des démons plein les pensées
tous sont imaginaires la plupart malveillants certains ne sont que facétieux
seen from France
seen from Singapore
seen from Ukraine
seen from Kazakhstan
seen from Malta
seen from India
seen from China
seen from Australia
seen from United States

seen from United States

seen from United States
seen from Germany
seen from Macao SAR China
seen from United States
seen from Canada
seen from Türkiye
seen from Greece

seen from Canada
seen from Brazil
seen from United States
des démons plein les pensées
tous sont imaginaires la plupart malveillants certains ne sont que facétieux
Les administrateurs réseau malveillants se cachent dans le Cloud
Les menaces internes représentent l’un des principaux challenges des responsables de la sécurité informatique en entreprise. Ces menaces sont accidentelles ou intentionnelles, et proviennent d’individus disposant d’un accès au réseau, qu’il s’agisse d’employés, ou de prestataires externes, ou de cybercriminels ayant usurpé un compte légitime.
Pour l’entreprise, il est déjà très difficile de gérer et de contrôler la légitimité et les actions de l’ensemble des individus, mais la tâche se compliquent encore un peu plus avec les personnes bénéficiant d’accès privilégiés sur le réseau. Ces utilisateurs à privilèges, ou « super-utilisateurs » – parmi lesquels essentiellement les administrateurs réseau ou systèmes – disposent d’accès directs aux ressources et données stratégiques de l’entreprise, et sont donc les plus à risques. Une étude menée par Balabit auprès de 500 responsables de la sécurité, le confirme en démontrant que pour 70 % de ces professionnels, la menace interne représente plus de risque que les attaques venant de l’extérieur. Les études ont démontré que les cybercriminels qui parviennent à prendre le contrôle d’un accès interne à un réseau d’entreprise peuvent rester jusqu’à plusieurs mois dans le réseau sans être détectés, et donc prendre tout leur temps pour réaliser leurs méfaits (vol de données, introduction de malware, etc.).
Le Cloud augmente la dangerosité de la menace interne
Cette menace interne s’est considérablement accentuée avec le développement du Cloud computing, qui repousse les frontières des réseaux d’entreprise et redéfinit ainsi le périmètre d’attaque. Il est ainsi très difficile pour les responsables de la sécurité de bénéficier d’une visibilité et d’un contrôle sur l’intégralité des actifs de l’entreprise. Le Shadow IT est l’un des pires cauchemars des équipes sécurité : Il s’agit de centaine voire des milliers d’applications et projets – souvent dans le Cloud et avec l’implication de prestataires externes – initiées et gérées par des utilisateurs internes, sans que la sécurité n’en soit informée. Pour l’entreprise, cela nécessite de reconsidérer qui est dans son environnement un utilisateur interne, bien avant de définir la sécurité à adopter.
L’objectif n’est pas ici de convaincre des dangers du Cloud, car si le Cloud est désormais omniprésent, c’est parce qu’il est avant tout un vecteur formidable de flexibilité et d’évolutivité pour les entreprises.
En contrepartie, l’élargissement continu des limites du réseau génère beaucoup d’incertitudes sur les responsabilités de chacun autour de la sécurité des données : à mesure que les utilisateurs accèdent aux données et les partagent, il devient in fine de plus en plus difficile de définir qui est responsable de la sécurité de ces données, entre l’utilisateur lui-même, le fournisseur de Cloud, etc. Et selon les droits d’accès à privilèges accordés, les utilisateurs internes malveillants chez les prestataires – administrateur Cloud par exemple – peuvent être à l’origine d’une attaque informatique majeure.
De plus, dans cet affrontement entre équipes de sécurité et utilisateurs internes malveillants, les attaquants ont un avantage considérable : ils connaissent le meilleur chemin pour infiltrer le réseau. Grâce à leurs droits d’accès privilégiés, ils disposent d’informations importantes pour savoir où frapper avec le maximum d’impact et comment déguiser leurs actions pour rester invisibles.
Optimisation de la visibilité et du contrôle des activités des utilisateurs internes
Il y a toujours des risques à donner des responsabilités à une tierce partie, cependant il existe des moyens efficaces pour contrôler les relations avec ses prestataires grâce à une combinaison de processus rigoureux, pour apporter de la visibilité sur leurs activités :
– Etablir les paramètres de la relation : les entreprises doivent porter une vigilance particulière lors du choix d’un prestataire, et s’assurer que le fournisseur de Cloud adhère à des obligations contractuelles en matière de politiques et procédures de sécurité. Les entreprises ne doivent pas non plus avoir peur de poser des questions sur les utilisateurs qui bénéficieront de droits d’accès privilégiés sur leur réseau – en l’occurrence, les administrateurs systèmes qui seront responsables de la gestion de leur environnement Cloud. Il est en outre important de bien comprendre quels types de contrôles et vérifications vont être mis en place par ces administrateurs.
– Surveiller l’activité des administrateurs : restreindre l’accès d’un administrateur externe est un exercice complexe. Pour cette raison, il est essentiel de disposer d’outils permettant de surveiller les tierces parties et leur activité. Les entreprises doivent savoir ce qu’il se passe sur leur réseau en temps réel pour ainsi se protéger contre les accès non autorisés.
– Identifier les anomalies : l’approche de la sécurité par le comportement des utilisateurs – User Behavioral Analytics (UBA) ou analyse comportementale des utilisateurs – permet aux entreprises de comprendre ce qu’il se passe réellement sur leur réseau et d’identifier les activités inhabituelles. Ces outils fonctionnent avec des algorithmes de machine learning, qui créent les profils de tous les utilisateurs et sont ainsi capables d’identifier les anomalies dans leurs activités quotidiennes. Cela permet d’identifier des fuites de données ou encore des manipulations de bases de données, et de définir rapidement la cause de l’incident.
Les entreprises doivent prendre le contrôle de leurs relations avec leurs prestataires. A défaut, elles s’exposent à des attaques potentiellement très dangereuses – venant de l’extérieur, d’administrateurs Cloud malveillants ou de cybercriminels ayant piraté les comptes utilisateurs à privilèges de ces administrateurs – pour accéder au réseau de l’entreprise ciblée. La visibilité sur les activités des utilisateurs à privilèges aide à contrôler le risque humain, avec pour objectif ultime de bloquer immédiatement toutes les actions malveillantes générées par les utilisateurs internes, qu’ils soient dans l’entreprise ou chez un prestataire.
Csaba Krasznay, Docteur (PhD) en technologie militaire, et responsable produit Shell Control Box chez Balabit
Go to Source
Les administrateurs réseau malveillants se cachent dans le Cloud was originally published on JDCHASTA SAS
Repérer les logiciels malveillants sans casser le chiffrement
« L’utilisation de TLS par des logiciels malveillant pose de nouveaux défis à la détection de menaces basée sur le réseau, parce que les techniques traditionnelles de recherche de motifs ne peuvent pas être appliqués ». C’est avec ce constat désormais bien connu que Blake Anderson, Subharthi Paul et David McGrew, de Cisco, introduisent leurs travaux.
Peu s’aventureront à les contredire alors que le chiffrement s’avère clairement être une avancée à double tranchant pour les DSI. L’inspection des flux chiffrés ne manque d’ailleurs pas de poser des problèmes de performances et de créer des risques pour la confidentialité des données des utilisateurs. Les trois chercheurs relèvent en outre avoir travaillé sur un échantillon où 10 % des logiciels malveillants utilisent TLS – « cette tendance rend la détection de menaces plus difficile parce qu’elle rend l’utilisation de l’inspections de paquets en profondeur (DPI) ineffective ». Dès lors, pour eux, « il est important de déterminer si un trafic réseau est bénin ou malicieux, et de le faire d’une manière qui préserve l’intégrité du chiffrement ».
Et justement, ils semblent tenir une solution. Dans leur rapport d’étude, ils expliquent ainsi que « TLS introduit un ensemble complexe de caractéristiques observables permettant de tirer de nombreuses inférences tant sur le client que sur le serveur ». De quoi « détecter et comprendre les communications de logiciels malveillants », tout préservant la confidentialité des échanges légitimes. Mieux encore, selon les chercheurs, ces caractéristiques rendent possible l’attribution précise à une famille de logiciels malveillants de communications détectées, « y compris avec un unique flux chiffré ».
En l’occurrence, il s’agit d’observer les échanges, en clair, durant la phase d’initialisation du lien TLS. Mais uniquement : « l’utilisation de TLS par les logiciels malveillants diffère du trafic entreprise et, pour la plupart des familles, ce fait peut être mis à profit pour classifier des motifs de trafic malicieux ». Pas question de revendiquer une quelconque facilité car, même en s’appuyant sur l’apprentissage machine, « il est clair que certaines familles/sous-familles sont plus difficiles à classer ».
Mais les chercheurs assurent toutefois réussir à 90,3 % à attribuer un flux réseau chiffré isolé à la bonne famille de logiciels malveillants, et à plus de 93 % « en utilisant tous les flux chiffrés sur une fenêtre de 5 minutes ». Avec humilité, ils estiment malgré tout qu’un « acteur malveillant motivé pourrait essayer d’échapper à la détection en répliquant les caractéristiques d’un trafic d’entreprise », même si un tel exercice « nécessite un effort continu, non trivial, d’ingénierie logicielle ».
Go to Source
Repérer les logiciels malveillants sans casser le chiffrement was originally published on JDCHASTA SAS
Les logiciels malveillants ? Essentiellement pour s’infiltrer
Les attaquants n’auraient finalement que relativement peu recours à des logiciels malveillants : pour l’essentiel, ils s’appuieraient sur des logicels parfaitement légitimes. C’est du moins ce qu’affirme LightCyber, l’un des spécialistes de l’analyse comportementale appliquée à la sécurité, dans une nouvelle étude.
Et celle-ci tend à souligner les limites des systèmes de protection des points de terminaison conventionnels – basés principalement sur des listes de signatures : « nous avons identifié 1 109 outils responsables de comportements d’attaque, et la majorité d’entre eux n’était pas malicieuse. Bien sûr, les logiciels malveillants jouent un rôle ». Mais pas toujours le même. Dans le cadre de campagnes de masse, « les attaquants installent des logiciels malveillants pour voler des informations personnelles ou conduire des attaques opportunistes comme la production de bitcoins ou des fraudes au clic ».
Mais, dans des attaques ciblées, les logiciels malveillants ne semblent jouer qu’un rôle limité à la compromission initiale : « 99 % de la reconnaissance réseau interne et des opérations de déplacement latéral provient d’applications légitimes ou à risque, comme les scanners » : Angry IP Scanner, PingInfoView, ou encore Nmap. Une demi-surprise alors que Carbon Black assurait, mi-avril que PowerShell, outil d’administration de systèmes tout ce qu’il y a de légitime, occupe une place de plus en plus importante dans l’arsenal des cybercriminels. LightCiber indique avoir également observé plusieurs clients SSH et Telnet, BeyondExec Remote Service ou même vSphere Client, ainsi que des outils d’administration à distance comme TeamViewer et des clients VNC.
Mais l’éditeur affirme en outre que « la majorité des variantes de logiciels malveillants installées sur les points de terminaison ne correspond pas à des logiciels malveillants ou des à signatures antivirales connues ». Et c’est sans compter avec des familles entières « observées uniquement sur un site unique ».
Et c’est bien là tout le danger. Car selon LightCyber, la phase de compromission initiale ne dure que quelques secondes ou minutes tout au plus alors que celle d’attaque active, dont relèvent la reconnaissance et le déplacement latéral se déroule sur plusieurs semaines voire mois. Entre temps, l’attaquant a pu effacer certaines traces de la compromission initiale, sinon toutes. Et peut donc œuvrer en toute sérénité sur l’infrastructure.
Enfin presque, en l’absence de systèmes de détection appropriés. Car LightCyber souligne que l’activité de reconnaissance représente plus de 50 % de l’activité de l’attaquant : « c’est un processus naturellement itératif d’essai et d’échec. Puisqu’il ne connaît pas l’environnement ni où trouver sa cible, l’attaquant doit généralement passer par plusieurs étapes de reconnaissance et de déplacement latéral à la recherche d’actifs de valeur ». Et c’est là une véritable opportunité : « cela rend le comportement de l’attaquant facile à détecter si l’on dispose de la bonne sonde ». Où des bons pièges, comme les spécialistes des leurres seraient tentés d’ajouter, comme TrapX ou Illusive Networks.
Pour atteindre ces conclusions, LightCyber s’est penché sur l’analyse du trafic réseau (Network Traffic Analytics, NTA) chez ses clients, à travers le monde – soit des « centaines de milliers de points de terminaison à partir de plus de 60 sites, sur une période de six mois. Les organisations de l’échantillon comptent entre 1000 et 5000 collaborateurs et évoluent dans les secteurs des services financiers, de la santé, du transport, de l’administration, des télécommunications et des nouvelles technologies.
En outre, LightCyber indique avoir analysé les fichiers suspects en les comparant à des condensats de logiciels malveillants connu via plusieurs moteurs antiviraux, et en les exécutant dans des bacs à sables.
Go to Source
Les logiciels malveillants ? Essentiellement pour s’infiltrer was originally published on JDCHASTA SAS
No Cartoons - featuring Tre05
:: Click play and listen to the story ::
Share to build awareness.
Inside the Yellow House
Demain cours sur les codes malveillants et les techniques d'#intrusion au G4 #sécurité pentest virus worms
Alerte Twitter: le vers MS28SX diffuse des liens raccourcis malveillants
Amplify’d from techno.branchez-vous.com
Si un usager clique sur les liens raccourcis issus du vers MS28SX, il sera redirigé vers un site web sur laquelle une fenêtre le prévient qu'un antivirus doit effectuer un balayage en raison de la découverte d'une menace informatique.
Ce faisant, l'usager tombe dans le piège du vers, l'un des plus complexes ayant fait des ravages sur Twitter. En le démarrant, le faux antivirus (scareware) ne corrigera rien. Il s'installera plutôt sur l'ordinateur de la victime. L'URL raccourcie par ce vers a utilisé le service de Google et se présente sous la forme de «goo.gl».
Si un ordinateur est infecté, il risque d'être contrôlé à distance ou de joindre un réseau d'ordinateurs zombies. Le site Weco souligne qu'il s'agit de la troisième alerte du genre en moins de deux mois, faisant état de la présence de liens raccourcis malveillants sur Twitter.
Twitter recommande aux internautes dont l'ordinateur a été infecté de changer le mot de passe de leur compte. Le blogue de l'éditeur d'antivirus Kaspersky explique le fonctionnement du vers MS28SX et précise que ses clients sont protégés contre cette menace.
Read more at techno.branchez-vous.com
See this Amp at http://amplify.com/u/bnb6t