Source: http://www.matousec.com/info/reports/Online-Payments-Threats.pdf
Comment se protéger face aux nouvelles générations de cyber-attaques ? Les dernières solutions du marché et les réponses d'experts de Kaspersky lab, FireEye, GData, IBM...
BUSINESS IT: Kaspersky Lab nouvelle version de la suite KIS 2013 / Jean Philippe Bichard ( jpbichard@gmail.com 28 aout 2012)
Kaspersky Lab annonce la disponibilité de sa nouvelle version 2013 de sa suite de sécurité KIS (Kaspersky internet security). Sur cette version, peu de nouvelles fonctions mais un nouveau moteur antivirus. Reste que KIS 2013 ressemble davantage à une mise a jour « soft » de la KIS 2012 qu’a une révolution technologique majeure.
Kaspersky Lab veut « vendre » absolument deux améliorations sur l’édition de sa suite de sécurité KIS 2013 : en plus de la conformité avec Windows 8 (un minimum) l'éditeur "pousse" la fonction « safe money » et une fonction de prévention automatique face à toutes les failles de sécurité non patchées sur des logiciels habituellement présents sur les machines de ses clients.
La suite 2013 disponible le 28 aout 2012 présente donc une compatibilité technique avec la version Windows 8 attendue en octobre prochain. Compatibilité qui a amené tous les éditeurs de sécurité anti-virale a planché sur leurs lignes de codes jusqu’en juillet dernier pour présenter des interfaces conformes à celles demandées par Microsoft. En cas de refus de ce dernier, la certification technique indispensable était refusée. En proposant dès la fin aout sa version commerciale, Kaspersky Lab marque incontestablement des points face à ses concurrents. Bref, KIS 2013 tourne sur Windows 8 RTM, Windows 7, Windows Vista ou Windows XP (32 ou 64 bits) a condition toutefois que la machine héberge un processeur de 800 MHz et 512 Mo de RAM au minimum. Le programme utilise environ 10-40MB RAM ce qui reste raisonable et 480 Mo d'espace disque pour l'installation.
« Safe money »
Selon Kaspersky Lab, c’est près de 125 000 nouvelles cybermenaces qui apparaissent chaque jour. L’éditeur se base sur une étude de Harris Interactive effectué sur sept pays en février-mars 2012. Pour les utilisateurs de ce panel, le vol de données liées a des transactions bancaires via leur cartes constitue le risque majeur.
Dès l’entrée sur le site d’une banque en ligne ou d’un site de e-commerce, le module de protection bancaire active automatiquement le mode de navigation sécurisée (Safe Browser) via l'outil découvert sur la beta 2013 Automatic Exploit Prevention (AEP). Ce module alerte l’internaute via le Cloud du niveau de réputation d'une donnée. Un autre module signale à l'utilisateur si le site visité présente un quelconque danger. Rien de bien révolutionnaire si l’on regarde du coté des concurrents de Kaspersky lab qui proposent eux aussi ce type de fonction. En revanche ces deux modules apparaissent très efficaces dans leurs résultats. Un test réalisé en juillet dernier par Matousec sur la fonction « safe money » de la solution KIS 2013 la place en tête à égalité avec Trusteer (les deux outils ont bloqué les 15 types d’attaques différentes proposées lors du test: (http://www.matousec.com/info/?news=158-Online_Payments_Threats_Comparative_Testing)
Prévention automatique contre les failles de sécurité « zéro day »
Les failles inconnues et donc non « corrigées » sont depuis les premiers virus les cibles privilégiées des cyber-attaquants. Kaspersky lab a donc développé une technologie de prévention automatique de ces failles en bloquant toutes activités illicites liées à leur exploitation. Attention, détail important : bloquer une faille ne conduit pas a bloquer l’utilisation du logiciel sur lequel elle se trouve (navigateur par exemple). Enfin, KIS 2013 apporte aussi quelques nouveautés sur des points tels que l’installation en un seul click, la migration automatique en fonction du code d’activation, l’interface qui même si elle n’a pas trop changée depuis la 2012 reste un gros atout de simplicité pour l’utilisateur final et... un support gratuit assuré par des experts de bons niveaux soutenus par... un agent virtuel (LENA) !
Sur les forums, la nouvelle suite de sécurité en version beta semble être appréciée pour sa rapidité due a son nouveau moteur (peu mis en vant par Kaspersky Lab). En revanche, les « Kaspersky Fans » semblent rencontrer quelques soucis avec les clés de licence peut être due a des versions beta. Un autre fan constate que la mise en quarantaine d’un fichier a disparu ainsi que « deux modules fondus en un seul : ils ont fusionné la défense proactive avec la surveillance du système et que du coup on ne peut plus vraiment configurer les deux modules. »
Kaspersky Internet Security 2013 est disponible depuis le 28 août 2012 au prix de 49.95 € pour une licence d’un an. KAV 2013, la version anti-virus est également disponible au prix de 29,95 euros toujours pour un an.
EXPERTISE: Nicolas Brulez, Senior Malware Analyst chez Kaspersky Lab
« Si les transactions en ligne sont courantes, la sécurité qui doit y être associée reste difficile a percevoir pour beaucoup d’utilisateurs. Si un ordinateur contenant des données liées aux transactions bancaires demeure mal protégé, on se trouve dans la même situation qu’une carte bancaire abandonnée sur un banc public…en souhaitant que personne ne s’en serve. »
BONUS: derniers tests solutions anti-virales:
http://www.av-comparatives.org/images/docs/avc_fdt_201203_en.pdf
http://www.checkvir.com/tasklist/201208/dintest
BUSINESS IT: FireEyes dévoile son rapport sur les cyber-menaces "avancées" (Jean Philippe Bichard jpbichard@gmail.com 29 aout 2012)
FireEyes®, Inc. acteur sur le marché du blocage d’attaques ciblées avancées, a annoncé le 29 aout 2012 la publication de son rapport sur les menaces avancées 1H 2012. Selon FireEye, les infections malveillantes se sont multipliées au cours des six premiers mois de 2012 et les risques d’attaques via email sont de plus en plus présents, les cybercriminels ayant davantage recours aux domaines « jetables » pour infiltrer les réseaux des entreprises.
Le rapport sur les menaces avancées se base sur les données issues du Malware Protection CloudTM (MPC) de FireEye, un système alimenté par plusieurs milliers d’appliances FireEye, et sur les découvertes de son équipe de recherche du « Malware Intelligence Lab ». Le rapport offre un aperçu général des cyber-attaques parvenant à contourner systématiquement les systèmes de défense traditionnels, y compris les pare-feux, les pare-feux de nouvelle génération, les systèmes de prévention d’intrusion (IPS), les passerelles et les anti-virus (AV). Les recherches de FireEye montrent que plus de 95% des entreprises sont victimes de programmes malveillants avancés et que la plupart ne le savent même pas.
Le rapport sur les menaces avancées présente de nombreuses découvertes importantes comme par exemple :
- Croissance explosive des infections malveillantes transmises via le Web ; selon le rapport, le nombre de logiciels malveillants transmis via le Web capables d’échapper à la détection par signature aurait augmenté à hauteur de 400% depuis 2011, soit une moyenne de 643 infections réussies par semaine par entreprise.
- Intensification des risques d’attaques via email ; les analystes de FireEye ont constaté une hausse de 56% du nombre d’attaques par email au cours du deuxième trimestre 2012 par rapport au premier trimestre 2012. En outre, les liens malveillants ont été davantage utilisés que les pièces jointes malveillantes au cours des deux derniers mois du deuxième trimestre 2012.
- Utilisation accrue de domaines dynamiques et « jetables » ; FireEye a constaté une large hausse du nombre de liens dynamiques utilisés au maximum à cinq reprises. Intégrés aux attaques par email à grande échelle, ces liens n’ont progressé qu’une seule fois, passant de 38% à la deuxième moitié de 2011 à 46% au cours du premier semestre 2012.
- Les types d’attaques varient fortement selon le domaine visé ; les attaques perpétrées contre les secteurs des services financiers, de l’énergie/des services publics, des soins de santé et des technologies sont totalement différentes. Une constante reste toutefois de mise : les secteurs manipulant davantage de propriétés intellectuelles ou de données client ou financières restent les principales cibles des attaques.
« Les résultats de ce rapport ne font que prouver davantage que les systèmes de défense réactifs à base de signatures sont incapables de bloquer des logiciels malveillants intelligents qui tentent de pénétrer dans l’entreprise », déclare Ashar Aziz, fondateur et PDG de FireEye. « Les assaillants gardent une longueur d’avance sur les systèmes de défense traditionnels, ce qui doit pousser les organismes à revoir leur architecture de sécurité IT et à prendre des mesures de sécurité appropriées afin de parer à des cyber-attaques avancées telles que les attaques de type « zero-day » et les attaques persistantes avancées (APT). »
Tandis que les cybercriminels investissent dans le développement de logiciels malveillants, les entreprises doivent renforcer leurs systèmes de défense traditionnels à l’aide d’une nouvelle couche de sécurité dynamique, capable de détecter des attaques inconnues en temps réel, de bloquer les communications malveillantes vers les serveurs de "commande & contrôle", de contrôler les serveurs et de bloquer l’exfiltration de données. Cette couche de défense supérieure doit être spécifiquement conçue pour combattre les tactiques inconnues et « zero-day » communes aux attaques ciblées et aux APT.
EXPERTISE: Yogi Chandiramani, systems engineer Southern Europe / Interview Jean Philippe Bichard / 30 aout 2012
Selon FireEyes, les infections malveillantes se sont multipliées au cours des six premiers mois de 2012. Pourquoi ?
Nous complétons les technonologies installées et nous arrêtons les cyber-attaques de nouvells génération. Différentes techniques existent en modifiant les codes déjà connus, en ajoutant du "bruit" a un code habituellement détecté, et avec ce bruit il ne l’est plus. A ce bruit, se joignent les "fonctions" de polymoyrphisme et de recompilation de codes à la volée. L'emploi de ces techniques rend ces malwares plus difficiels a détecter avec les moyens traditionnels. Enfin, la conception de codes malicieux ciblés avec email et attachement spécifiques liés à de l’injection d’URL permettent aux cybercriminels de comprendre l’environnement du poste attaqué pour mieux l'attaquer via les vulnérabilités découvertes par le malware. J'ajoute que l'augmentation des infections via des malwares intelligents souvent peu détectés par les Anti-Virus ordinaires trouve une explication dans les aspects économiques. Ces deux dernières années, les cybercriminels se sont beaucoup mieux organisés qu’auparavant. Dans le Net underground, ils vendent des kits du "vieux malware" Zeuss pour 60 000 euros.
En quoi vos solutions de détection et éradication de malwares se distinguent de celles des éditeurs anti-virus ?
Les solutions Fireeyes sont développées au niveau des gateways, rien sur les poste client. A la différence des éditeusr AV, nous savons recréer les confugurations virtuelles de façon dynamique afin de rejouer le flux « suspect ». L’analyse du comportement d’un code n’est pas nouvelle mais le fait que ca tourne sur notre appliance chez le client évite de faire appel a une base de signature. Cela nous permet de confirmer qu’il y a eu une attaque et surtout de comprendre ce qu’elle visait. Enfin, nous parvenons a identifier vers quels canaux remontent les informations liées à la cyberattaque. Une sorte de Forensic (enquête) en temps réel. Nous savons aussi corréler une attaque au niveau de son entrée (nombre de destinataires). En livrant ces éléments pro-actifs les clients mesurent l’impact des attaques et savent qu’ils ont été attaqués.
Les recherches de FireEyes montrent que plus de 95% des entreprises sont victimes de programmes malveillants avancés et que la plupart ne le savent même pas. Pourquoi ?
Les gens pensent que leur techno suffisent mais ce n’est pas le cas. L’environnement des codes malicieux évolue très vite et les cybercriminels connaissent tres bien les technos qui les « combattent ». En laissant infecter une machine virtuelle et en observant le comportement des cyber-attaquant et de leurs cyber-armes, on obtient les informations nécessaires afin de bloquer le lien source de l’infection.
BONUS: rapport sur les menaces avancées
http://www2.fireeye.com/FR_advanced-threat-report-1h2012.html
BUSINESS IT: IBM présente le zEnterprise EC12
Pour IBM: des avancées technologiques qui permettent d'accroître encore le leadership du mainframe et en font le système incontournable
pour traiter les données critiques des entreprises
- Ce nouveau System z, conçu grâce aux innovations des laboratoires de recherche d'IBM, offre de nouvelles capacités inégalée dans la sécurité et de l’analytique, et améliore de façon significative la performance du cloud computing.
- Le zEC12 offre plus de performance (+25% par cœur), plus de 100 cœurs configurables, augmentant ainsi de 50% la capacité totale du système comparé à son prédécesseur.
- Le zEC12 est le fruit d’un investissement de plus d’un milliard de $ en R&D et de la collaboration avec les clients IBM pour relever les défis associés aux systèmes d’entreprise actuels.
- Un « système de systèmes » englobant l'intégration et la gestion d'une multiplicité de plateformes – mainframe, UNIX® et x86 – et apportant des gains de productivité considérables au sein des centres informatiques multi-architectures d'aujourd'hui.
- La compatibilité avec les environnements d'exploitation z/OS, Linux® sur System z, z/VSE, z/VM, z/TPF, AIX, Linux sur IBM System x et maintenant Microsoft® Windows®.
- Des capacités inégalées de traitement hybride bénéficiant de la puissance du leader du marché des serveurs d'entreprise, et apportant des innovations exceptionnelles, des fonctionnalités de virtualisation et d'excellentes caractéristiques en termes d'évolutivité, de fiabilité et de sécurité.
- Un déploiement rapide de services grâce aux solutions pré-configurées et aux technologies pré-intégrées, conçues pour répondre aux spécificités des différents types de traitements.
Les demandes des clients, partenaires et employés – outre celles d'un marché en évolution rapide – atteignent les limites des possibilités des centres informatiques d'aujourd'hui. En ajoutant à cette situation les défis de gestion et d'intégration auxquels les centres informatiques ont à faire face alors qu'ils investissent dans une nouvelle génération d'applications intelligentes, il apparaît plus que jamais nécessaire d'adopter de nouvelles approches. Des systèmes informatiques plus intelligents – c'est-à-dire des systèmes plus efficaces et performants, porteurs de réduction des coûts, tout en contribuant à simplifier l'administration.
Le système IBM zEnterprise (zEnterprise) bénéficie d'une conception révolutionnaire, capable de résoudre la complexité et l'inefficacité des centres informatiques à architectures multiples d'aujourd'hui. Le système zEnterprise s'appuie sur les points forts et les capacités des systèmes mainframe – notamment en termes de sécurité, de tolérance aux pannes, d'efficacité, de virtualisation et d'affectation dynamique des ressources – en les étendant à d'autres systèmes et traitements, s’exécutant dans les environnements AIX sur POWER7, Linux sur System x et maintenant Microsoft Windows – changeant ainsi fondamentalement la manière dont les centres informatiques sont administrés.
Le zEnterprise est un système informatique multi-architectures, et adapté aux différents besoins des différents types de traitements, capable d'héberger des ensembles de ces charges et de les intégrer, en les gérant efficacement sous la forme d'une entité unique. Il est conçu pour déployer et gérer intelligemment ces traitements aussi bien sur les technologies mainframe que distribuées, avec les mêmes outils et techniques, et une interface d'administration unique.
Le système zEnterprise inclut un mainframe CPC (Central Processing Complex) – au choix, zEnterprise 196 (z196) ou z114 – l'unité IBM zEnterprise BladeCenter Extension (zBX) et ses optimiseurs intégrés et/ou des lames IBM spécifiques, associés à l'outil zEnterprise Unified Resource Manager.
Le cœur du système zEnterprise est constitué du z196 ou du z114 – le système mainframe de nouvelle génération, qui apporte des niveaux inédits de performances, de sécurité, de potentiel de croissance et des capacités exceptionnelles de simplification des infrastructures. Les deux systèmes, z196 et z114, sont conçus pour fonctionner de concert avec des logiciels système, des middleware et des supports de stockage, le tout constituant l'environnement de traitement de transactions et de données le plus robuste, abordable, efficace et fiable du marché.
L'extension zBX est un composant d'infrastructure, destiné à héberger à la fois des serveurs lames génériques et des dispositifs (ou appliances), tels que les optimiseurs de traitements, qui peuvent tous être gérés comme s'il s'agissait d'un seul système mainframe. Elle utilise un réseau interne privé à haute vitesse, relié à l'unité CPC (complexe de traitement central), réduisant ainsi la nécessité de matériel de connexion réseau et assurant de fait une sécurité extrême.
L'extension zBX permet d'étendre la solide gamme de logiciels zEnterprise pour intégrer les systèmes AIX sur Power et Windows ou Linux sur System x.
L'outil IBM zEnterprise Unified Resource Manager intègre les ressources d'une plateforme adossée à différentes architectures pour obtenir un système unique et virtualisé, et permet d'assurer une gestion unifiée et intégrée pour l'ensemble du système zEnterprise en s'appuyant sur des outils, des techniques et des ressources identiques pour mettre en œuvre des prestations de services cohérentes, automatisées et fiables. Unified Resource Manager peut identifier automatiquement de nouvelles ressources (serveurs, réseau, stockage), charger les environnements de virtualisation et préparer des ressources système pour les utiliser. Il identifie les goulots d'étranglement ou les défaillances des différents systèmes, ce qui lui permet, en cas de défaut, de réaffecter dynamiquement des ressources système pour assurer un fonctionnement efficace des applications. L'outil simplifie considérablement les opérations pour une multiplicité d'environnements applicatifs.
Il permet la surveillance et la gestion de la consommation d'énergie, la gestion des ressources en fonction des objectifs, une sécurité accrue, la gestion des réseaux virtuels et des informations, le tout intégré dans une interface unique et conviviale – ce qui permet de simplifier considérablement les opérations mises en œuvre pour une multiplicité d'environnements applicatifs.
Avec les nouvelles interfaces de programmation d'applications (API), il est possible d'intégrer Unified Resource Manager à un écosystème élargi d'outils d'administration. Les outils d'automatisation des services bénéficient ainsi de l'accès à différentes fonctions, en particulier l'identification, la surveillance et le provisionnement des ressources hétérogènes contrôlées par le système zEnterprise.
EXPERTISE: Patrick Kesler (Director of
Mainframe System z Business - France) / interview Jean Philippe Bichard jpbichard@gmail.com (30 aout 2012)
Comment justifier l'acquisition de mainframes en 2012
?
Celà fait 48 ans que cette catégorie de machine
existe. Fin des années 90, en plein downsizing, les mainframes n’avaient plus
la côte. Fallait-il les abandonner ? Fin des années 90, les clients nous
disaient le contraire. N’abandonner pas. Pourquoi ? Pour plusieurs
raisons. En voici une: 500 milliards de lignes de Cobol tournent dans le monde
avec une croissance de 5% par an. Soulignons aussi que le cloud a la
limite a été créé par les mainframes. En s'appuyant sur nos machines, nos
clients peuvent créer leur cloud privé. Face a la demande de nos
clients, dès 2000, nous avons opté pour une stratégie mainframes
nouvelle. Une nouvelle génération de mainframe a vu le jour suite à des
réunions d’échanges avec nos plus grands clients, soit environ deux par pays.
Ils nous ont demandé face au développement d’Internet d'étudier quatre pistes
de réflexion: la sécurité, la disponibilité, la fiabilité et
l’administration.
En matière de sécurité, qu'avez vous implémenter sur
votre votre dernier mainframe, zEnterprise EC12 annoncé
aujourd'hui ?
Cette machine dispose de sa propre architecture avec
un ensemble de microcodes développés en interne d’où une plus grande sécurité
et un meilleur temps de réponse. Un module stratégique nommé IBM
zAware héberge une technologie
logicielle qui permet d'identifier les déviations en matière de performance et
ainsi minimiser leur impact. L'architecture de cette
gamme sait s’ouvrir a des environnements hybrides pour acceuillir des lames
sous Windows / AIX, des gateways... Nous avons
également adapté des co-processeur de cryptographie Crypto Express 4S qui
assurent toute la confidentialité des transactions. Une aide au développement
de la supervision de la machine est également mise en oeuvre afin de faciliter
le contrôle de l'ensemble des éléments que cette plate-forme fédère.
Je précise que la disponibilité est de l'ordre de 99,999 mais ce n’est pas
contractuel. Ce qui n'empêche pas que 96% des 100 premières banques mondiales
retiennent notre architecture Z. Enfin, des solutions telles
que MRU : unified ressources manage sont très appréciées comme outil
d'interface unifié pour gérer l’ensemble de la machine et de ses composants.
Comment analysez-vous le marché des
mainframes et celui de la sécurité qui se trouve associés à ce type de machines
?
En termes d'Investissements, pour IBM, chaque modèle de mainframe nécessite environ un
milliard de dollars ventilés comme suit: un tiers pour le développement
hardware, un tiers pour celui du logiciel et le dernier pour la mise au point
des codes. Le marché des mainframes au plan quantitafif montre un nombre de
machines en diminution. Ces dernières étant de plus en plus puissantes ce
phénomène est normal. En revanche, la puissance instantanée de chaque mainframe
a été multipliée par 3 en 12 ans. 1500 applicatifs linux fonctionnent sur
notre série Z. Depuis 2010, 250 nouveaux clients sont venus au mainframe.
Par ce choix, certains de nos clients désirent conserver leur autonomie
et maîtriser leur sécurité. En moins de 18 mois, plus de 70% de notre
base installée a été renouvelée à l’échelle mondiale. en raison de l'évolution
des architecture de nos grands clients.
BONUS ETUDES: marché des serveurs et mainframes: quels marchés ?
Sur le marché des serveurs, par constructeur, HP est en tête selon Gartner,
en valeur avec un chiffre d'affaires mondial trimestriel de 3,74 milliards de
dollars, 29,8% de parts de marché, en baisse de 5,1%. Chiffres assez proches
chez IDC : 3,7 milliards de CA, 29,6% de parts de marché, en baisse de
5%. IBM toujours second se situe à 3,49 milliards de dollars de CA pour
les analystes de chez Gartner et 3,68 pour ceux d’IDC avec des baisses estimées
à 7,8% chez Gartner et 8,2% chez IDC. Sur le marché des mainframes une première
question, où commence t-il par rapport à celui des serveurs ? Au second
trimestre 2012, le marché mondial des serveurs s'est élevé à 12,58 milliards de
dollars selon Gartner en baisse de 2,9%. IDC l’estime à 12,6 milliards de dollars, en baisse de
4,8%.
Une approche par technologie se ventile selon trois catégories : serveurs x86 avec une hausse de 1,8% en volume et 5,6% en valeur, selon Gartner. 0,6% de baisse en volume et 3,5% de hausse en valeur pour IDC. Serveurs RISC/Itanium Unix en baisse de 14,9% en volume et 17,9% en valeur, selon Gartner. La dernière catégorie de « serveurs » concerne les mainframes. Les analystes estiment que cette catégorie enregistre une baisse de 3,0%.
http://www.ibm.com/smarterplanet/fr/fr/business_resilience_management/overview/index.html
