusion (malwares web
multi-canal, terminaux
mobiles, objets connectés)
*Destruction physique des infrastructures, et surveillance des individus
3
6. Draft
3 décembre 2015
Employé de la banque
Nouvelles menaces, anciens acteurs
• La rencontre des compétences de métiers différents
- Une première forme est la multitude des compétences présentée par les attaquants
◦ Ex: Vol de 1 millard de dollars US par le cybergang Carbanak en 2015
Section 1 – Nouvelles menaces
Evolution des menaces et adaptation des SOC • Jeudi de l'AFAI
Porte dérobée
Carbanak envoyée en
tant que pièce jointe
Vol des informations
d’identification
Message électronique avec
codes d’exploitation
1. Infection
Des centaines de machines infectées
à la recherche de l’ordinateur de l’administrateur
Admin
2. Collecte de renseignements
Interception des écrans des
employés
Pirate
Système de transfert
d’argent
Banque en ligne
L’argent était transféré vers les
comptes des pirates
3. Imitation du personnel
Comment l’argent a été volé
Systèmes de paiement
électroniques
L’argent était envoyé à des banques aux
USA et en Chine
Gonflement des soldes de compte
Les fonds supplémentaires étaient
retirés via une transaction frauduleuse
Contrôle des DAB
Instructions pour donner de l’argent à
une heure prédéterminée
4
7. Draft
3 décembre 2015
Analyse
Avancée
Nouvelles menaces, anciens acteurs
• La rencontre des compétences de métiers différents
- Une autre forme est la collaboration entre les hackers et des groupes d’initiés au sein des métiers ciblés
◦ Ex: Equipe pluridisciplinaire de cyber-attaquants et traders dans le schéma d’insider trading découvert en aout 2015
Section 1 – Nouvelles menaces
Evolution des menaces et adaptation des SOC • Jeudi de l'AFAI
Business Wire
PR Newswire
Marketwired
InvestisseursPirates
Marchés boursiers
Données
financières
Serveurs de fournisseurs
de données financières
via câble
Plus-value
Actions &
Stock-options
Pays de provenance des membres du groupe
1. Piratage des serveurs
et récupération des
données
2. Vente des données
4. Opérations boursières en
se basant sur les données
obtenues
3. Paiement
5. Liquidation des positions et
récupération des plus-values
obtenues
5
8. Draft
3 décembre 2015
Nouveaux horizons
L’Active Directory est toujours une cible de choix
• Au centre de tout l’IT : la compromission des postes de travail implique la compromission de toute ressource accédée
depuis ce poste de travail (même non connectée aux domaines),
• Œil rouge : nouvelles techniques de reconnaissance et d’élévation de privilèges : un domaine compromis = une forêt à
reconstruire,
• Œil bleu : techniques de détection de compromission et contremesures.
• Des techniques de plus en plus sophistiquées et industrialisées…:
- Kerberos Golden Ticket
- Scan SPN pour les comptes de service
- Exploitation des préférences pour les politiques de groupe
• …et qui permettent une persistance furtive
- DSRM (Directory Services Restore Mode) / WMI (Windows Management Instrumentation)
La détection reste un sujet complexe et loin d’être exploré entièrement
• Exploitation des artefacts forensics
- Volatile : réseau (pcap, routes, netstat) / listing des processus / captures RAM / fichier vmem des VMs suspendues…
- Non-volatile :Logs d’évenements / Registre / System info / images disque / fichier VMDK pour les VMs
• Comment identifier les signaux faibles des APT dans les logs AD?
Et surtout…
• Systèmes de Controles Industriels(ICS)/SCADA,
• Objets connectés (IoT).
Section 1 – Nouvelles menaces
Evolution des menaces et adaptation des SOC • Jeudi de l'AFAI
6
9. Draft
3 décembre 2015
Nouveaux horizons
Nouvelles menaces présentées : SMART SAFE, un coffre-fort pas très smart!
Section 1 – Nouvelles menaces
Evolution des menaces et adaptation des SOC • Jeudi de l'AFAI
Le coffre CompuSafe
Galileo de Brinks
Internet
1. Prise de contrôle
avec un malware
dans la clé USB
Ecran tactile
Base de données
avec le log des
opérations
Imprimante
de factures
4. Communication
des opérations au
serveur Brinks
Serveur Brinks
1. Dépôt de billets
3. Impression de
la facture
2. Enregistrement de
l’opération dans le log
Facture
Port USB pour
la maintenance
2. Emulation de
clavier/souris pour
l’ouverture du coffre-fort
3. Récupération
de billets
4. Suppression de
l’opération du log
Coffre-fort
7
10. Draft
3 décembre 2015
Nouveaux horizons
Nouvelles menaces présentées : Applications médicales (ou presque…)
• Comment pirater les Scada humains?
Section 1 – Nouvelles menaces
Evolution des menaces et adaptation des SOC • Jeudi de l'AFAI
Module à radiofréquences
Arduino-TexasInterments
CC1101
Système CGM (Continuous
Glucose Monitoring)
Sonde à radiofréquences
du niveau de glycémie
• Provoquer une hyper/hypoglycémie • Provoquer un arrêt cardiaque
Sonde à radiofréquences
pour les commandes et
mise-à-jour du firmware
1. Décodage du signal radio
(fréquence et code binaire utilisé)
2. Codage du signal radio avec le
faux taux de glycémie
3. Réduction/augmentation de la
quantité d’insuline injectée
Pacemaker
1. Décodage du signal radio
(fréquence et code binaire utilisé)
2. Codage d’un signal de
commande pour l’envoi d’une
tension de 830V, ou envoi d’une
version de mise-à-jour de
firmware contenant un malware.
3. Arrêt cardiaque immédiat, ou à
échéance dans le cas du malware
8
12. Draft
3 décembre 2015
ICS/SCADA : l’architecture
Serveur– Contrôleurs – Capteurs & Actionneurs
Une même architecture pour les nouveaux usages : SmartGRIDs, ICS, IoT
Section 2 – ICS/SCADA et IoT
Evolution des menaces et adaptation des SOC • Jeudi de l'AFAI
Appareils terrainRéseau d’automateRéseau de
Commande et
Contrôle
Historique
Interface homme-
machine
Serveur de contrôle
Automate
Programmable
Industriel (API)
Équipement
terminal distant
(RTU)
Interface
homme-machine
Point de contrôle
Actionneur
Point de
surveillance
Capteur
Point de
contrôle
Actionneur
Point de
surveillance
Capteur
Automate
Programmable
Industriel (API)
10
13. Draft
3 décembre 2015
ICS/SCADA au sens large
De nouvelles compétences pour de nouvelles menaces
Section 2 – ICS/SCADA et IoT
Evolution des menaces et adaptation des SOC • Jeudi de l'AFAI
Hardware
Hacking
Authentication
Authorization
Embedded
OS
(exploitation)
Backend
Attacks
Channel
Hacking
(com protocols)
- Désassemblage d’appareils
• Identification des composants
-Analyse entropique
• Analyse des signaux
- Espionnage des canaux
• Découverte du canal de
Fréquences utilisé
- Test de signal radio
• Vérification de fonctionnement
- Cryptographie
• (Dé)Chiffrement des données
- Rétro-ingénieriede protocoles
• Extraction du protocoleemployé
- Elévation de privilèges
• Prise du rôle administrateur
- Compromission de session
• Vol de session
- Rétro-ingénieriefirmware
- Piratage du noyau
- Failles dans la logique applicative
- Injection de malware
Hardware
Canaux
de
communic
ation
Authentif
ication et
contrôle
d’accès
OS
embarqué Serveur
11
14. Draft
3 décembre 2015
ICS/SCADA : Illustration par un cas réel
• La surveillance physique
- Les systèmes de surveillance physique, omniprésents, ont évolué pour devenir des composants à part
entière des réseaux IT
Section 2 – ICS/SCADA et IoT
Evolution des menaces et adaptation des SOC • Jeudi de l'AFAI
- Le couplage sondes-réseau a donné
naissance au systèmes cyber-
physiques:
◦ Amélioration de la qualité de
protection d’un site
◦ Mais une surface d’attaque agrandie,
avec parfois de lourdes conséquences
Des firmwares
vulnérables
Absence de
logs
Identification de
la sonde par IP
- L’enrichissement des sondes de surveillance mène à:
◦ L’absence des mesures de protection adéquates (reverse proxy,
ségrégation des sondes du réseau interne, mises à jour régulières
du firmware, absence d’information sur l’équipement déployé…)
◦ Leur non prise en compte lors des analyses de risques et des
audits de sécurité IT
◦ Des points d’entrées au réseau vulnérables, et sans aucune
surveillance, et à portée des attaquants qui peuvent se trouver à
l’extérieur des locaux.
12
15. Draft
3 décembre 2015
ICS/SCADA : Illustration par un cas réel
• La surveillance physique
- Pénétration d’un Intranet et récupération de données, impliquant un système de surveillance d'un site moderne
Section 2 – ICS/SCADA et IoT
Evolution des menaces et adaptation des SOC • Jeudi de l'AFAI
Caméra WiFi
Firmware v<11.37.2.49
IP:192.168.3.67
Caméra WiFi
Internet
CVE-2013-2560
Firewall
Intranet
Serveur vidéo
1. Exploitation de la vulnérabilité et accès à l’Intranet
2. Vol des informations d’identification
3. Déploiement de malware
4. Récupération du flux vidéo, FTP, et e-mails
13
16. 3 décembre 2015
Section 3
Evolution des menaces et adaptation des SOC • Jeudi de l'AFAI
14
Adaptation des SOCs
17. Draft
3 décembre 2015
Retour sur le SOC
Section 3 – Adaptation des SOCs
Questions fondamentales :
• Comment évaluer les objectifs du SOC?
• Peut-on maximiser son optimisation?
• Que peut-on (et ne doit-on pas) exiger d’un SOC?
• Quel modèle opératoire définir pour un SOC optimal?
Retour d’expérience et constats:
• Qui possède réellement un SOC actuellement?
• Combien exploitent leur SOC à son potentiel réel?
• Combien de SOC sont accompagnés des experts nécessaires?
• Et combien font l’objet de rapports analytiques réguliers sur les attaques subies?
Evolution des menaces et adaptation des SOC • Jeudi de l'AFAI
Objectifs:
• Le SOC doit permettre la convergence et
la centralisation de toutes les ressources
et les solutions mises en œuvre pour
assurer la sécurité, et la réaction face aux
menaces cyber.
15
18. 3 décembre 2015
Section 4
Evolution des menaces et adaptation des SOC • Jeudi de l'AFAI
16
Evaluation d’un SOC
19. Draft
3 décembre 2015
Evaluation d’un SOC
Section 4 – Evaluation d’un SOC
Principes d’évaluation:
• Confrontation Red team versus Blue team
• Emploi de cas d’usages réalistes
• Identification et réalisation d’un
environnement d’entraînement (réaliste) à la
cyber-défense
Threat intel:
• Modélisation du mode opératoire, des
caractéristiques et des motivations des
attaquants
• Simulation d’attaquants et d’utilisateurs pour
valider les postures défensives
SOC 1
SOC 2
SOC 3
SOC 4
SOC 5
Comment évaluer un SOC:
• Les systèmes de scoring restent incontournables
• Utilisation de menaces présentant des niveaux de furtivité grandissants
• Un score attaché à la capacité du SOC à détecter une menace d’un niveau de furtivité donné
• Identification des rôles et des responsabilités dans les fonctions de sécurité
• Connaissance parfaite des mécanismes de réponse aux incidents et aux détection des attaques avancées
Evolution des menaces et adaptation des SOC • Jeudi de l'AFAI
17
20. 3 décembre 2015
Section 5
Evolution des menaces et adaptation des SOC • Jeudi de l'AFAI
18
Le constat sur les SOC
21. Draft
3 décembre 2015
Le constat sur les SOC
Section 5 – Le constat sur les SOC
Point positifs :
• Une volonté de mieux connaitre les nouvelles menaces
• Des menaces progressant plus rapidement que les technologies des SOCs
• La recherche de l’expertise technique revient sur le devant
• Une expertise humaine réévaluée à sa juste valeur
• Incorporation des avancées technologiques dans le périmètre défensif
Points négatifs :
• Un grand nombre d’acteurs continue de faire une confusion entre SOC et NOC
• Difficulté à maintenir la compétence
• Les profils experts sont souvent chargés avec taches mécaniques et routinières
• Confusion entre avoir un SOC et opérer un SOC
• Le déploiement initial d’un SOC est insuffisant:
• Besoin d’un suivi d’amélioration permanente,
• Garantir la complétude des compétences requises pour l’opérer
• Confiance excessive en les capacités du SOC déployé
• Une évaluation inefficace, basé sur des indicateurs statiques dépourvus de sens opérationnel
Quel modèle opératoire pour un SOC?
Evolution des menaces et adaptation des SOC • Jeudi de l'AFAI
19
22. 3 décembre 2015
Section 6
Evolution des menaces et adaptation des SOC • Jeudi de l'AFAI
20
Modèle opératoire d’un SOC
23. Draft
3 décembre 2015
Modèle opératoire d’un SOC
~100 million d’événements par jour
~50 million de logs corrélés par jour
~100 alertes par jour
~10 alertes
escaladées
par jour
Principes généraux:
• Une veille Cyber efficace et à large ouverture
• Augmentation des capacité d’analyse des logs générés
par les outils de surveillance et les équipements
• Une cartographie des ressources de l’infrastructure, ainsi que
des opérateurs de la chaine du SOC
• Communication entre les trois niveaux composant le SOC:
• Niveau 1 : alertes temps réel
• Niveau 2 : corrélation entre les alertes des sources
multiples
• Niveau 3 : Forensics et découverte des indicateurs de
compromission, un niveau d’importance primordiale
Approches:
• Sur la base de logs (par ex, produits par un SIEM), typologie des comportements et évènements, détection,
filtrage et investigation de signaux faibles et de comportements anormaux, acquisition de connaissances
• Etablissement de graphes de défense, proposition de contre mesures basées sur des correctifs ou de
reconfiguration de politiques de contrôle d’accès ou de flux
• Validation et suivi des politiques de sécurité d’un point de vue opérationnel
• Analyse d’impact métier (contexte : analyse de vulnérabilités), sur la base d’un cas concret
• Convergence des analyses statiques et dynamiques. Définition d’un modèle de données pivot contenant les
informations d’analyse de risque, de topologie technique et des processus métiers.
Evolution des menaces et adaptation des SOC • Jeudi de l'AFAI
Section 6 – Modèle opératoire d’un SOC
21
24. Draft
3 décembre 2015
Analyse
Avancée
Modèle opératoire ciblé d’un SOC
Processus d’implémentation des mécanismes avancées de découverte
• Menaces
Business
• Sécurité,
Fraude,
Opérations
• Partenaires /
Fournisseurs
Rapports
de la Veille
des
Menaces
Sources de
Données des
Applications
de l’Enterprise
• Personnes
• Processus
• Technologie
Mise à jour
des
Contrôles
de Sécurité
• Veille des
Identités
• Cyber-
Surveillance
• Malware / APT
Veille des
Menaces
Exploitable
Maturité et la
capacité de
détecter et de
répondre aux
menaces et
aux attaques
ciblées
Sources de
Données de
l’Infrastructure
Sources de
Données AAA*
Sources de
Données de
l’Infrastructure
de Sécurité
G
e
s
t
i
o
n
d
e
L
o
g
s
Surveillance
temps-réel
Conformité
Amélioration
du Processus
Gestion de
l’Escalade
Gestion des
Incidents
SOC
Tableauxde
bord
RapportsAlertes
• Verrouillage
des Comptes
• Tentatives
d’Accès
• Création de
Ressources
• Evènements
LDAP
• Détections AV
• Alertes IPS/IDS
• Règles de
Firewall
• Alertes DLP
• Surveillance de
l’Intégrité des
Fichiers
• Logons/Logoffs
• Informations
sur les Blogs de
Sécurité
• Scans de
Vulnérabilités
• Tests de
Pénétration
• Liste de
Surveillance
SIEM
Processus de conversion de
l’informationsen provenance de
plusieurs sources en une
surveillance de sécurité
opérationnelle actionnable et
multidimensionnelle
Veille
Extérieure
au Groupe
*Authentication, Authorization, and Accounting
Evolution des menaces et adaptation des SOC • Jeudi de l'AFAI
Section 6 – Modèle opératoire d’un SOC
Correlation
22