Upload
microsoft-decideurs-it
View
90
Download
0
Embed Size (px)
DESCRIPTION
Comment récupérer la maîtrise de son Système d'Informations lorsque l'on est victime d'une "APT" (Advanced Persistent Threat = Infection persistante) ? Dans ce type de scénario, l'attaquant a la maîtrise complète du SI. S'il n'y a pas de recette universelle, plusieurs approches peuvent être tentées afin de reprendre la main sur son SI, d'en protéger en priorité les éléments les plus sensibles, et d'en garder le contrôle.
Citation preview
palais des
congrès
Paris
7, 8 et 9
février 2012
9 février 2012Pascal SauliereArchitecte Sécurité, CISSP, CCSKMicrosoft France
APT : retrouver la
maîtrise de son SI
Des pistes de solutions pour retrouver la maitrise de son SI après une intrusion de type « APT »
Éviter les écueils classiques
Objectifs de la session
Sophistication organisationnelle plus que
technique
Équipes professionnelles travaillant aux
heures de bureau du pays source (ou relai)
de l’attaque
Opérations spécifiques et ciblées
Utilisation d’un large spectre d’attaques
Intention de s’installer pour perdurer
Réponse adaptative, pas d’abandon
Ciblage de la propriété intellectuelle
APT : Advanced Persistent
Threat
Compromissions et exploits
omniprésentsMalware, outils présents sur serveurs et postes
Totale maîtrise de l’environnementAdmins du domaine
Admins des serveurs critiques
Mots de passe compromisSupposer que TOUS sont compromis
PKI, masters, etc. compromis
Aucune confiance possible dans le SI
Conséquences de l’APT
Que faire en cas d’intrusion ?
On ne peut pas nettoyer un système compromisen le patchant
en supprimant les back doors
en "supprimant les vulnérabilités"
avec un scanner de virus
en réinstallant par dessus l’installation existante
On ne peut faire confiance à aucune donnée copiée depuis un système compromis
On ne peut pas faire confiance aux journaux d’événements d’un système compromis
On ne peut pas faire confiance à la dernière sauvegarde
Jesper Johansson, 2004
Le seul moyen de
nettoyer un système
compromis est d’écraser
et reconstruire
Que faire en cas d’intrusion ?
Fermer tous les accès Internet et accès distants
Changer tous les mots de passe
Reconstruire Active Directory
Reconstruire tous les serveurs from scratch
Reconstruire tous les postes idem
Mettre à jour tous les logiciels, les défenses, les
politiques
Corriger les vulnérabilités
Restaurer les données et applications légitimes
Éduquer les utilisateurs
Redémarrer tous les services
Le plan parfait
Pas si parfaitTrop important, trop long
Trop complexe
Trop cher
Trop perturbant (euphémisme)
Le plan parfait
Monter une organisation de réponse à
incident (IR)
Établir des canaux de communication
séparésPar exemple : PC neufs, Office 365 ou autre
Évaluer l’étendue de l’intrusion
Évaluer la vulnérabilité de
l’environnement
Définir des plans de remédiation
Exemple de réponse initiale
Plan général
Anti malware
Vérifier les admins
Désactiver LM
Reset mots de passe
Surveillance trafic sortant
Évaluation environnement
Revues de code
effort de remédiation
nouvel
environementenvironement actuel migrer les
joyaux de la
couronne
court terme
<90 jours
moyen terme
<18 mois
long terme
<36 mois
Concevoir et construire le nouvel environnement
Stratégie de migration
Migrer les systèmes critiques
Secure DevelopmentLifecycle
Migrer les systèmes restant
Décider du sort de l’ancien environnement
temps
Relever la barre Sécuriser les « joyaux de la
couronnee »
retour à la normale
Récupération de l’Active
Directory
Répondre à des questions inhabituelles, sans
procédure ni expérience« Quelle partie de l’IT est compromise ? »
(et peut-être « Qu’est-ce que qu’il y a dans mon IT
? », « quels sont les systèmes critiques ? »)
« Comment s’est passée l’intrusion ? »
« Qui mettre dans la boucle ? »
« Quelle est la première chose à faire ? »
« Et ensuite ? »
« Quelle stratégie, quelles opérations, quel calendrier ? »
Premières difficultés
Le contexte est chaotiquePas de préparation
Situation instable, les intrus sont toujours actifs
Comment agir à l’insu des intrus ? (communications)
Interlocuteurs inhabituels pour l’IT : juridique, relations
presse, management, voire partenaires
Autres difficultés
AD est la référence de sécurité du SI.
Éléments les plus critiques :Contrôleurs de domaine
Stations d’administration
Administrateurs
Comptes privilégiés
Management :
Supervision
Gestion des mises à jour
Gestion des sauvegardes
Antivirus
Le cas échéant : plateforme de virtualisation, stockage…
Le rôle central de l’Active
Directory
Il n’y a pas une réponse uniqueDépend de :
Étendue de la compromission
Données vitales en danger ?
Niveau d’acceptation des risques : arrêt de
production, mauvaise presse, information de l’intrus sur le
plan en cours
Qui décide et comment
Le choix d’une stratégie détermine la difficulté et la durée
Dans tous les cas, l’AD doit être
sécurisée, ce qui est une opération majeure
Définir la stratégie
HypothèsesTous les comptes et mots de passe compromis
L’OS des contrôleurs de domaine n’est plus fiable
ObjectifsRedonner confiance dans l’AD en reconstruisant les DC
Augmenter la sécurité des DC
Mettre en place une vraie gestion des comptes privilégiés et
comptes de services
Identique au scénario « DC volé » ou « restauration d’une
forêt »
Comment récupérer son AD
Grandes étapes
Idéalement, tous les mots de passe
Impact fort
Au minimum, tous les comptes privilégiés
Les autres sont forcés à expirer : changement obligatoire par
les utilisateurs
Reconfiguration nécessaire des services, tâches planifiées
« Reset » des mots de passe
Vision simplifiéeMembre d'un groupe "à pouvoir" du domaine (domain
admins, etc.)
Compte qui a des privilèges Windows donnés par GPO pour
certains membres
Membre d'un groupe local admin sur un membre (SAM)
Compte Trusted for delegation
Compte pour lequel il existe des ACL explicites sur des
objets de l'AD
…
Comptes privilégiés
Limiter les comptes privilégiés à des machines
fiables et surveillées (cf. WCE)
Principe de moindre privilègeLimiter les admins du domaine, les admins locaux, y compris sur les
stations d’administration
Plus l’étendue d’un privilège est importante, plus des ressources seront
menacées
Utiliser les comptes prévus : Local Service, Network Service
Réduire la surface d’attaqueDiminuant le nombre de services
Isoler les comptesUn compte par service si possible
Éviter les comptes locaux avec mêmes noms et mots de passe
Comptes de service
50 000 employés, 3 000 serveurs
550 jours-hommes, dont 74 en un weekend
Durée : 3 mois
50+ personnes de Microsoft, 35 « le » weekend
3200+ emails
400+ livrables (dont scripts et procédures)
120+ serveurs (ré)installés en production
Exemple concret