palais descongrèsParis7, 8 et 9février 2012
APT : Diminuer le risquegrâce à un retour aux baseset aux bonnes pratiques8 février 2012Pascal SauliereArchitecte sécurité...
Objectifs de la session Avoir une idée des « APT » Redéfinir les priorités Rendre les attaques plus difficiles Diminuer le...
Advanced Persistent Threat (APT)Its taken me a few years, but Ive come around to this buzzword. Ithighlights an important ...
Actualité 2010-2011 : attaques ciblées contre clients sensibles, y compris en Europe et en France Enjeux économiques, stra...
Exemple
APT : Advanced (?) PersistentThreat Sophistication organisationnelle plus que technique Équipes professionnelles travailla...
Étapes                                    Création d’une présence               Persistance          permanente sur le    ...
4.L’attaquant utilise les credentials pour     compromettre plus de machines              7. L’attaquant prend le contrôle...
Autre méthode rencontrée   1. Exploitation vulnerabilité   RDP vers systèmes internes   2. Installation malware         In...
Exemple : WCEWindows Credentials Editor (WCE)Évolution de Pass-the-Hash.Les hashes sont aussi efficaces que le mot de pass...
DEMOD’administrateur local àadministrateur du domaine en 5minutes
Précisions Ce n’est pas une vulnérabilité Administrateur  LocalSystem Accès à tous les secrets du système local Inclut le...
Pourquoi cette attaque marche Mauvaises pratiques Systèmes et applications pas à jour Windows XP non patché Adobe Reader n...
Cibles Active Directory Serveurs de fichiers Serveurs Exchange Serveurs Sharepoint Serveurs SQL Données métier au sens large
La tâche des attaquants est tropsimple Attaques pas très sophistiquées Utilisent des méthodes connues Copie des POC d’expl...
Les fondamentauxLes bases à traiter avant toute chose
GRCConformitéCe que vous devez faireGouvernanceCe que vous devriez faireGestion des risquesCe que vous choisissez de faire
Avant tout, connaître son parc Inventaire à jour ? Classification des données Identifier les « joyaux de la couronne » à p...
#1 – versions et mises à jour
Windows et IE
Fonctionnalités de sécurité  Office Protected       Managed Service       Active Directory        View                Acco...
Mises à jour Quasiment aucun 0day dans les attaques Toujours des vulnérabilités anciennes, voire très anciennes Mises à jo...
Exploits contre CVE-2011-0611                          Zero-day                          1 month after update             ...
#2 – architecture ADReflète souvent les choix faits lors de la migration de NT4 à Windows 2000  Architecture              ...
#3 – gestion de configuration    Start Secure        Stay Secure        Confirm You’re                                    ...
#4 – administrateurs Principe de moindre privilège ignoré AD « facilitateur d’administration » « Si ça ne marche pas, j’ut...
ConcrètementÉlément                                         RésultatTrop d’administrateurs                            75%A...
Administrateurs AD est au cœur de la sécurité du SI Domain Admins = TOUS les droits sur TOUT Très peu de tâches nécessiten...
Protection des admins dudomaine Administrateurs du domaine logon sur un DC uniquement ou sur une station dédiée, « sécuris...
Comptes privilégiés Mots de passe de ces comptes règle de complexité : c’est un minimum les administrateurs doivent s’astr...
Comptes privilégiés Membre dun groupe "à pouvoir" du domaine (domain admins, etc.) Compte qui a des privilèges Windows don...
#5 – supervision Victime typique des IDS des anti-malware un gestionnaire d’événements de sécurité corrélant des gigaoctet...
Supervision sécurité Commencer par surveiller uniquement les systèmes les plus importants Collecter uniquement les données...
Actions possibles Collecter Collecter les données pour analyse ultérieure Compter États binaires Comportements anormaux (s...
Données essentielles                   Type de données     Informations       Utilisation                   Données des   ...
Compléments
Protection des données Classification Isolation de domaine IPsec DLP / RMS EFS, BitLocker
Postes de travail Autorun Clés USB (cf. Stuxnet) Mais aussi partages réseau (cf. Conficker) BitLocker Vol de portables
RéseauChez un client : 8000 règles defirewallChez un autre : 20 firewalls àtraverser entre deux sitesSans compter les VLAN...
Antivirus / antimalware Un antivirus protège des malwares qu’il connaît (La Palice) Ne protège pas d’un administrateur How...
Résumé des bases1. Versions et mises à jour2. Architecture Active Directory3. Gestion de configuration4. Partitionnement d...
Les bases d’abord  Antivirus                            firewallsmultifonctions    Supervision                           I...
Consen
Pour conclure Rendre la tâche des attaquants un peu plus difficile Régler les bases en priorité GRC (gouvernance, risques,...
palais descongrèsParis7, 8 et 9février 2012
APT : Diminuer le risque grâce à un retour aux bases et aux bonnes pratiques
Prochain SlideShare
Chargement dans…5
×

APT : Diminuer le risque grâce à un retour aux bases et aux bonnes pratiques

391 vues

Publié le

Les "APT" (Advanced Persistent Threats) ne sont souvent pas si "avancées" que l'on imagine. Le plus souvent leurs auteurs n'exploitent que des faiblesses basiques dans l'architecture et les opérations du réseau. C'est pourquoi un retour aux bases est nécessaire pour rendre ces attaques plus difficiles : architecture Active Directory, gestion des versions et configurations, partitionnement des identifiants, supervision adaptée.

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
391
Sur SlideShare
0
Issues des intégrations
0
Intégrations
2
Actions
Partages
0
Téléchargements
13
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

APT : Diminuer le risque grâce à un retour aux bases et aux bonnes pratiques

  1. 1. palais descongrèsParis7, 8 et 9février 2012
  2. 2. APT : Diminuer le risquegrâce à un retour aux baseset aux bonnes pratiques8 février 2012Pascal SauliereArchitecte sécurité, CISSP, CCSKMicrosoft France
  3. 3. Objectifs de la session Avoir une idée des « APT » Redéfinir les priorités Rendre les attaques plus difficiles Diminuer les risques
  4. 4. Advanced Persistent Threat (APT)Its taken me a few years, but Ive come around to this buzzword. Ithighlights an important characteristic of a particular sort of Internetattacker.A conventional hacker or criminal isnt interested in any particular target.He wants a thousand credit card numbers for fraud, or to break into anaccount and turn it into a zombie, or whatever. Security against this sortof attacker is relative; as long as youre more secure than almosteveryone else, the attackers will go after other people, not you. An APTis different; its an attacker who -- for whatever reason -- wants to attackyou. Against this sort of attacker, the absolute level of your security iswhats important. It doesnt matter how secure you are compared to yourpeers; all that matters is whether youre secure enough to keep him out.APT attackers are more highly motivated. Theyre likely to be betterskilled, better funded, and more patient. Theyre likely to try severaldifferent avenues of attack. And theyre much more likely to succeed.This is why APT is a useful buzzword.Bruce Schneier, Nov. 2011
  5. 5. Actualité 2010-2011 : attaques ciblées contre clients sensibles, y compris en Europe et en France Enjeux économiques, stratégiques, nationaux Impact très important pour les clients affectés Fuites de données hautement confidentielles Des mois et des dizaines de personnes pour retrouver la maîtrise de son SI
  6. 6. Exemple
  7. 7. APT : Advanced (?) PersistentThreat Sophistication organisationnelle plus que technique Équipes professionnelles travaillant aux heures de bureau du pays source (ou relai) de l’attaque Opérations spécifiques et ciblées Utilisation d’un large spectre d’attaques Intention de s’installer pour perdurer Réponse adaptative, pas d’abandon Ciblage de la propriété intellectuelle
  8. 8. Étapes Création d’une présence Persistance permanente sur le réseau Compromission Extension d’environnements additionnels Escalade Accumulation de privilèges Accès Intrusion initiale dans le réseau
  9. 9. 4.L’attaquant utilise les credentials pour compromettre plus de machines 7. L’attaquant prend le contrôle du domaine. 6.L’attaquant récupère les credentials d’administrateur de domaine 1.L’attaquant envoie un email de “phishing” à la cible 5.L’attaquant récupère les credentials2.La cible ouvre le mail, la d’admininistrateur de serveurs machine est compromise3.L’attaquant moissonne les credentials sur la machine
  10. 10. Autre méthode rencontrée 1. Exploitation vulnerabilité RDP vers systèmes internes 2. Installation malware Installation de malware 3. Mot de passe admin AD Exécution de commandes à distance Systèmes connectés en VPN
  11. 11. Exemple : WCEWindows Credentials Editor (WCE)Évolution de Pass-the-Hash.Les hashes sont aussi efficaces que le mot de passeDans un contexte administrateur local, WCE récolte leshashes des utilisateurs / services authentifiés localement Dont en particulier les comptes admins du domaineNote – l’accès à un partage réseau n’expose pas les hashessur le serveur de fichiers
  12. 12. DEMOD’administrateur local àadministrateur du domaine en 5minutes
  13. 13. Précisions Ce n’est pas une vulnérabilité Administrateur  LocalSystem Accès à tous les secrets du système local Inclut les sessions locales Le cache de logon (cached credentials) ne contient pas les hashes des mots de passe Les smartcards obligatoires n’empêchent rien Le hash est dans la session Ne restreint que le logon local
  14. 14. Pourquoi cette attaque marche Mauvaises pratiques Systèmes et applications pas à jour Windows XP non patché Adobe Reader non patché, etc. Une simple pièce jointe suffit Mauvaise utilisation des comptes privilégiés L’utilisateur est admin local (sinon, élévation de privilège non patchée…) Admin du domaine sur une machine compromise
  15. 15. Cibles Active Directory Serveurs de fichiers Serveurs Exchange Serveurs Sharepoint Serveurs SQL Données métier au sens large
  16. 16. La tâche des attaquants est tropsimple Attaques pas très sophistiquées Utilisent des méthodes connues Copie des POC d’exploits postés en ligne Profitent de failles dans des principes de base de la sécurité Versions, configurations, architecture, administrateurs Habitudes : réutilisation de mots de passe Rentables Il faut compliquer la tâche des attaquants de façon à augmenter le coût des intrusions
  17. 17. Les fondamentauxLes bases à traiter avant toute chose
  18. 18. GRCConformitéCe que vous devez faireGouvernanceCe que vous devriez faireGestion des risquesCe que vous choisissez de faire
  19. 19. Avant tout, connaître son parc Inventaire à jour ? Classification des données Identifier les « joyaux de la couronne » à protéger en priorité
  20. 20. #1 – versions et mises à jour
  21. 21. Windows et IE
  22. 22. Fonctionnalités de sécurité Office Protected Managed Service Active Directory View Accounts Federation Services Active Directory AppLocker BitLockerRights Mgt ServicesRead-Only Domain Restricted Groups App-V ControllerOffice File Validation DNS Sec SmartScreen
  23. 23. Mises à jour Quasiment aucun 0day dans les attaques Toujours des vulnérabilités anciennes, voire très anciennes Mises à jour disponibles Vulnérabilités applicatives Fichiers PDF Flash Office (vulnérabilités de 2006-2009 non patchées…) http://www.microsoft.com/securityupdateguide
  24. 24. Exploits contre CVE-2011-0611 Zero-day 1 month after update 2+ months after update
  25. 25. #2 – architecture ADReflète souvent les choix faits lors de la migration de NT4 à Windows 2000 Architecture Stratégies Forêts avec des trusts filtrés GPO alignés sur les politiques de Peu sécurité d’administrateurs, délégation, grou Désactiver LanMan et autres pes restreints protocoles faibles RODC pour les sites exposés Restreindre l’utilisation des comptes privilégiés
  26. 26. #3 – gestion de configuration Start Secure Stay Secure Confirm You’re Secure • Managed • Desired • Continually desktop, server Configuration compare actual to images Manager expected • Least privilege • Change control • Asset inventory processes
  27. 27. #4 – administrateurs Principe de moindre privilège ignoré AD « facilitateur d’administration » « Si ça ne marche pas, j’utilise un compte admin » Administration quotidienne, helpdesk Comptes de services, tâches planifiées « Si je change les mots de passe, plus rien ne marche » Comptes de services, tâches planifiées « Je ne vais pas changer de compte juste pour aller sur Facebook »
  28. 28. ConcrètementÉlément RésultatTrop d’administrateurs 75%Admins avec “Mot de passe n’expire jamais" 91%LAN Manager Hash présent 75%Stratégies de groupe non utilisées pour 61%appliquer la sécuritéPas de plan de reprise sur incident documenté 50%Sauvegardes non sécurisées 53% Compilation de 8000 ADRAP
  29. 29. Administrateurs AD est au cœur de la sécurité du SI Domain Admins = TOUS les droits sur TOUT Très peu de tâches nécessitent un compte administrateur Utiliser la délégation Malheureusement sous-utilisée Protéger les admins Pas uniquement Domain Admins « Comptes privilégiés »
  30. 30. Protection des admins dudomaine Administrateurs du domaine logon sur un DC uniquement ou sur une station dédiée, « sécurisée » outils d’administration à distance ou forêt séparée (voir offre MCS) “A less sensitive system may depend on a more sensitive system for its security... A more sensitive system must never depend on a less sensitive system for its security” Windows Server 2008 Security Resource Kit, “Securing the Network”
  31. 31. Comptes privilégiés Mots de passe de ces comptes règle de complexité : c’est un minimum les administrateurs doivent s’astreindre à plus de complexité Comptes de service au plus, admin d’une machine et d’une seule idem pour les tâches planifiées
  32. 32. Comptes privilégiés Membre dun groupe "à pouvoir" du domaine (domain admins, etc.) Compte qui a des privilèges Windows donnés par GPO pour certains membres Membre dun groupe local admin sur un membre (SAM) Compte Trusted for delegation Compte pour lequel il existe des ACL explicites sur des objets de lAD
  33. 33. #5 – supervision Victime typique des IDS des anti-malware un gestionnaire d’événements de sécurité corrélant des gigaoctets de données chaque jour répond à des centaines d’alertes chaque jour Mais… ils ont été compromis ils l’ont appris par d’autre moyens
  34. 34. Supervision sécurité Commencer par surveiller uniquement les systèmes les plus importants Collecter uniquement les données nécessaires Analyser en priorité les tendances, puis le contenu si nécessaire Prévoir la diversité assez tôt, éviter la complexité et les volumes importants
  35. 35. Actions possibles Collecter Collecter les données pour analyse ultérieure Compter États binaires Comportements anormaux (systèmes silencieux…) Comparer Tendances dans une population Différences avec un groupe homogène Analyser Analyse détaillée du contenu
  36. 36. Données essentielles Type de données Informations Utilisation Données des Connexion vers Comparer : transferts proxies des IP externes Analyser : comms avec des IP malveillantes connues Données de Connexions à Collecter : uniquement sur les Netflow l’intérieur du routeurs clés, garder pour IRRéseau réseau Données AV Santé des Comparer : volumes de connexion systèmes et d’infection Données WER Santé des Comparer : nombre de systèmes systèmes qui crashent, distribution des applications Événements d’audit Activité des Compter : DC inactifsleurs de domaine systèmes Comparer : volume d’évts par DC Événements de Nouveaux Compter : alertes sur tout cycle de vie des comptes, événement impliquant des comptes appartenance aux administrateurs groupes
  37. 37. Compléments
  38. 38. Protection des données Classification Isolation de domaine IPsec DLP / RMS EFS, BitLocker
  39. 39. Postes de travail Autorun Clés USB (cf. Stuxnet) Mais aussi partages réseau (cf. Conficker) BitLocker Vol de portables
  40. 40. RéseauChez un client : 8000 règles defirewallChez un autre : 20 firewalls àtraverser entre deux sitesSans compter les VLANLe réseau ne peut pas être à100% « propre » ConsumérisationProtéger données et servicessensiblesSolutions simples Isolation de domaine IPsec Détection des devices
  41. 41. Antivirus / antimalware Un antivirus protège des malwares qu’il connaît (La Palice) Ne protège pas d’un administrateur How to bypass an antivirus : http://resources.infosecinstitute.com/how-to-bypass-an- antivirus Un antivirus sur un système non patché ne sert à rien
  42. 42. Résumé des bases1. Versions et mises à jour2. Architecture Active Directory3. Gestion de configuration4. Partitionnement des credentials (protection des administrateurs)5. Supervision
  43. 43. Les bases d’abord Antivirus firewallsmultifonctions Supervision IDS, IPS Corrélation XP SP2, IE 6 Office 2000 Adobe Reader, Flash Administrateurs Autorun
  44. 44. Consen
  45. 45. Pour conclure Rendre la tâche des attaquants un peu plus difficile Régler les bases en priorité GRC (gouvernance, risques, conformité) pour définir les priorités Solutions simples et éprouvées
  46. 46. palais descongrèsParis7, 8 et 9février 2012

×