Rapport des Menaces pour le Quatrième Trimestre 2011

janvier 25, 2012 par Laisser un commentaire

Cisco Security Intelligence Operation (SIO) a permis la réalisation de ce rapport en synthétisant les évolutions des menaces sur les problématiques Web et Mail.

Les principaux métriques publiés dans ce rapport sont:

  • Une moyenne de 339 malwares web par mois et par les utilisateurs a été constatée au cours du quatrième trimestre 2011
  • La moyenne par mois des malware web par utilisateurs sur l’année 2011 s’élève à 362
  • Septembre, avec 698 malwares web par utilisateur, et Octobre, avec 697 malwares par utilisateur, ont été les deux mois les plus actifs en termes de visibilité des menaces
  • En moyenne, 20,141 hôtes uniques de malware web ont été découverts par mois, en forte augmentation par rapport à 2010 où la moyenne s’établissait “seulement” à 14,217
  • Durant le quatrième trimestre 2011, 33% des malwares découverts étaient de type “0-day” et n’était donc pas détectable par les technologies traditionnelles à base de signature.
  • Le taux d’attaques par SQL injection est resté constant avec une légère décroissance au fur et à mesure que le trimestre progressait
  • Les attaques par déni de services ont continué à progresser
  • Le volume global du spam à continuer à décliner sur l’ensemble de l’année

Le rapport ainsi que les précédentes publications de sécurité peuvent être dorénavant consultés sur le portail de SIO  avec l’ensemble des alertes et analyses déjà présentes.

Classé dans Sécurité Tag(s) associé(s): , , , , ,

La vie après Anonymous : Interview d’un ancien membre

septembre 14, 2011 par Laisser un commentaire

Il y a quelques semaines, un hacker du groupe des anonymous quittait l’organisation suite à un certain nombre de désaccords avec l’orientation prise lors des dernières actions (pour plus de détails, vous pouvez vous reporter à cet article). Suite à l’annonce de son départ sur un compte twitter, un membre du Cisco SIO a eu l’occasion d’échanger avec lui afin de mieux cerner son profil et ses motivations. Pas de sensationnel, mais un parcours somme toute classique.


JL: Can you tell us a little bit about your background?

SparkyBlaze: Well, I am from Manchester. I went through school not caring… my teachers always said I knew the stuff but I couldn’t be bothered to do anything. They were right, as nothing interested me. I am only hard-working if I am passionate about something, like computers. I went through my childhood bored as hell till I found computers. I love things like Defcon and hacker conferences and talking to other hackers. I love managing servers (and making sure they are secure).I am white, in my 20′s and planning on moving to America to study computing and ethical hacking (I think it is best if they don’t know about me and anon ;D). I plan to live there as I have always wanted to. I love guns also, but it is mostly illegal in Britain and there are no ranges to shoot on.

JL: How did you get into computers and security?

SparkyBlaze: I got into computers as I grew up around them. I like physical security and just applied my interest to computers. Then I started to learn about firewalls and exploits… things like that.

JL: And how did you get hooked up with Anonymous?

SparkyBlaze: Well I got into Anonymous like most people there. I love hacking and I believe in things such as  free speech. I came across a page on Anonymous and was interested in them so I just started hanging out in IRC with them and it went from there.

JL: What are your thoughts on hacktivism?

SparkyBlaze: Hacktivism is an interesting subject. I love hacking and I believe in free speech and anti-censorship, so putting both together was easy for me. I feel that it is ok if you are attacking the governments. Getting files and giving them to WikiLeaks, that sort of thing, that does hurt governments. But putting user names and passwords on a pastebin doesn’t [impact governments], and posting the info of the people you fight for is just wrong.

JL: How do you think the rest of the world views hackers?

SparkyBlaze: Hackers and computer savvy people are just frowned upon. Hackers are the big, bad wolf and computer savvy people need to “get out of there basement.” Most people don’t know what hacking is, they use the same passwords everywhere and don’t use antivirus/firewalls. For them it’s an “out of the box” Windows install with IE7. This is the issue with people nowadays; they don’t understand the importance of computers and computer security.

JL: What is your take on the current status of the security industry?

SparkyBlaze: Information security is a mess, like I have just mentioned. Companies don’t want to spend the time/money on computer security because they don’t think it matters. They don’t encrypt the data nor do they get the right software, hardware and people required to stay secure. They don’t train their staff not to open attachments from people they don’t know. The problem isn’t the software/hardware being used… it is the people using it. You need to teach these companies why they need a good information security policy.

JL: What are some of the biggest challenges you see out there?

SparkyBlaze: In my mind social engineering is the biggest issue today. We have the software/hardware to defend buffer overflows, malware, DDoS and code execution. But what good is that if you can get someone to give you their password or turn off the firewall because you say you are Greg from computer maintenance just doing testing. It all comes down to lies, everyone does it and some people get good at it.

JL: So what sort of advice would you give enterprises and other organizations out there as they grapple with security-related issues?

SparkyBlaze: Here’s the advice I would give to companies:

  • Deploy defense-in-depth
  • Use a strict information security policy
  • Have regular audits of your security by an outside firm
  • Use IDS or IPS
  • Teach your staff about information security
  • Teach your staff about social engineering
  • Keep your software and hardware up to date
  • Watch security sites for news on computer security and learn what the new attacks are
  • Let your sysadmins go to defcon ;D
  • Get good sysadmins who understand security
  • Encrypt your data (something like AES-256)
  • Use spam filters
  • Keep an eye on what information you are letting out into the public domain
  • Use good physical security. What good is all the [security] software if someone could just walk in and take [your “secure” systems]?

JL: What kind of advice would you have for young folks who are interested in working in security?

SparkyBlaze: Stay away from black hat hacking. White hat hacking is a lot more fun, you get paid for it, it is legal. A conviction for hacking and leaking a database will affect you for the rest of your life.For example:  You go for a job and it is down to you and someone else. You both have the same qualifications and are good at what you do. They do a background check on both of you… his is clean, yours says you hacked a server and put all the data online… Who will they give the job? It won’t be you.



Classé dans Sécurité Tag(s) associé(s): , , ,

Le rapport sécurité Cisco portant sur le 2ème trimestre 2011 est sorti

août 3, 2011 par 1 Commentaire

A l’URL suivant, vous pourrez télécharger le nouveau rapport de sécurité Cisco: Cisco 2Q11 Global Threat Report

 

Outre une discussion des plus intéressantes sur les APT par Gavin Reid, Cisco CSIRT Manager, les principaux indicateurs issus de ce rapport sont les suivants:

  • Le nombre d’instances uniques  de malwares a plus que doublé passant de 105,536 en Mars 2011 à 287,298 en Juin 2011
  • Le nombre moyen d’attaques subies par entreprise est de 335 par mois avec des pics à plus de 450 pour Mars et Avril
  • D’un point de vue profile, ce sont les entreprises entre 5,000 et 10,000 employés, ainsi que celles à plus de 25,000 employés, qui sont le plus exposé
  • Les outils tels que les IPS/IDS, ou ceux basés sur NetFlow, peuvent fournir de bons systèmes d’alertes rapides et d’aide à l’analyse d’attaque
  • Les attaques par Brute-Force SQL ont augmenté de manière significative, en corrélation avec les pics d’attaques par SQL Injection, amenant à des pertes de données[note du rédacteur: notamment celles dont la presse a fait echo]
  • Les traces IPS sur les évènements DoS ont montré une augmentation significative
  • Le volume global du spam est resté constant au cours du 1er semestre avec une légère décroissance au cours du 2nd trimestre 2011.
  • Le volume de phishing issu du volume total de spam est, lui, en augmentation au 2nd trimestre 2011, représentant jusqu’à 4% du volume de Spam en Mai.

 

L’ensemble des rapports sécurité de Cisco sont disponibles à: Rapports de Sécurité Cisco





                


                

					

						Classé dans Non classé
						Tag(s) associé(s): , , , 					

                


            


        
            


           		


                    
Cisco SecureX Files: Driveby Web Exploits


                    

                        

                        	juillet 6, 2011
                        		                        	par 
                        	                        	Laisser un commentaire
                        	                        

                    


                    
Expliquer simplement les menaces, c’est l’objectif d’une série de vidéos YouTube créées par deux chercheurs du Cisco SIO. Et parmi les épisodes déjà créés, il y a celui sur les infections web du type driveby downloads, qui est une des menaces les plus courantes, prégnantes, et dangereuses.


Une vulgarisation simple et efficace, bien évidemment en anglais, que je vous invite à partager !





                


                

					

						Classé dans Sécurité
						Tag(s) associé(s): , , , 					

                


            


        
            


           		


                    
Que retenir du Q1 Security Report ?


                    

                        

                        	juin 20, 2011
                        		                        	par 
                        	                        	Laisser un commentaire
                        	                        

                    


                    
Avec son équipe de 500 personnes, plus de 5 milliards de requêtes web traitées quotidiennement, ses statistiques sur 35% de l’email mondial, les équipes Cisco SIO sont idéalement positionnées pour avoir une vue temps réel des menaces.


Chaque trimestre, l’équipe publie un rapport – concis et finalement très digeste – sur l’état des menaces. Voici quelques éléments clés tirés du rapport Q1 (Jan-Mar 2011) :


    

  • Le nombre d’instances uniques de malware Web augmente de 46% entre janvier et mars 2011, et de 100% si on compare mars 2011 à mars 2010. Plus concrètement, si on regarde les clients protégés par l’offre SaaS Web ScanSafe, cela donne une moyenne de 274 malware par mois par client protégé…
    • 

  •  16% des malware sont croisés lors de l’utilisation de moteurs de recherche ou du webmail
    • 

  • Le “likejacking” facebook commence à devenir très à la mode, et représente 6% du malware web (contre 0,5% l’an dernier)
    • 

  • Côté exploitation de vulnérabilité réseau, on ne change pas le podium : les tentatives d’injection SQL restent l’événement le plus remonté, et les “anciens” vers sont toujours présents…
    • 



Nous reviendrons sur le problème du SPAM dans un prochain post, car il mérite à lui tout seul d’y passer un peu de temps : En effet, le volume global de SPAM commence à diminuer, au profit de campagnes d’attaques beaucoup plus sophistiquées et ciblées. Nous évoquerons donc bientôt les outils que Cisco met en place dans ses solutions de sécurité email (ESA) pour adresser cet enjeu clé.


L’intégralité du rapport est ici.




                


                

					

						Classé dans Sécurité
						Tag(s) associé(s): , , , 					

                


            


        
            


           		


                    
Night Dragron


                    

                        

                        	février 17, 2011
                        		                        	par 
                        	                        	Laisser un commentaire
                        	                        

                    


                    
Vous avez peut-être lu dans la presse spécialisée un article sur une série d’attaques ciblant les entreprises du domaine de l’énergie baptisée “night dragon”. Opérée depuis 2009, ces attaques informatiques en provenance de Chine contre les grands groupes énergétiques occidentaux n’utilisent pas de nouvelles techniques d’attaques mais une collection d’outils (social engineering, exploitation de vulnérabilité,…) qui démontrent :


- Que la problématique de l’espionnage industriel est réelle et tangible


- Que le secteur de l’énergie est une cible privilégiée -


Que les techniques de protection ne sont pas toujours en place (IPS, filtrage des botnets, réputation…)


Si vous voulez avoir plus d’infos, car malheureusement mon agenda ne me permet pas de rédiger un article complet sur le sujet, un petit coup de google (ou bing) vous conduira vers une analyse plus détaillée….




                


                

					

						Classé dans Sécurité
						Tag(s) associé(s): , 					

                


            


        
            


           		


                    
Un vrai Tohu-Bohu !


                    

                        

                        	janvier 28, 2011
                        		                        	par 
                        	                        	Laisser un commentaire
                        	                        

                    


                    
Difficile d’échapper à l’information qui s’étale en gros titres depuis hier sur tous les sites spécialisés : Le premier Virus “cloud” de l’histoire, portant le nom de Bohu, vient de faire son apparition sur la toile. Si toutefois l’information vous avait échappé, vous pouvez trouver plus de détails ici et . Il est bien évidemment légitime de s’intéresser fortement à Bohu, puisque le premier élément qui vient à l’esprit lorsque l’on parle de cloud, c’est la sécurité.


D’où le buzz autour de Bohu. Maintenant, si on regarde la réalité plus en détail,  il est possible d’en tirer quelques éléments intéressants, tant en minorant le “fantasme” autour de ce malware.


Bohu impacte et brouille l’antivirus installé sur un PC, en empêchant l’accès au site du vendeur qui fournit les mises à jour et l’analyse “cloud-based” : Ce n’est pas quelque chose de nouveau, vue que la majorité des malwares actuels tentent de bloquer les mises à jour des antivirus, pour éviter leur détection. La nouveauté vient du fait que Bohu touche des antivirus “cloud-based” dont le fonctionnement “pseudo-cloud” nécessite de renvoyer l’élément à analyser sur le serveur du fournisseur d’anti-virus.


Bohu n’impacte pas les services cloud tels que ScanSafe, mais cela démontre l’importance d’avoir un véritable service de sécurité cloud, ne reposant pas sur le desktop pour tout ou partie de l’analyse. Une solution qui nécessite que le malware arrive (du cloud Internet) sur le PC qui va aider à s’en protéger en le renvoyant dans le cloud n’est pas adaptée aux menaces d’aujourd’hui…


 




                


                

					

						Classé dans Sécurité
						Tag(s) associé(s): , , 					

                


            


        
            


           		


                    
Un rapport ! un rapport !


                    

                        

                        	décembre 3, 2010
                        		                        	par 
                        	                        	Laisser un commentaire
                        	                        

                    


                    
Cisco a une position unique sur le marché pour le suivi des menaces : En effet, la structure de veille Cisco SIO combine des données remontant dans la base de réputation SensorBase en provenance des équipements de sécurité du contenu (email, web) et réseau (IPS), avec des informations collectées au fil de l’analyse faite par les moteurs ScanSafe. La combinaison de toutes ces informations permet de générer des rapports sur les menaces. Ah, ces fameux rapports… Il faut admettre qu’ils sont souvent assez rébarbatifs, voire soporifiques. Alors pourquoi lire celui là, sachant que vous ne devez déjà pas avoir le temps de lire tous vos emails ?


Laissez moi vous donner un élément de réponse : Parce qu’il est court, et concret. Par exemple, on y apprend qu’il y a eu (au troisième trimestre 2010, période couverte par le rapport) 36 000 machines distribuant du malware web, pour un total de plus de 100 000 urls malicieuses. Cela fait qu’aujourd’hui, un utilisateur d’une entreprise “rencontre” environ 130 malware en surfant sur le web chaque mois ! Et ce ne sont pas des données sorties du chapeau pour faire peur, mais simplement le constat effectué par les équipes de veille Cisco.


D’autres éléments sont également à noter, comme la présence encore forte d’attaques par injection SQL (justifiant la présence d’IPS dans les réseaux), et sur la rapidité d’exécution des attaques (par exemple, 80% des clics sur l’email frauduleux “here you have” ont eu lieu dans les trois premières heures de propagation).


Bref, c’est à lire ici !




                


                

					

						Classé dans Sécurité
						Tag(s) associé(s): , , , 					

                


            


        
            


           		


                    
Soulevez le capot de la réputation !


                    

                        

                        	octobre 13, 2010
                        		                        	par 
                        	                        	Laisser un commentaire
                        	                        

                    


                    
Une note rapide pour évoquer un white paper intéressant qui donne quelques informations sur la base de réputation et la structure Cisco SIO qui y est liée. Tout se passe ici




                


                

					

						Classé dans Sécurité
						Tag(s) associé(s): , , , , 					

                


            


        
            


           		


                    
Sécurité et contrôle dans un monde Web 2.0 : Limites des solutions actuelles


                    

                        

                        	juin 28, 2010
                        		                        	par 
                        	                        	Laisser un commentaire
                        	                        

                    


                    
Limites des technologies actuellement déployées


Bien évidemment, un certain nombre de technologies de sécurité ont été déployées dans les réseaux et sur les machines (serveurs et terminaux utilisateurs). Dans ce cas, pourquoi le taux d’infection par des logiciels malveillants connaît-il une forte croissance à travers le monde, quelle que soit la taille de l’entreprise, et ce malgré le fait que l’écrasante majorité  des entreprises aient déployé des fonctions de sécurité ? Cela tient profondément à la nature de ces nouvelles attaques, qui mettent en échec l’approche traditionnelle de la sécurité web. Pour mieux le comprendre, il faut distinguer les attaques côté serveur et côté client.


Côté serveur


La protection côté serveur repose traditionnellement sur l’alliance firewall et prévention d’intrusion (sur le poste ou en réseau), parfois en un équipement uniquement. La difficulté provient du fait que ces technologies se focalisent sur la protection au niveau réseau et au niveau protocolaire, protégeant des attaques bas niveau, des vulnérabilités existant dans les systèmes d’exploitation, et dans les applicatifs de serveur web (apache, IIS) ou de base de données.


Mais, suivant une tendance observée depuis plusieurs années, les attaques ont continué à remonter dans les couches applicatives, et la majorité des attaques se situent désormais au niveau de l’application web, qui inclue des pages, des scripts, des feuilles de style, des formulaires et bien d’autres objets développés dans un contexte spécifique.




Figure  - Les attaques se situent au niveau applicatif


Côté client


Les entreprises protègent traditionnellement le flux web au moyen de trois outils : Le firewall positionné à la périphérie de l’entreprise, une solution de filtrage d’url basé sur des catégories, et une solution anti-virus déployée sur le poste client. Le firewall, comme l’on a vu côté serveur, va valider que le flux circulant est bien formé et contient bien de l’http, mais ne va pas – ou peu – s’intéresser au contenu de l’url demandée ou de la réponse du serveur web. C’est donc une brique de sécurité indispensable, mais qui ne travaille pas en profondeur sur le contenu du flux web.


La solution de filtrage d’url par catégorie va permettre de bloquer les accès aux sites connus de phishing ou connus pour être infectés par du malware et catégorisés comme tels. Ces solutions sont toutefois uniquement réactives, et en cas d’apparition d’un malware sur un site donné, le temps que le site soit bien catégorisé et que la règle soit transmise aux clients, le code malicieux aura eu potentiellement le temps d’infecter l’entreprise. Hors aujourd’hui, les sites hébergeant du malware et spécifiquement créés pour cela (le plus souvent dans le cadre de botnets) restent en ligne très peu de temps et n’auront bien souvent pas le temps d’être identifiés dans les listes de filtrage d’url. Mais bien pire, la majorité des infections se faisant en naviguant sur des sites légitimes, leur trafic sera autorisé par les listes de filtrage d’url, car justement ils sont légitimes et bien connus !


Il faut donc se contenter d’utiliser les solutions de filtrage URL par catégorie pour gérer une politique d’usage acceptable d’Internet au sein de sa société, mais pas pour mettre en place une politique de sécurité Web.


Enfin, il reste une dernière barrière de sécurité pour se prémunir des infections : La sécurité du poste client, avec en tout premier lieu l’anti-virus. Hors, les malware modernes contournent ces protections, pour deux grandes raisons. Tout d’abord, malgré de grands progrès réalisés par les consoles de gestion des solutions de sécurité du poste, il est quasi impossible d’avoir à chaque instant tous les postes avec un anti virus à jour. Bien souvent, une proportion plus ou moins large, pouvant atteindre dans certaines organisations la moitié des PCs avec une protection ayant 15 jours de retard.




Figure  - L’explosion du nombre de malware, preuve que chaque instance d’attaque est unique


Enfin, dans contexte, deux autres facteurs qui seront abordés plus loin dans ce document, viennent se rajouter : L’explosion de la mobilité, qui fait que 85% des PC nomades vont surfer sur Internet sans passer par le VPN d’entreprise, et donc sans passer par les outils de protection déployés, et l’explosion du Web 2.0 qui rend 80% du web (pages dynamiques type facebook ou autres) non classifié !


On le voit, les solutions de sécurité actuelles, réactives, sont dépassées par rapport aux menaces et contexte actuels : Elles ne sont ni assez rapides dans leur réaction, ni complètes en terme de couverture du spectre des menaces, ni suffisamment pertinentes.


Prenons un exemple datant du 13 septembre 2009. Les visiteurs du site NYTimes.com, catégorisé par les listes de filtrage d’url comme site d’information légitime, se sont retrouvés avec une publicité paraissant légitime (insérée dans le site), générant un pop-up alertant les visiteurs qu’un virus avait infecté leur machine. L’utilisateur était ensuite redirigé vers un site hébergeant un malware, faisant croire à un logiciel anti-virus alors que c’était un cheval de Troie… Les outils de filtrage d’url analysant uniquement la requête initiale (l’accès à la page d’accueil NYTimes.com) et pas chaque objet composant la page (une page web va être constituée en moyenne de 150 objets récupérés sur plusieurs dizaines de serveurs différents), l’infection peut facilement avoir lieu.


Face à ces attaques multi vecteurs, changeantes, polymorphes, il faut donc aborder le sujet de la sécurité des flux web avec une approche différente, plus proactive que réactive. La réponse tient en une approche combinant une analyse de contenu pertinente et performante, combinée à une approche proactive d’analyse en profondeur des caractéristiques des serveurs web pour déterminer la réputation des sites web, objets, URLs, et adresses IP, permet de couvrir efficacement les menaces actuelles.




                


                

					

						Classé dans Sécurité
						Tag(s) associé(s): , , , 					

                


            


        
        

        	
 Articles précédents

        	

        



	




















	

	

			
		
	

		Suivre
		

			
					

		
			

			
Get every new post delivered to your Inbox.