APT : Comment récupérer la maîtrise de son SI

261 vues

Publié le

Comment récupérer la maîtrise de son Système d'Informations lorsque l'on est victime d'une "APT" (Advanced Persistent Threat = Infection persistante) ? Dans ce type de scénario, l'attaquant a la maîtrise complète du SI. S'il n'y a pas de recette universelle, plusieurs approches peuvent être tentées afin de reprendre la main sur son SI, d'en protéger en priorité les éléments les plus sensibles, et d'en garder le contrôle.

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
261
Sur SlideShare
0
Issues des intégrations
0
Intégrations
2
Actions
Partages
0
Téléchargements
6
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

APT : Comment récupérer la maîtrise de son SI

  1. 1. palais descongrèsParis7, 8 et 9février 2012
  2. 2. APT : retrouver lamaîtrise de son SI9 février 2012Pascal SauliereArchitecte Sécurité, CISSP, CCSKMicrosoft France
  3. 3. Objectifs de la sessionDes pistes de solutionspour retrouver la maitrisede son SI après uneintrusion de type « APT »Éviter les écueilsclassiques
  4. 4. APT : Advanced PersistentThreat Sophistication organisationnelle plus que technique Équipes professionnelles travaillant aux heures de bureau du pays source (ou relai) de l’attaque Opérations spécifiques et ciblées Utilisation d’un large spectre d’attaques Intention de s’installer pour perdurer Réponse adaptative, pas d’abandon Ciblage de la propriété intellectuelle
  5. 5. Conséquences de l’APT Compromissions et exploits omniprésents Malware, outils présents sur serveurs et postes Totale maîtrise de l’environnement Admins du domaine Admins des serveurs critiques Mots de passe compromis Supposer que TOUS sont compromis PKI, masters, etc. compromis Aucune confiance possible dans le SI
  6. 6. Que faire en cas d’intrusion ?
  7. 7. Jesper Johansson, 2004 On ne peut pas nettoyer un système compromis en le patchant Le seul moyen de en supprimant les back doors en "supprimant les vulnérabilités" nettoyer un système avec un scanner de virus en réinstallant par dessus l’installation existante Oncompromis està d’écraser ne peut faire confiance aucune donnée Onet peut pas faire confiance aux journaux ne reconstruire copiée depuis un système compromis d’événements d’un système compromis On ne peut pas faire confiance à la dernière sauvegarde
  8. 8. Que faire en cas d’intrusion ?
  9. 9. Le plan parfaitFermer tous les accès Internet et accès distantsChanger tous les mots de passeReconstruire Active DirectoryReconstruire tous les serveurs from scratchReconstruire tous les postes idemMettre à jour tous les logiciels, les défenses, lespolitiquesCorriger les vulnérabilitésRestaurer les données et applications légitimesÉduquer les utilisateursRedémarrer tous les services
  10. 10. Le plan parfait Pas si parfait Trop important, trop long Trop complexe Trop cher Trop perturbant (euphémisme)
  11. 11. Exemple de réponse initiale Monter une organisation de réponse à incident (IR) Établir des canaux de communication séparés Par exemple : PC neufs, Office 365 ou autre Évaluer l’étendue de l’intrusion Évaluer la vulnérabilité de l’environnement Définir des plans de remédiation
  12. 12. Plan général environement actuel migrer les nouvel environement effort de remédiation joyaux de la couronne Relever la barre Sécuriser les « joyaux de la retour à la normale couronnee » temps court terme moyen terme long terme <90 jours <18 mois <36 moisAnti malware Concevoir et construire le Migrer les systèmesVérifier les admins nouvel environnement restant Stratégie de migration Décider du sort deDésactiver LM l’ancien environnement Migrer les systèmes critiquesReset mots de passe Secure DevelopmentSurveillance trafic sortant LifecycleÉvaluation environnementRevues de code
  13. 13. Récupération de l’ActiveDirectory
  14. 14. Premières difficultés Répondre à des questions inhabituelles, sans procédure ni expérience « Quelle partie de l’IT est compromise ? » (et peut-être « Qu’est-ce que qu’il y a dans mon IT ? », « quels sont les systèmes critiques ? ») « Comment s’est passée l’intrusion ? » « Qui mettre dans la boucle ? » « Quelle est la première chose à faire ? » « Et ensuite ? » « Quelle stratégie, quelles opérations, quel calendrier ? »
  15. 15. Autres difficultés Le contexte est chaotique Pas de préparation Situation instable, les intrus sont toujours actifs Comment agir à l’insu des intrus ? (communications) Interlocuteurs inhabituels pour l’IT : juridique, relations presse, management, voire partenaires
  16. 16. Le rôle central de l’ActiveDirectory AD est la référence de sécurité du SI. Éléments les plus critiques : Contrôleurs de domaine Stations d’administration Administrateurs Comptes privilégiés Management : Supervision Gestion des mises à jour Gestion des sauvegardes Antivirus Le cas échéant : plateforme de virtualisation, stockage…
  17. 17. Définir la stratégie Il n’y a pas une réponse unique Dépend de : Étendue de la compromission Données vitales en danger ? Niveau d’acceptation des risques : arrêt de production, mauvaise presse, information de l’intrus sur le plan en cours Qui décide et comment Le choix d’une stratégie détermine la difficulté et la durée Dans tous les cas, l’AD doit être sécurisée, ce qui est une opération majeure
  18. 18. Comment récupérer son ADHypothèsesTous les comptes et mots de passe compromisL’OS des contrôleurs de domaine n’est plus fiableObjectifsRedonner confiance dans l’AD en reconstruisant les DCAugmenter la sécurité des DCMettre en place une vraie gestion des comptes privilégiés etcomptes de servicesIdentique au scénario « DC volé » ou « restauration d’uneforêt »
  19. 19. Grandes étapes
  20. 20. « Reset » des mots de passe Idéalement, tous les mots de passe Impact fort Au minimum, tous les comptes privilégiés Les autres sont forcés à expirer : changement obligatoire par les utilisateurs Reconfiguration nécessaire des services, tâches planifiées
  21. 21. Comptes privilégiés Vision simplifiée Membre dun groupe "à pouvoir" du domaine (domain admins, etc.) Compte qui a des privilèges Windows donnés par GPO pour certains membres Membre dun groupe local admin sur un membre (SAM) Compte Trusted for delegation Compte pour lequel il existe des ACL explicites sur des objets de lAD …
  22. 22. Comptes de service Limiter les comptes privilégiés à des machines fiables et surveillées (cf. WCE) Principe de moindre privilège Limiter les admins du domaine, les admins locaux, y compris sur les stations d’administration Plus l’étendue d’un privilège est importante, plus des ressources seront menacées Utiliser les comptes prévus : Local Service, Network Service Réduire la surface d’attaque Diminuant le nombre de services Isoler les comptes Un compte par service si possible Éviter les comptes locaux avec mêmes noms et mots de passe
  23. 23. Exemple concret 50 000 employés, 3 000 serveurs 550 jours-hommes, dont 74 en un weekend Durée : 3 mois 50+ personnes de Microsoft, 35 « le » weekend 3200+ emails 400+ livrables (dont scripts et procédures) 120+ serveurs (ré)installés en production

×