SlideShare une entreprise Scribd logo
1  sur  35
Réponse aux incidents
Approche et enseignements
WHO
WE ARE
Founded in 2012 by Christophe BIANCO and Xavier VINCENS in
Luxembourg to offer a customizable suite of services, across
the whole information security domain.
R&DExpertise Partnership
We put innovation
at the center of our
services to provide
the most suitable
solutions to our
customers
(ie.g EyeTools
Suite)
Solutions
respecting
standards - ISO
27001, CISM,
CISA, ITIL - and
best practices.
Our resources as
an extension of
your operational
teams
Your first call when it comes to IT and security
Our vision
WHAT
WE PROVIDE
Service model
Cyber resiliency
Investigate, remediate and adapt
the security posture to maintain
business productivity
Cyber strategy
Assess prioritized exposure,
anticipate threats/attacks,
define policies and adjust
security posture
Cyber infrastructure
Prepare, manage and
implement the security
posture
Cyber operation
Operate security posture
to enable business
operations
Cyber intelligence
Collect, analyse, report/
alert, share cyber
information
A team of 18
people for SOC
operations
17 millions
SIEMS
Events (nov.
2017)
+ of 1,5 case /
week in 2017
1100 hours dedicated to
investigation
152 intrusion
tests in 2017
1946 Offenses
(escalated to the
SOC for analysis)
10 Vulnerabilities
published every
year(CVE)
Your first call when it comes to IT and security
Securing our customers operations to allow them
running efficient and profitable business
operations
WHERE
WE ARE
Your first call when it comes to IT and security
Awards (IBM 2014-2016-2017)
APSI (2017)
Cyber security specialists
A turnover approaching 11,2 M€ in 2017
Clients (financial, multinational and
governmental organizations)
80
11
200
4
Technical Partnerships30
LUXEMBOURG
Excellium Services
CSC, Datacenter Lux,
CGI, Fujitsu
BELGIUM
Excellium Services BE
NRB & Telenet (320M€ &
Revenues)
SENEGAL
Suricate Solution 

ADIE (National IT agency)
TUNISIA
Excellium Factory - Alfaros
Tunisie Telecom
FRANCE
Jaguar Networks
(30M€ Revenues)
SWISS
MOROCCO
MedTech Group (100M€
Revenues)
Excellium launched its services in Belgium, and work with subsidiaries
active in Morocco, Tunisia, Senegal and Ivory Coast, France and
Switzerland are planned for 2019.
WHO
WE ARE
In order to build customer loyalty and support them in a long-term
relationship, Excellium Services has long understood the need to
offer them innovative, high-quality services delivered by
responsible and competent employees.
Your first call when it comes to IT and security
Tunisie
× Excellium CSIRT
× Membres accrédité de TF CSIRT
× Membres de CERT.LU
6
CERT-XLM
× Malware outbreak
× Intrusions
× Phishing / Fraude au président
× Data leaks
× Levée de doutes
7
CERT-XLM Engagements 2018
8
Etes vous préparés ?
“malware detecté par l’antivirus”
9
Que faire ?
Premiers objectifs
× Qu’est ce que c’est ?
× Quand ?
× Comment ?
10
Que faire ?
× Est-ce le seul dans votre domaine ?
Second Objectif
11
Que faire ?
12
Avant de commencer
Premières réactions : 
× Isoler la station
× Faire une captation forensique
○ Mémoire en premier / Le disque peut être fait par
après si nécessaire
× Sécuriser les logs
× Ne pas utiliser d’identifiants du domaine !
13
Que faire ? 
× Qu’est–ce c’est ?
× Quand ?
× Comment ?
14
Qu’est ce que c’est ?
Identifier un malware ne nécessite pas obligatoirement des compétences techniques poussées.
× Threat intelligence
○ Hash de fichiers ( VT, Feeds )
○ Détection par antivirus multiples.
○ Rechercher les IOC dans les feeds.
× Unpacking
○ Antivirus multiples / Sandboxes
○ Règles Yara sur les dump mémoire
× Après tout cela, un malware « Inconnu » est assez rare.
15
Qu’est ce que c’est ?
Classification…
× Dropper
× Banking
× Stealer
× RAT
× Miner
× BotNet Drones
16
Que faire ?
× Qu’est ce que c’est ?
× Quand ?
× Comment ?
DétectionInstallation
17
Que faire ?…
× Qu’est-ce que c’est ?
× Quand ?
× Comment ?
“Petits tracas”…
Histoires vraies…
18
Containement RAT
× On a trouvé un “Remote Access Tool”….
○ Celui ci est connu, il est facile de le détecter dans vos logs proxy, il utilise un header
“User-Agent” atypique.
× Nous n’avons pas le User-Agent dans nos logs.
Serveur Web compromis.
× Notre serveur web à été compromis, dites nous comment.
○ Avec une rétention des logs d’accès de 1 mois c’est assez compliqué pour nous.
Pendant une investigation
× Nous investiguons sur cette intrusion, nous cherchons le patient 0.
× Pouvez vous nous donner les logs sur une période de deux mois ?
○ Bien sur, nous avons 6 mois de logs archivés…
○ Mais il y a un soucis, nous transférons les archives sur le NAS en FTP, le script les
upload en ASCII depuis des mois.
Pendant une brèche.
× La licence de l’antivirus de la Gateway mail est expirée.
× Rien n’est bloqué, nous avons éteint la Gateway mail.
× Pouvez vous nous dire ce qui aurait pu passer.
○ En fait les logs d’accès sont sur la gateway mail vous ne les exportez pas.
Pendant un DDOS
× Nous sommes la cible d’un DDoS… Aidez nous !
○ Ok, quels sont les contacts chez votre prestataire d’accès internet ?
× Ha… Attendez….
24
Les incidents de sécurité sont rares
Le volume n’est pas assez important pour être prêt et aguerris.
× La réponse à incident doit être préparée.
× Il ne peut avoir une procédure pour tous les incidents.
× Les données et logs nécessaires pendant les incidents doivent être validés
× Vous devez être entrainés pour être efficaces.
25
Comment valider vos logs ?
Simplement, utilisez les une fois… pour de vrai.
× Logs tronqués.
× Logs manquants ( retention ).
× Information manquante.
26
Proxy ou Firewall ?
Dans les logs, souvent vous êtes aveugles…
POST /bdk/gate.php HTTP/1.1
Accept: */*
Cookie: uHa5=kXFGd3JqQHMfnMbi9mFZAJHCGja0ZLs%3D;KQ=yt%2Fe[REDACTED]
Cache-Control: no-cache
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/7.0; SLCC2; [REDACTED]; Media Center PC 6.0)
Host: rinmisupher.com
Content-Length: 743
Connection: Close
6b6
…[REDACTED]
HTTP/1.1 200 OK
Server: nginx/1.6.2
Date: Wed, 13 Jun 2018 07:30:32 GMT
Content-Type: text/html
Transfer-Encoding: chunked
Connection: close
X-Powered-By: PHP/5.4.45
5a5
27
Proxy ou Firewall ?
Sur un proxy Bluecoat
POST /bdk/gate.php HTTP/1.1
Accept: */*
Cookie: uHa5=kXFGd3JqQHMfnMbi9mFZAJHCGja0ZLs%3D;KQ=yt%2Fe[REDACTED]
Cache-Control: no-cache
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/7.0; SLCC2; [REDACTED]; Media Center PC 6.0)
Host: rinmisupher.com
Content-Length: 743
Connection: Close
6b6
…[REDACTED]
HTTP/1.1 200 OK
Server: nginx/1.6.2
Date: Wed, 13 Jun 2018 07:30:32 GMT
Content-Type: text/html
Transfer-Encoding: chunked
Connection: close
X-Powered-By: PHP/5.4.45
5a5
28
Proxy or Firewall ?
Sur un firewall PaloAlto avec proxy transparent
POST /bdk/gate.php HTTP/1.1
Accept: */*
Cookie: uHa5=kXFGd3JqQHMfnMbi9mFZAJHCGja0ZLs%3D;KQ=yt%2Fe[REDACTED]
Cache-Control: no-cache
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/7.0; SLCC2; [REDACTED]; Media Center PC 6.0)
Host: rinmisupher.com
Content-Length: 743
Connection: Close
6b6
…[REDACTED]
HTTP/1.1 200 OK
Server: nginx/1.6.2
Date: Wed, 13 Jun 2018 07:30:32 GMT
Content-Type: text/html
Transfer-Encoding: chunked
Connection: close
X-Powered-By: PHP/5.4.45
5a5
29
Proxy or Firewall ?
Sur un firewall Checkpoint avec filtrage d’url
POST /bdk/gate.php HTTP/1.1
Accept: */*
Cookie: uHa5=kXFGd3JqQHMfnMbi9mFZAJHCGja0ZLs%3D;KQ=yt%2Fe[REDACTED]
Cache-Control: no-cache
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/7.0; SLCC2; [REDACTED]; Media Center PC 6.0)
Host: rinmisupher.com
Content-Length: 743
Connection: Close
6b6
…[REDACTED]
HTTP/1.1 200 OK
Server: nginx/1.6.2
Date: Wed, 13 Jun 2018 07:30:32 GMT
Content-Type: text/html
Transfer-Encoding: chunked
Connection: close
X-Powered-By: PHP/5.4.45
5a5
30
Proxy ou Firewall ?
Un malware se connectant a un C&C SSL
rinmisupher.comUser-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/7.0; SLCC2; [REDACTED]; Media
Center PC 6.0)
31
Déplacement latéral ?
Souvent, le client est aveugle.
× Log des stations de travail:
○ Rétention courte.
○ Pas de centralisation.
× Une exploitation de binaire ne laisse généralement pas de
logs.
× Déplacement latéral mais ; 
○ Où cette station de travaille reporte t’elle ?
○ Pas de logs des flux a l’intérieur du réseau.
32




Valider vos logs avant 

d’en avoir besoin !
“Dernière étape ”…
L’exercice de “lessons learn”
33
34
Lesson learn
Souvent, les solutions de sécurité sont en place.
× Mettre un grain de sable dans les rouages de
l’installation du malware.
○ Désactiver les macros.
○ Mettre en place de nouvelles detections.
× S’occuper des logs absents.
○ Retention
○ Problèmes
LUXEMBOURG
Excellium Services S.A
5 rue de Goell
L-5326 Contern
contact@excellium-services.com
+352 26 20 39 64
BELGIUM
Excellium Services Belgium
Orion Bldg, Belgicastraat 13
B-1930 Zaventem, Belgium
office-be@excellium-services.com
+32 2 899 61 61
TUNISIE
Excellium Factory / Alfaros
B214 technopole El Gazala
Ariana /  Tunisie
contact@alfaros.tn
+216 98 3362 93
T H A N K Y O U
Your first call when it comes to IT and Security
www.excellium-services.com Excellium Services @ExcelliumSA

Contenu connexe

Tendances

Dcufd formation-designing-cisco-data-center-unified-fabric
Dcufd formation-designing-cisco-data-center-unified-fabricDcufd formation-designing-cisco-data-center-unified-fabric
Dcufd formation-designing-cisco-data-center-unified-fabric
CERTyou Formation
 
GDPR Roadshow Business Decision Eolas - Grenoble 2017
GDPR Roadshow Business Decision Eolas - Grenoble 2017GDPR Roadshow Business Decision Eolas - Grenoble 2017
GDPR Roadshow Business Decision Eolas - Grenoble 2017
Pascal Fouque
 
Dcuci formation-cisco-data-center-unified-computing-implementation
Dcuci formation-cisco-data-center-unified-computing-implementationDcuci formation-cisco-data-center-unified-computing-implementation
Dcuci formation-cisco-data-center-unified-computing-implementation
CERTyou Formation
 
Dcict formation-introduction-aux-technologies-cisco-data-center
Dcict formation-introduction-aux-technologies-cisco-data-centerDcict formation-introduction-aux-technologies-cisco-data-center
Dcict formation-introduction-aux-technologies-cisco-data-center
CERTyou Formation
 
Forum aaf preuve sécurité 22 mars 2013 (2)
Forum aaf preuve  sécurité 22 mars 2013 (2)Forum aaf preuve  sécurité 22 mars 2013 (2)
Forum aaf preuve sécurité 22 mars 2013 (2)
AssociationAF
 
Ajext formation-advanced-junos-enterprise-switching-troubleshooting
Ajext formation-advanced-junos-enterprise-switching-troubleshootingAjext formation-advanced-junos-enterprise-switching-troubleshooting
Ajext formation-advanced-junos-enterprise-switching-troubleshooting
CERTyou Formation
 
M10971 formation-stockage-et-haute-disponibilite-avec-windows-server-2012
M10971 formation-stockage-et-haute-disponibilite-avec-windows-server-2012M10971 formation-stockage-et-haute-disponibilite-avec-windows-server-2012
M10971 formation-stockage-et-haute-disponibilite-avec-windows-server-2012
CERTyou Formation
 
Cysecu formation-introduction-a-la-securite-informatique (1)
Cysecu formation-introduction-a-la-securite-informatique (1)Cysecu formation-introduction-a-la-securite-informatique (1)
Cysecu formation-introduction-a-la-securite-informatique (1)
CERTyou Formation
 
Cuwn formation-mettre-en-oeuvre-un-reseau-sans-fil-cisco
Cuwn formation-mettre-en-oeuvre-un-reseau-sans-fil-ciscoCuwn formation-mettre-en-oeuvre-un-reseau-sans-fil-cisco
Cuwn formation-mettre-en-oeuvre-un-reseau-sans-fil-cisco
CERTyou Formation
 
10 bonnes raisons de choisir Tsuga
10 bonnes raisons de choisir Tsuga10 bonnes raisons de choisir Tsuga
10 bonnes raisons de choisir Tsuga
Tsuga
 
Ajest formation-advanced-junos-enterprise-security-troubleshooting
Ajest formation-advanced-junos-enterprise-security-troubleshootingAjest formation-advanced-junos-enterprise-security-troubleshooting
Ajest formation-advanced-junos-enterprise-security-troubleshooting
CERTyou Formation
 
Ips formation-mettre-en-oeuvre-cisco-intrusion-prevention-system
Ips formation-mettre-en-oeuvre-cisco-intrusion-prevention-systemIps formation-mettre-en-oeuvre-cisco-intrusion-prevention-system
Ips formation-mettre-en-oeuvre-cisco-intrusion-prevention-system
CERTyou Formation
 

Tendances (20)

politique de sécurité a mettre en place
politique de sécurité a mettre en place politique de sécurité a mettre en place
politique de sécurité a mettre en place
 
Dcufd formation-designing-cisco-data-center-unified-fabric
Dcufd formation-designing-cisco-data-center-unified-fabricDcufd formation-designing-cisco-data-center-unified-fabric
Dcufd formation-designing-cisco-data-center-unified-fabric
 
RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants RGPD : impacts et guide pratique pour les sous-traitants
RGPD : impacts et guide pratique pour les sous-traitants
 
GDPR Roadshow Business Decision Eolas - Grenoble 2017
GDPR Roadshow Business Decision Eolas - Grenoble 2017GDPR Roadshow Business Decision Eolas - Grenoble 2017
GDPR Roadshow Business Decision Eolas - Grenoble 2017
 
Presentation nagios 2
Presentation nagios 2Presentation nagios 2
Presentation nagios 2
 
Dcuci formation-cisco-data-center-unified-computing-implementation
Dcuci formation-cisco-data-center-unified-computing-implementationDcuci formation-cisco-data-center-unified-computing-implementation
Dcuci formation-cisco-data-center-unified-computing-implementation
 
Dcict formation-introduction-aux-technologies-cisco-data-center
Dcict formation-introduction-aux-technologies-cisco-data-centerDcict formation-introduction-aux-technologies-cisco-data-center
Dcict formation-introduction-aux-technologies-cisco-data-center
 
Cybercrime Update : sensibilisation
Cybercrime Update : sensibilisationCybercrime Update : sensibilisation
Cybercrime Update : sensibilisation
 
Forum aaf preuve sécurité 22 mars 2013 (2)
Forum aaf preuve  sécurité 22 mars 2013 (2)Forum aaf preuve  sécurité 22 mars 2013 (2)
Forum aaf preuve sécurité 22 mars 2013 (2)
 
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDCMatinée d'échange et de réflexion - Sécurité Informatique en RDC
Matinée d'échange et de réflexion - Sécurité Informatique en RDC
 
Chasse aux menaces - Hackfest Decate (2018)
Chasse aux menaces - Hackfest Decate (2018)Chasse aux menaces - Hackfest Decate (2018)
Chasse aux menaces - Hackfest Decate (2018)
 
Prés kais
Prés kaisPrés kais
Prés kais
 
Ajext formation-advanced-junos-enterprise-switching-troubleshooting
Ajext formation-advanced-junos-enterprise-switching-troubleshootingAjext formation-advanced-junos-enterprise-switching-troubleshooting
Ajext formation-advanced-junos-enterprise-switching-troubleshooting
 
M10971 formation-stockage-et-haute-disponibilite-avec-windows-server-2012
M10971 formation-stockage-et-haute-disponibilite-avec-windows-server-2012M10971 formation-stockage-et-haute-disponibilite-avec-windows-server-2012
M10971 formation-stockage-et-haute-disponibilite-avec-windows-server-2012
 
Cysecu formation-introduction-a-la-securite-informatique (1)
Cysecu formation-introduction-a-la-securite-informatique (1)Cysecu formation-introduction-a-la-securite-informatique (1)
Cysecu formation-introduction-a-la-securite-informatique (1)
 
Cuwn formation-mettre-en-oeuvre-un-reseau-sans-fil-cisco
Cuwn formation-mettre-en-oeuvre-un-reseau-sans-fil-ciscoCuwn formation-mettre-en-oeuvre-un-reseau-sans-fil-cisco
Cuwn formation-mettre-en-oeuvre-un-reseau-sans-fil-cisco
 
10 bonnes raisons de choisir Tsuga
10 bonnes raisons de choisir Tsuga10 bonnes raisons de choisir Tsuga
10 bonnes raisons de choisir Tsuga
 
Ajest formation-advanced-junos-enterprise-security-troubleshooting
Ajest formation-advanced-junos-enterprise-security-troubleshootingAjest formation-advanced-junos-enterprise-security-troubleshooting
Ajest formation-advanced-junos-enterprise-security-troubleshooting
 
Nagio formation-nagios
Nagio formation-nagiosNagio formation-nagios
Nagio formation-nagios
 
Ips formation-mettre-en-oeuvre-cisco-intrusion-prevention-system
Ips formation-mettre-en-oeuvre-cisco-intrusion-prevention-systemIps formation-mettre-en-oeuvre-cisco-intrusion-prevention-system
Ips formation-mettre-en-oeuvre-cisco-intrusion-prevention-system
 

Similaire à Excellium : Réponses aux incidents - approches et enseignements

Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !
Kyos
 
Ir0997 formation-symantec-data-loss-prevention-12-administration
Ir0997 formation-symantec-data-loss-prevention-12-administrationIr0997 formation-symantec-data-loss-prevention-12-administration
Ir0997 formation-symantec-data-loss-prevention-12-administration
CERTyou Formation
 

Similaire à Excellium : Réponses aux incidents - approches et enseignements (20)

Symposium privacy by design
Symposium privacy by designSymposium privacy by design
Symposium privacy by design
 
annibal_mysqlcluster.ppt
annibal_mysqlcluster.pptannibal_mysqlcluster.ppt
annibal_mysqlcluster.ppt
 
Supervision d'un réseau informatique avec Nagios
Supervision d'un réseau informatique avec NagiosSupervision d'un réseau informatique avec Nagios
Supervision d'un réseau informatique avec Nagios
 
anssi-guide-tpe_pme.pdf
anssi-guide-tpe_pme.pdfanssi-guide-tpe_pme.pdf
anssi-guide-tpe_pme.pdf
 
2018.02.06 commission sécurité cloud - Présentation Serge Hartmann
2018.02.06 commission sécurité cloud - Présentation Serge Hartmann2018.02.06 commission sécurité cloud - Présentation Serge Hartmann
2018.02.06 commission sécurité cloud - Présentation Serge Hartmann
 
Snort
SnortSnort
Snort
 
Full Plaquette Groupe Psi
Full Plaquette Groupe PsiFull Plaquette Groupe Psi
Full Plaquette Groupe Psi
 
Données en ligne
Données en ligneDonnées en ligne
Données en ligne
 
Kit_Commerce_Cyber_Juin2023 (1).pdf
Kit_Commerce_Cyber_Juin2023 (1).pdfKit_Commerce_Cyber_Juin2023 (1).pdf
Kit_Commerce_Cyber_Juin2023 (1).pdf
 
070219 Webinar Sensibilisation Sécurité Logiciel Everteam
070219 Webinar Sensibilisation Sécurité Logiciel Everteam070219 Webinar Sensibilisation Sécurité Logiciel Everteam
070219 Webinar Sensibilisation Sécurité Logiciel Everteam
 
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 -  Sécurité informatique : entre obligations et opportunités. Comm...earlegal#7 -  Sécurité informatique : entre obligations et opportunités. Comm...
earlegal#7 - Sécurité informatique : entre obligations et opportunités. Comm...
 
Sécurité des données
Sécurité des donnéesSécurité des données
Sécurité des données
 
La sécurité endpoint : efficace, mais pas efficient
La sécurité endpoint : efficace, mais pas efficientLa sécurité endpoint : efficace, mais pas efficient
La sécurité endpoint : efficace, mais pas efficient
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ips
 
Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
Kit_Commerce_Cyber_Juillet 2023.pdf
Kit_Commerce_Cyber_Juillet 2023.pdfKit_Commerce_Cyber_Juillet 2023.pdf
Kit_Commerce_Cyber_Juillet 2023.pdf
 
La RGPD c'est quoi ? - Alain Pothin
La RGPD c'est quoi ? - Alain PothinLa RGPD c'est quoi ? - Alain Pothin
La RGPD c'est quoi ? - Alain Pothin
 
Ir0997 formation-symantec-data-loss-prevention-12-administration
Ir0997 formation-symantec-data-loss-prevention-12-administrationIr0997 formation-symantec-data-loss-prevention-12-administration
Ir0997 formation-symantec-data-loss-prevention-12-administration
 
Kit_Commerce_Cyber_aout 2023.pdf
Kit_Commerce_Cyber_aout 2023.pdfKit_Commerce_Cyber_aout 2023.pdf
Kit_Commerce_Cyber_aout 2023.pdf
 

Plus de ANSItunCERT

Plus de ANSItunCERT (20)

Protection des enfants sur Internet et les appareils sous Android.pdf
Protection des enfants sur Internet et les appareils sous Android.pdfProtection des enfants sur Internet et les appareils sous Android.pdf
Protection des enfants sur Internet et les appareils sous Android.pdf
 
Fiche de suivi
Fiche de suiviFiche de suivi
Fiche de suivi
 
Fiche de suivi
Fiche de suivi Fiche de suivi
Fiche de suivi
 
SAHER Magazine - Juin 2020
SAHER Magazine - Juin 2020SAHER Magazine - Juin 2020
SAHER Magazine - Juin 2020
 
Phishing : Display name impersonation
Phishing : Display name impersonationPhishing : Display name impersonation
Phishing : Display name impersonation
 
SAHER Magazine - Mars 2020
SAHER Magazine - Mars 2020SAHER Magazine - Mars 2020
SAHER Magazine - Mars 2020
 
Modèle de déclaration des failles
Modèle de déclaration des faillesModèle de déclaration des failles
Modèle de déclaration des failles
 
NextCloud - télétravail
NextCloud - télétravailNextCloud - télétravail
NextCloud - télétravail
 
Safer Internet Day 2020
Safer Internet Day 2020 Safer Internet Day 2020
Safer Internet Day 2020
 
SAHER Magazine - Octobre 2019
SAHER Magazine - Octobre 2019SAHER Magazine - Octobre 2019
SAHER Magazine - Octobre 2019
 
SAHER Magazine - août 2019
SAHER Magazine - août 2019SAHER Magazine - août 2019
SAHER Magazine - août 2019
 
SAHER Magazine - Juillet 2019
SAHER Magazine - Juillet 2019SAHER Magazine - Juillet 2019
SAHER Magazine - Juillet 2019
 
SAHER Magazine - Juin 2019
SAHER Magazine - Juin 2019SAHER Magazine - Juin 2019
SAHER Magazine - Juin 2019
 
SAHER Magazine - Mai 2019
SAHER Magazine - Mai 2019SAHER Magazine - Mai 2019
SAHER Magazine - Mai 2019
 
SAHER Magazine - Avril 2019
SAHER Magazine - Avril 2019SAHER Magazine - Avril 2019
SAHER Magazine - Avril 2019
 
SAHER Magazine - Mars 2019
SAHER Magazine - Mars 2019SAHER Magazine - Mars 2019
SAHER Magazine - Mars 2019
 
Stratégie Tunisie Digitale 2020
Stratégie Tunisie Digitale 2020 Stratégie Tunisie Digitale 2020
Stratégie Tunisie Digitale 2020
 
Access now : Data Protection: What you should know about it?
Access now : Data Protection: What you should know about it?Access now : Data Protection: What you should know about it?
Access now : Data Protection: What you should know about it?
 
Enginov - Alpha Engineering : Modèles et plateforme de coordination avec le C...
Enginov - Alpha Engineering : Modèles et plateforme de coordination avec le C...Enginov - Alpha Engineering : Modèles et plateforme de coordination avec le C...
Enginov - Alpha Engineering : Modèles et plateforme de coordination avec le C...
 
Ansi - Tuncert : Référentiel d'audit de la sécurité des SI
Ansi - Tuncert : Référentiel d'audit de la sécurité des SIAnsi - Tuncert : Référentiel d'audit de la sécurité des SI
Ansi - Tuncert : Référentiel d'audit de la sécurité des SI
 

Excellium : Réponses aux incidents - approches et enseignements

  • 2. WHO WE ARE Founded in 2012 by Christophe BIANCO and Xavier VINCENS in Luxembourg to offer a customizable suite of services, across the whole information security domain. R&DExpertise Partnership We put innovation at the center of our services to provide the most suitable solutions to our customers (ie.g EyeTools Suite) Solutions respecting standards - ISO 27001, CISM, CISA, ITIL - and best practices. Our resources as an extension of your operational teams Your first call when it comes to IT and security Our vision
  • 3. WHAT WE PROVIDE Service model Cyber resiliency Investigate, remediate and adapt the security posture to maintain business productivity Cyber strategy Assess prioritized exposure, anticipate threats/attacks, define policies and adjust security posture Cyber infrastructure Prepare, manage and implement the security posture Cyber operation Operate security posture to enable business operations Cyber intelligence Collect, analyse, report/ alert, share cyber information A team of 18 people for SOC operations 17 millions SIEMS Events (nov. 2017) + of 1,5 case / week in 2017 1100 hours dedicated to investigation 152 intrusion tests in 2017 1946 Offenses (escalated to the SOC for analysis) 10 Vulnerabilities published every year(CVE) Your first call when it comes to IT and security Securing our customers operations to allow them running efficient and profitable business operations
  • 4. WHERE WE ARE Your first call when it comes to IT and security Awards (IBM 2014-2016-2017) APSI (2017) Cyber security specialists A turnover approaching 11,2 M€ in 2017 Clients (financial, multinational and governmental organizations) 80 11 200 4 Technical Partnerships30 LUXEMBOURG Excellium Services CSC, Datacenter Lux, CGI, Fujitsu BELGIUM Excellium Services BE NRB & Telenet (320M€ & Revenues) SENEGAL Suricate Solution 
 ADIE (National IT agency) TUNISIA Excellium Factory - Alfaros Tunisie Telecom FRANCE Jaguar Networks (30M€ Revenues) SWISS MOROCCO MedTech Group (100M€ Revenues) Excellium launched its services in Belgium, and work with subsidiaries active in Morocco, Tunisia, Senegal and Ivory Coast, France and Switzerland are planned for 2019.
  • 5. WHO WE ARE In order to build customer loyalty and support them in a long-term relationship, Excellium Services has long understood the need to offer them innovative, high-quality services delivered by responsible and competent employees. Your first call when it comes to IT and security Tunisie
  • 6. × Excellium CSIRT × Membres accrédité de TF CSIRT × Membres de CERT.LU 6 CERT-XLM
  • 7. × Malware outbreak × Intrusions × Phishing / Fraude au président × Data leaks × Levée de doutes 7 CERT-XLM Engagements 2018
  • 8. 8 Etes vous préparés ? “malware detecté par l’antivirus”
  • 9. 9 Que faire ? Premiers objectifs × Qu’est ce que c’est ? × Quand ? × Comment ?
  • 10. 10 Que faire ? × Est-ce le seul dans votre domaine ? Second Objectif
  • 12. 12 Avant de commencer Premières réactions :  × Isoler la station × Faire une captation forensique ○ Mémoire en premier / Le disque peut être fait par après si nécessaire × Sécuriser les logs × Ne pas utiliser d’identifiants du domaine !
  • 13. 13 Que faire ?  × Qu’est–ce c’est ? × Quand ? × Comment ?
  • 14. 14 Qu’est ce que c’est ? Identifier un malware ne nécessite pas obligatoirement des compétences techniques poussées. × Threat intelligence ○ Hash de fichiers ( VT, Feeds ) ○ Détection par antivirus multiples. ○ Rechercher les IOC dans les feeds. × Unpacking ○ Antivirus multiples / Sandboxes ○ Règles Yara sur les dump mémoire × Après tout cela, un malware « Inconnu » est assez rare.
  • 15. 15 Qu’est ce que c’est ? Classification… × Dropper × Banking × Stealer × RAT × Miner × BotNet Drones
  • 16. 16 Que faire ? × Qu’est ce que c’est ? × Quand ? × Comment ? DétectionInstallation
  • 17. 17 Que faire ?… × Qu’est-ce que c’est ? × Quand ? × Comment ?
  • 19. Containement RAT × On a trouvé un “Remote Access Tool”…. ○ Celui ci est connu, il est facile de le détecter dans vos logs proxy, il utilise un header “User-Agent” atypique. × Nous n’avons pas le User-Agent dans nos logs.
  • 20. Serveur Web compromis. × Notre serveur web à été compromis, dites nous comment. ○ Avec une rétention des logs d’accès de 1 mois c’est assez compliqué pour nous.
  • 21. Pendant une investigation × Nous investiguons sur cette intrusion, nous cherchons le patient 0. × Pouvez vous nous donner les logs sur une période de deux mois ? ○ Bien sur, nous avons 6 mois de logs archivés… ○ Mais il y a un soucis, nous transférons les archives sur le NAS en FTP, le script les upload en ASCII depuis des mois.
  • 22. Pendant une brèche. × La licence de l’antivirus de la Gateway mail est expirée. × Rien n’est bloqué, nous avons éteint la Gateway mail. × Pouvez vous nous dire ce qui aurait pu passer. ○ En fait les logs d’accès sont sur la gateway mail vous ne les exportez pas.
  • 23. Pendant un DDOS × Nous sommes la cible d’un DDoS… Aidez nous ! ○ Ok, quels sont les contacts chez votre prestataire d’accès internet ? × Ha… Attendez….
  • 24. 24 Les incidents de sécurité sont rares Le volume n’est pas assez important pour être prêt et aguerris. × La réponse à incident doit être préparée. × Il ne peut avoir une procédure pour tous les incidents. × Les données et logs nécessaires pendant les incidents doivent être validés × Vous devez être entrainés pour être efficaces.
  • 25. 25 Comment valider vos logs ? Simplement, utilisez les une fois… pour de vrai. × Logs tronqués. × Logs manquants ( retention ). × Information manquante.
  • 26. 26 Proxy ou Firewall ? Dans les logs, souvent vous êtes aveugles… POST /bdk/gate.php HTTP/1.1 Accept: */* Cookie: uHa5=kXFGd3JqQHMfnMbi9mFZAJHCGja0ZLs%3D;KQ=yt%2Fe[REDACTED] Cache-Control: no-cache User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/7.0; SLCC2; [REDACTED]; Media Center PC 6.0) Host: rinmisupher.com Content-Length: 743 Connection: Close 6b6 …[REDACTED] HTTP/1.1 200 OK Server: nginx/1.6.2 Date: Wed, 13 Jun 2018 07:30:32 GMT Content-Type: text/html Transfer-Encoding: chunked Connection: close X-Powered-By: PHP/5.4.45 5a5
  • 27. 27 Proxy ou Firewall ? Sur un proxy Bluecoat POST /bdk/gate.php HTTP/1.1 Accept: */* Cookie: uHa5=kXFGd3JqQHMfnMbi9mFZAJHCGja0ZLs%3D;KQ=yt%2Fe[REDACTED] Cache-Control: no-cache User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/7.0; SLCC2; [REDACTED]; Media Center PC 6.0) Host: rinmisupher.com Content-Length: 743 Connection: Close 6b6 …[REDACTED] HTTP/1.1 200 OK Server: nginx/1.6.2 Date: Wed, 13 Jun 2018 07:30:32 GMT Content-Type: text/html Transfer-Encoding: chunked Connection: close X-Powered-By: PHP/5.4.45 5a5
  • 28. 28 Proxy or Firewall ? Sur un firewall PaloAlto avec proxy transparent POST /bdk/gate.php HTTP/1.1 Accept: */* Cookie: uHa5=kXFGd3JqQHMfnMbi9mFZAJHCGja0ZLs%3D;KQ=yt%2Fe[REDACTED] Cache-Control: no-cache User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/7.0; SLCC2; [REDACTED]; Media Center PC 6.0) Host: rinmisupher.com Content-Length: 743 Connection: Close 6b6 …[REDACTED] HTTP/1.1 200 OK Server: nginx/1.6.2 Date: Wed, 13 Jun 2018 07:30:32 GMT Content-Type: text/html Transfer-Encoding: chunked Connection: close X-Powered-By: PHP/5.4.45 5a5
  • 29. 29 Proxy or Firewall ? Sur un firewall Checkpoint avec filtrage d’url POST /bdk/gate.php HTTP/1.1 Accept: */* Cookie: uHa5=kXFGd3JqQHMfnMbi9mFZAJHCGja0ZLs%3D;KQ=yt%2Fe[REDACTED] Cache-Control: no-cache User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/7.0; SLCC2; [REDACTED]; Media Center PC 6.0) Host: rinmisupher.com Content-Length: 743 Connection: Close 6b6 …[REDACTED] HTTP/1.1 200 OK Server: nginx/1.6.2 Date: Wed, 13 Jun 2018 07:30:32 GMT Content-Type: text/html Transfer-Encoding: chunked Connection: close X-Powered-By: PHP/5.4.45 5a5
  • 30. 30 Proxy ou Firewall ? Un malware se connectant a un C&C SSL rinmisupher.comUser-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/7.0; SLCC2; [REDACTED]; Media Center PC 6.0)
  • 31. 31 Déplacement latéral ? Souvent, le client est aveugle. × Log des stations de travail: ○ Rétention courte. ○ Pas de centralisation. × Une exploitation de binaire ne laisse généralement pas de logs. × Déplacement latéral mais ;  ○ Où cette station de travaille reporte t’elle ? ○ Pas de logs des flux a l’intérieur du réseau.
  • 32. 32 
 
 Valider vos logs avant 
 d’en avoir besoin !
  • 33. “Dernière étape ”… L’exercice de “lessons learn” 33
  • 34. 34 Lesson learn Souvent, les solutions de sécurité sont en place. × Mettre un grain de sable dans les rouages de l’installation du malware. ○ Désactiver les macros. ○ Mettre en place de nouvelles detections. × S’occuper des logs absents. ○ Retention ○ Problèmes
  • 35. LUXEMBOURG Excellium Services S.A 5 rue de Goell L-5326 Contern contact@excellium-services.com +352 26 20 39 64 BELGIUM Excellium Services Belgium Orion Bldg, Belgicastraat 13 B-1930 Zaventem, Belgium office-be@excellium-services.com +32 2 899 61 61 TUNISIE Excellium Factory / Alfaros B214 technopole El Gazala Ariana /  Tunisie contact@alfaros.tn +216 98 3362 93 T H A N K Y O U Your first call when it comes to IT and Security www.excellium-services.com Excellium Services @ExcelliumSA