Nous vous présenterons le travail mené ces dernières années sur les crises de sécurité, plus particulièrement sur le cœur de la sécurité et de l’identité : Active Directory Lors de cette session, nous discuterons : - Des constats par rapport au contexte actuel ; - Des scénarios de remédiation Active Directory et de ce qu’ils impliquent pour votre organisation - Des approches proactives à appliquer pour minimiser le risque de compromission - Des solutions que Microsoft peut vous apporter pour vous protéger Cette session aborde les points techniques de la remédiation tout en restant accessible par un public non spécialisé.
Speakers : Didier Pilon (Microsoft France), Florent Reynal de Saint Michel (Microsoft France), Mohammed Bakkali (Microsoft France)
2. On a volé les clefs de mon SI !
Crises de sécurité
Florent REYNAL DE SAINT MICHEL
Florent.Reynal@microsoft.com
Senior Consultant
Mohammed BAKKALI
Mohammed.Bakkali@microsoft.com
Senior Consultant
Didier PILON
Didier.Pilon@Microsoft.com
Principal PFE PMC (Premier Mission Critical)
Entreprise / IT / Serveurs / Réseaux / Sécurité
3. Objectifs
Partager les retours d’expériences relatifs aux crises de sécurité
Présenter les méthodologies de remédiation éprouvées
Mettre en place des solutions proactives
4. AGENDA
Paysage actuel de la
cybercriminalité
La remédiation dans
la crise de sécurité
Solutions Proactives
de Microsoft
6. A chaque connexion Internet
Vous avez un accès instantané à …
Y compris…
Toute personne dans le
monde…
Mouvements
idéologiques
Etats
Crime organisé
N’importe où...
7. Les menaces sont nombreuses,
changeantes…
The virus erased data on three-quarters of Aramco’s
corporate PCs — documents, spreadsheets, e-mails,
files — replacing all of it with an image of a burning
American flag.
8. Changement de la stratégie de sécurité
D’une sécurité périmétrique
A une sécurité en profondeur
9. Forte Tension Liée Aux Nouveaux Besoins
Technologie innovation et les exigences en
Entre l’innovation correctement conçue cyber sécurité
Peut aider le business à aller vers la réussite
Innovation Business
10. La tendance
• Attaquants
•
•
•
•
Emergence d’adversaires déterminés et organisés
Les outils et automatismes d’attaques ont drastiquement progressés
Industrialisation des attaques
Les organisations, personnels et données sont précisément ciblés (prise
de contrôles, exfiltration de données…)
• Défenseurs
• Environnements non protégés par défaut contre les vols d’identifiants.
• Les mécanismes de défense traitent toutes les ressources à l’identique
• Les craintes concernant l’image et la réputation freinent la collaboration
et le partage de connaissance
11. L’attaque Pass the Hash
Power:
Contrôleur de
domaine
1. L’attaquant adresse un grand nombre de postes
2. Un utilisateur admin de sa machine est
compromis. Vol des hashscredentials
Data:
Serveurs et
applications
Access:
Utilisateurs et
postes de travail
3. L’attaquant utilise ces identifiants pour se
déplacer latéralement ou augmenter ses privilèges
4. L’attaquant récupère un compte administrateur
du domaine
5. L’attaquant accède à tous les systèmes et toutes
les données
12. Intrusion typique
Constats
Principales causes
La compromission date d’un an ou plus
Mises à jour de sécurité non appliquées pour tous
les logiciels
Découverte par hasard ou par notification externe
Le DRP traditionnel n’est pas adapté (incapacité à
identifier une sauvegarde opérationnelle antérieure à
l’intrusion)
Difficulté à gérer la confidentialité de la situation
Mauvaises pratiques:
Utilisation/droits des comptes (forts privilèges,
service, locaux, moindres privilèges, ...)
Pas de segmentation réseau
Processus d’administration
Non mise en place de l’audit/traçabilité
Non separation et rotation des rôles
Mot de passe du compte administrateur local
Non gestion de l’obsolescence des systèmes et des
applications (rappel: fin de vie de Windows XP
(avril 2014)
15. Périmètre
Configuration
des services
Serveurs de
messagerie
Intégrité des
données
Serveurs infrastructure
- serverus Antivirus
- Servers de sauvegarde
- Surveillance (SCOM)
- SCCM
- Serveurs de fichiers
- Serveurs d impression
- ...
Intégrité des
binaires
Boites aux
lettres
Mai lbox
Comptes
VIP
Comptes
utilisateur
User
Postes
Administration
User
User
Sauvegardes
Fichi ers et
do ssi ers
User
Comptes
de service
Comptes
Admin
User
Co mputer
Co mputer
User
User
Co mputer
Relations
D approbation
ACTIVE DIRECTORY
Comptes
machines
Certifi cate
Masters & packages
User
User
User
PKI
User
User
Comptes
serveur
Files & fol ders
- Controlleur de domaine
- Serveur(s)
- Poste(s) de travail
Matériels
& Virtualisation
Organizati on
Bases de
données
Co mputer
Co mputer
Co mputer
Postes
Utilisateur
Serveurs
d application
Equipements
réseau
Postes VIP
Co mputer
Co mputer
Co mputer
Co mputer
Co mputer
Co mputer
?
16. Les Best Practices
•
Best Practices for Securing Active Directory
http://www.microsoft.com/enus/download/details.aspx?id=38785&WT.mc_id=rss_alldownloads_all
•
Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft
Techniques
http://download.microsoft.com/download/7/7/A/77ABC5BD-8320-41AF-863C6ECFB10CB4B9/Mitigating%20Pass-theHash%20(PtH)%20Attacks%20and%20Other%20Credential%20Theft%20Techniques_English.pdf
17. Action de remédiation
• Sécuriser l’Active Directory
–
Les scénarios
Scénarios
Complexité/Coût
Sécurité
Reconstruction from scratch
+++
+++
Remédiation “offline”
++
++
Remédiation “online”
+
+
–
Les points à prendre en compte
• Durée de l’Interruption de service
• Les serveurs applicatifs
18. Actions de remédiation
• Sécuriser l’Active Directory – Cinématique de la remédiation “offline”
1.
PROD-DC du domaine1
CorpNet
PROD-DC du domaine2
PivotOutNet
Firewall
...
3.
(J) Réplication vers DC-PIVOT-IN
Arrêt de la production
5.
Un DC-PIVOT-OUT
par domaine (X)
IsolatedNet
Actions “forensics” sur les DCPIVOT-IN
4.
1 poste d adminstration
par domaine (X)
(J-7) Promotion des DC-PIVOT-IN
2.
Un PROD-DC simulé
par domaine (X)
Actions “forensics” sur les DCPIVOT-IN
Actions de remediation +
hardening
DNS-SERVER
6.
PivotInNet
7.
8.
PROD-DC du domaineX
Un DC-PIVOT-IN
par domaine (X)
Serveurs SPARE (X)
2 stations Legacy
par domaine (2X)
Pivot DMZ
Promotion des DC-PIVOT-OUT
Tests
9.
Promotion des DC de
production
20. Les principes de bases
Partez du principe que vous êtes la cible
Minimisez les risques d’intrusion initiale
Minimisez les conséquences d’une intrusion
Protégez ce qui a de la valeur (données, applications)
Supervisez
La technique n’est pas la panacée. Vérifiez vos processus
de conformité et de contrôle
• Adaptez votre effort en fonction de ce que vous
protégez
• Vous n’êtes pas attaqué ? Cherchez mieux !
•
•
•
•
•
•
21. Protégez vos identifiants
2. Ré-utilisation des
1. Vol d’identifiants
S’assurer que les comptes
privilégiés ne sont pas
exposés au vol
1. Réduire l’exposition
Hauts privilèges ou valeur
identifiants
Réduire le périmètre d’action
des comptes exposés aux
risques (internet)
2. Réduire l’usage
Grande exposition / Risque
22. Réduction des vols d’identifiants
Logon
Contrôleurs de
domaines
Logon
Power:
1. Elévation de privilège (Partitionnement)
2. Déplacement latéral – Comptes locaux
3. Déplacement latéral – Comptes de domaine
4. Risques liés aux applications et systèmes
Data:
Serveurs et
Applications
Access:
Utilisateurs et
poste de travail
Garder à l’esprit que l’attaquant peut toujours cibler
des ordinateurs ou utilisateurs unitairement.
Cependant ces mitigations rendront beaucoup plus
dur de:
Voler des identifiants à haut privilège
Utiliser les identifiants volés
23. Vue d’architecture
Forêt d’administration
Enhanced Security Admin Environment (ESAE)
Domaines de Production
Alerte de sécurité
Domaines et Forêt
Comptes et ordinateurs
sécurisés
Serveurs et Systèmes Management
Sécurisation des
Applications &
Services
Mitigations des
déplacements
latéraux
App et Données
Helpdesk et Stations
Assistance utilisateur et Support
Privileged Account
Workstation
Administration des
Serveurs, du Cloud, et
des applications
Gestion dynamique des accès
24. L’accompagnement Microsoft Services
Offres
Différentes offres de protection, de l’infrastructure à la donnée en passant par l’applicatif.
Un exemple d’offre unifiée et intégrée : ADSG.
ADSG
Portefeuille de sous-offres
ADSAR
ESAE
ADMAR
25. L’accompagnement Microsoft Services
Trois exemples d’excellence française
ADSAR
ESAE
Réaliser un audit 3 vues technique /
processus / architecture donnant un état
des lieux de votre AD
Mettre en place une forêt d’administration
Protéger l’administrateur dans un bunker
ADMAR
Phase 1 Etablissement et sauvegarde d’un référentiel des paramètres de sécurité de
l’environnement
Phase 2 Vérification à tout moment des déviations par rapport au référentiel en production
Phase 3 Simulation d’une cyber attaque en lab et documentation détaillée du plan de
recouvrement step by step
26. Donnez votre avis !
Depuis votre smartphone sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toute les heures !!!
Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les Techdays !