WS-SHIELD

est NO-CODE

 

Peut-on parler d’innovation?

Innovation disruptive, de rupture, incrémentale, comment qualifier WS-Shield en matière de sécurité?

Le NO-CODE couvre le domaine du développement d’applications et de sites web sans nécessité d’être développeur.
WS-Shield ne nécessite pas de connaitre Python ou PowerShell pour paramétrer les règles de sécurité visant à protéger un serveur Windows. Jusqu’à aujourd’hui, on ne parlait pas de NO-CODE s’agissant de cybersécurité.

CYBERATTAQUES

Ce qu’un matin,

on découvre

Bureau à distance

Un vecteur d’attaque bien connu permettant, lorsque des serveurs RDP sont ouverts sur Interne, d’être exposés à des attaques par force brute. Leur nombre a explosé pendant le premier confinement lorsque les entreprises ont ouvert en grand les vannes du télétravail dans l’urgence, sans prendre toutes les précautions requises en termes de sécurité informatique.

Porte dérobée

Les pirates profitent allègrement du manque de sécurité des nombreux objets connectés du marché. On en dénombrerait ainsi près de 12 milliards. La connectivité s’est installée sur les objets quotidiens, et faute de norme cohérente à l’échelle mondiale, ces appareils connectés constituent une porte d’entrée privilégiée par les hackers.

Ransomware Ryuk & Co.

Le géant hospitalier Universal Health Services (UHS), qui gère 400 hôpitaux et cliniques aux Etats-Unis et au Royaume-Uni, est victime d’une attaque par ransomware. Un texte faisant référence à « l’univers des ombres » était subitement apparu sur les écrans d’ordinateurs. Il s’agit de l’empreinte du rançongiciel Ryuk.

Faille zero-day

Une anomalie de sécurité précédemment non divulguée dans un ancien serveur Web Windows ne sera pas corrigée, même si des centaines de milliers de serveurs exécutent encore le logiciel obsolète.

Pour le fun

Cette cyberattaque est survenue en juillet 2020. Il s’agit de Meow, un logiciel qui s’attaque aux serveurs mal sécurisés. Elle n’aurait pas d’autre mission que de nuire aux entreprises. Au total, des milliers de bases de données ont été touchées, avec comme victime majoritaire la société UFO qui édite un VPN (virtual private network).

Hacktivistes

Des messages tels que « Victoire pour Mohammed, victoire pour l’Islam et Mort à la France » et un montage représentant Emmanuel Macron grimé en cochon étaient affichés à la place de la page d’accueil de sites d’associations de retraités, de commerces ou de petites mairies.

Employé mécontent

L’approche effrontée ciblant les employés mécontents a été repérée pour la première fois par la société de renseignement sur les menaces Abnormal Security , qui a décrit ce qui s’est passé après avoir adopté un faux personnage et répondu à la proposition dans la capture d’écran ci-dessus.

Le maire d'Annecy a déposé plainte

Les systèmes informatiques de la ville d’Annecy subissent actuellement une cyberattaque obligeant un arrêt de tous les services informatiques. La plupart des démarches en ligne sont impossibles jusqu’à nouvel ordre.

Espérance de vie

Les pirates scannent en permanence l’espace d’adressage IP public à la recherche de serveurs vulnérables.
Les experts en sécurité de Google Threat Intelligence se sont penchés sur les compromissions d’instances hébergées par le cloud du géant informatique.
L’analyse montre qu’un serveur vulnérable est piraté en l’espace de quelques heures. Dans certains cas, les pirates ont même pris le contrôle en moins d’une demi-heure !

Une faille non révélée de Windows

Exposée par un spécialiste en cybersécurité, elle n’a pas encore été patchée.

C’est le genre de faille de sécurité qui donne des cauchemars aux développeurs. Une vulnérabilité de Windows, révélée publiquement, permet d’accéder aux privilèges d’administrateurs en quelques dizaines de secondes. Ces droits d’administrateur permettent d’installer ou de désinstaller des programmes, modifier la configuration d’un système ou encore gérer les utilisateurs.

La faille est dite 0-day (entendre « zéro day »). Ces failles sont redoutées en sécurité informatique, car elles concernent des vulnérabilités encore non recensées. Le problème concerne pour l’instant toutes les versions de Windows, des plus anciennes jusqu’à Windows 10, 11 et Windows Server 2022.

Nos serveurs

Durant ces mêmes périodes troublées, les serveurs web, email, ftp, bureau à distance, les serveurs de fichiers, de bases de données, protégés par WS-Shield n’ont souffert d’aucune malveillance. D’autres attaques marquées ont eu lieu avant et depuis, nos serveurs résistent.

LABORATOIRE

Etudes sur le terrain

Les recherches et le développement de WS-Shield se sont toujours inspirés des cas évoqués ci-dessus. La réalité de l’univers numérique.

Avec WS-Shield, des serveurs Windows 2008 sans mise à jour de sécurité ont été en ligne pendant plus de 6 mois. Aucun d’entre-eux n’a été compromis. D’autres serveurs en exploitation sont volontairement ouverts et maintenus avec des failles de sécurité pour évaluer la capacité de WS-Shield à les protéger malgré tout.

Aujourd’hui, une équipe de hackers éthiques et de pentesters de l’ESIEA s’attaque aux serveurs que nous désignons comme cible. De véritables serveurs chez de véritables hébergeurs.

La malveillance interne est très présente dans nos esprits, la gestion des droits de l’utilisateur ainsi que le monitoring de l’activité logiciel en découle. 

 

STRATEGIES

Médiévale & Zero-trust

Connaître l’ennemi, le voir sans être vu, l’attirer dans nos pièges, lui fournir des informations erronées.

Shodan, Rapid7, Stretchoid, Censys, Shadow Server, autant d’entités nord-américaines qui scannent le net afin d’identifier toutes les ressources connectées. Des données accessibles à tous et sans contrôle.

Vérifions ce qu’il en est de l’un de nos serveur web en ligne depuis plusieurs années. Les ports identifiés comme ouverts sont faux. Les vrais ports ouverts ne sont pas référencés. S’attaquer au port 81 ou 3389 ou 5500 entraine un banissement immédiat de l’IP distante et un référencement dans nos bases de données.

Ces données sont commercialisées, les cybercriminels les exploitent. Ils vous connaissent, ils savent que vous êtes connectés. Et vous, les connaissez-vous?

Le scan de ports n’est pas considéré comme illégal. Shadow Server est une Fondation à but non lucratif, Shodan et les autres ont le même discours d’agir pour le bien de tous. Leurs IP sont en listes blanches et ne sont pas référencées comme malveillantes.

tesla.census.shodan.io refrigerator.census.shodan.io  einstein.census.shodan.io ninja.census.shodan.io pirate.census.shodan.io
scanners.labs.rapid7.com
zg-1117a-153.stretchoid.com
zg-1117b-101.stretchoid.com
scan-18a.shadowserver.org
scan-18m.shadowserver.org
worker-01.sfj.censys-scanner.com
scratch-01.sfj.censys-scanner.com

Shodan: 49 IP connues, 35 757 tentatives de connexions référencées.

Rapid7: 359 IP connues,32 392 tentatives de connexions référencées.

Stretchoid: 814 IP connues, 43 410 tentatives de connexions référencées.

Shadow Server: 288 IP connues, 61 387 tentatives de connexions référencées.

Censys: 458 IP connues, 313 805 tentatives de connexions référencées.

La médaille d’or va au Russe Starcrecium Limited, hébergeur fantôme géo-localisé à Chypre avec 518 IP connues et 395 434 tentatives de connexions référencées.

Amazon, avec 84 372 IP connues, culmine à 135 627 tentatives de connexions que nous avons jugées malveillantes.

Et Google, avec 46 134 IP connues, arrive derrière avec 112 758 tentatives de connexions jugées malveillantes.

INFRASTRUCTURE

Les sentinelles

Présents sur 4 continents, les serveurs sentinelles de l’infrastructure de WS-Shield détectent jour après jour les adresses IP malveillantes qui sont utilisées pour attaquer les machines connectées au réseau Internet.

Londres

Québec

Francfort

Singapour

Strasbourg

Sydney

Gravelines

Varsovie

Quotidiennement, nos sources internes et externes référencent plus de 650 000 IP dont l’activité est malveillante.

No-Code to be safe

De là, nous sommes en mesure d’identifier les entités et les pays les plus actifs de manière globale ou spécifique.

Pour profiter de ces précieuses données, avec WS-Shield, cliquez, sélectionnez, validez.

Interface

Notre approche de la sécurité, c’est ça:

Mettre en place un piège à scanners de ports, c’est 12 clics souris.

Exploiter les plus pertinentes listes noires du web, au plus court coûte un clic souris.

Un clic pour voir sur votre serveur d’où vient l’ennemi.

Mettre en place une stratégie pour bloquer l’activité d’un ransomware, c’est 12 clics souris.

Déterminer avec qui sur cette planète on accepte de dialoguer prend moins de 20 clics souris.

le log des connexions réseau, c’est un œil à jeter pour se rendre compte si tout va bien.

Surveiller l’activité des logiciels et interdire l’exécution de tout inconnu qui viendrait s’installer sans prévenir. 4 clics souris.

3 clics souris. Plus économique que cela dans le domaine de la gestion de droits utilisateurs, ça n’existe pas.

Sinon

L’autre approche de la sécurité, c’est ça:

Suricata, très connu, très populaire, c’est du Linux et de la ligne de commande.

Les GPO, incontournables dans la gestion des droits utilisateurs. C’est du Windows, avec 4 500 options en liste hiérarchique ou en PowerShell.

WS-Shield est le raccourci du cursus de la sécurité sous Windows, c’est votre passeport vers la pérennité de vos machines.

HAProxy, très puissant, c’est du Linux et de la ligne de commande.

Snort, le plus connu, le plus répandu, considéré comme le meilleur agent de surveillance réseau. C’est du Linux et de la ligne de commande.

Data

La donnée est ce qui a de la valeur

Notre abonnement à AbuseIPDB s’élève à 1 068,00 $ par an pour 50 000 requêtes par jour. Notre besoin étant de 200 000 requêtes par jour, nous contournons les limitations de notre abonnement…

WS-Shield vous sert tout cela sur un plateau prêt à défendre et protéger vos serveurs et vos postes de travail.

Du Zéro code pour du Zéro Trust.
Du simple clic dans du tout-en-un.
Peut-on parler d’innovation?

L’administrateur système, une fois abonné à la source de données, doit être en mesure de récupérer les adresses IP distantes des connexions entrantes et sortantes, puis de se connecter à la base de données pour lui envoyer l’IP et récupérer les informations correspondantes, déterminer si elle est malveillante et dans ce cas, l’injecter dans le pare-feu pour la bloquer.

C’est du code, du temps, de la compétence, de l’expérience, de l’argent.

Les bases de données de WS-Shield représentent 16 millions d’enregistrements collectés depuis divers sources. Ces données sont traitées, elles sont régulièrement mises à jour et immédiatement disponibles. Nous n’avons pas le temps d’attendre que les serveurs WHOIS répondent à nos requêtes ou nous bannissent parce que nous avons posé trop de questions dans la même heure.

C’est du code, du temps, de la compétence, de l’expérience, de l’argent.

Sandbox

Voici un exemple de serveur Windows protégé par WS-Shield:
il s’agit d’un serveur hôte de sessions Bureau à distance , accessible publiquement depuis Internet et auquel on se connecte en HTML5 sans identification préalable. Vous cliquez sur le bouton ci-dessous et vous arrivez sur un bureau Windows sans rien avoir à faire.

 

Contactez-nous

01 47 09 09 97

15, avenue Gambetta, 92410 Ville d'Avray

Lundi-vendredi: 9h – 19h

Démo

Demandez une démonstration en live ou une version de démonstration de WS-Shield.