1 / 29

Préparation à la gestion de crises de sécurité Jean Gautier jean.gautier@microsoft

Préparation à la gestion de crises de sécurité Jean Gautier jean.gautier@microsoft.com. Agenda. Quelques bonnes pratiques La préparation Des technologies Des hommes Des procédures La crise elle-même. Les bonnes pratiques. Mettre en place la redondance

jon
Download Presentation

Préparation à la gestion de crises de sécurité Jean Gautier jean.gautier@microsoft

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Préparation à la gestion de crises de sécuritéJean Gautierjean.gautier@microsoft.com

  2. Agenda • Quelques bonnes pratiques • La préparation • Des technologies • Des hommes • Des procédures • La crise elle-même

  3. Les bonnes pratiques • Mettre en place la redondance • Documenter et tester les procédures de sauvegarde et restauration • Implémenter le contrôle du changement • Réaliser une analyse des menaces

  4. Règles de réaction • Déterminent les seuils de ‘crise de sécurité’ – Jaune/Orange/Rouge • Découlent directement de l’impact potentiel ou avéré sur l’activité de l’entreprise • Régissent et justifient les décisions prises

  5. Créer un environnement de test • Créer les machines virtuelles représentatives du parc: • Contrôleur de domaine • Serveur de messagerie • Serveur Intranet/Internet • Postes de travail • … • A moindre coût, permet d’évaluer très rapidement l’impact d’une action corrective

  6. Former une équipe de crise • Apte à communiquer avec le management • Apte à analyser le profil de l’attaque • Se former à l’utilisation des outils: • filemon, • netmon, • mps reports, • Autoruns • Process Explorer…

  7. Prêt à communiquer • Préparer une personne de la communication/relation presse • A ne jamais donner de date de résolution • A ne communiquer que les faits • Créer/Maintenir la liste des contacts: • Du management • Des opérationnels • Des interlocuteurs extérieurs: • Microsoft PSS Security, • Anti-virus, • Consultants

  8. Prêt à décider • Documenter et faire valider par tous la chaine de commandement ‘de crise’ • Il ne sera plus temps d’utiliser les processus décisionnels habituels. • Chargés de prendre les décisions • Lourdes • Transversales • Urgentes • Indiscutables!

  9. Prêt à protéger • Scripts de configuration de routeurs/pare-feu • Pour couper le lien Internet • Segmenter les réseaux sains/infectés • Isoler les serveurs obsolètes • Isolation du DC dit « de latence » (lax DC) • Méthode de déploiement ‘minute’ de mises à jour de sécurité • Scripts de démarrage, packages SMS, WSUS

  10. Former une équipe de crise • Apte à implémenter un plan de riposte: • Avec une image Windows PE (Win PE) contenant les outils classiques de troubleshooting et d’analyse ainsi que les pilotes les plus courants dans l’entreprise (NIC) • Au moyen de scripts: • Pour modifier les comptes AD (expiration de mots de passe) • Pour créer des fichiers bloquants l’attaque • Pour créer/supprimer des entrées de la base de registre • Pour configurer les routeurs/firewalls/serveurs en mode ‘Secure’ • Avec les GPOs et SRPs • Avec une image du système récente (slipstreamed)

  11. Etre attentifs • Soyez joignables et à l’écoute • Communiquez: • Une adresse email (alerte@macompagnie.com) • Un formulaire Web (http://securite) • Un numéro d’alerte (facile à retenir) • Observez: • Le trafic réseau • Les remontées d’alertes par l’anti-virus • Les évènements Windows • Vos sondes anti-intrusion • Le volume de soumission de demandes de support

  12. Qualifier l’alerte • Corréler • Ne rien affirmer à partir d’une seule source • Traiter tout incident rapporté! • Permet de ne rien laisser passer • Valorise la personne remontant le problème • Documenter • Pour accélérer le traitement des incidents ultérieurs similaires

  13. Gestion de la crise

  14. Collecter, Mobiliser • Collecter des informations • Process Explorer (www.sysinternals.com) • NetMon(ftp://ftp.microsoft.com/PSS/Tools/Netmon/Netmon2.zip) • FileMon/RegMon (www.sysinternals.com) • MPSReport(http://www.microsoft.com/downloads/details.aspx?FamilyId=CEBF3C7C-7CA5-408F-88B7-F9C79B7306C0&displaylang=en) • Requérir de l’aide • Fournisseur d’anti-virus • Microsoft PSS Security • Société de conseil spécialisée

  15. Chaîne de commandement • Impliquer la hiérarchie très tôt dans la crise • Les informer de ce que l’on va attendre d’eux dans les heures à venir: • Isolations (Messagerie, Internet, DMZ, …) • Communications vers l’interne et l’externe • Mises à jour du parc, impact possible sur la production • Reconstructions de système • L’implication du management est essentielle à la réactivité de l’équipe de crise

  16. Protéger, immédiatement • Serveurs obsolètes • Serveurs de fichiers critiques en mode lecture seule • Serveur de messagerie isolés d’Internet • Fermeture de la connexion vers Internet: • Pour éviter la fuite d’information • Pour couper le canal de contrôle • Pour ne pas devenir le relais d’une attaque • Fermeture de routeurs (segmentation) • …

  17. Communiquer • Se synchroniser régulièrement avec les différentes équipes impliquées: • Points d’avancement régulier • Partage d’information • S’assurer que tous sont sur la même page • Informer le management: • Qu’un incident se produit • Qu’il sera amené à prendre des décisions • Du plan d’action • Informer les tiers impliqués • Salariés • Clients • Partenaires • …

  18. Analyser • Les informations collectées • Traces réseaux • Echantillons de malware (virus, rootkit, bot, …) • Evènements • Différences avec la ligne de référence (fciv) • Fichiers créés • Services • Clés de registre… • Moyens de persistance • Avec l’aide de tiers: • PSS Security, Fournisseur anti-virus

  19. Identifier le profil de l’attaque • Mises à jour non déployées • Mots de passe faibles • EMail • … • Attaque automatique ou manuelle

  20. Etablir la riposte #1 • Protéger: • Déploiement immédiat de mises à jour: • De sécurité • Des signatures anti-virus, filtres, … • Expiration de mots de passe • Création de Software Restriction PoliciesSRPs (KB324036) • ACLs dans la base de registre • Créer un fichier ‘vide’ avec des ACLs bloquant l’implantation du malware

  21. Etablir la riposte #2 • Nettoyer • Créer un script, en relation avec votre fournisseur d’anti-virus et/ou PSS Security pour supprimer les traces ‘visibles’ du malware • Utiliser une image Win PE pour intervenir sur la machine sans ‘souffrir’ de l’impact du malware (http://www.microsoft.com/licensing/programs/sa/benefits/winpe.mspx) • Désactiver Automatic System Restore (KB310405) • Reconstruire • Utiliser une image Windows avec les dernières mises à jour intégrées (« slipstreamed »). (http://www.microsoft.com/technet/security/topics/patchmanagement/hfdeploy.mspx#EEAA)

  22. Tester la riposte • Utiliser l’environnement de test virtuel! • Permet de détecter les problèmes: • De scripts (privilèges insuffisants, chargement de ruches, …) • D’incompatibilité applicative • De déploiement

  23. Implémenter la riposte • Déployer la riposte sur un échantillon de systèmes • Surveiller d’éventuelles réinfections • Si tout va bien, déployer largement!

  24. Apprendre! • Chaque crise est l’occasion d’apprendre: • Sur les points faibles de l’infrastructure • Sur les points faibles des procédures de gestion de crise • Réaliser un post-mortem complet: • Avec évaluation des coûts induits • Justifiant les actions correctrices s’il y a lieu

  25. Retour sur les plans d’action

  26. Plan d’action #1 • Réaliser une analyse des menaces • Etablir des canaux de communication avec les salariés, clients, partenaires • Mettre en place un système de documentation des alertes et leurs résolutions • Préparer une personne de la communication aux spécificités des incidents de sécurité • Créer/Maintenir la liste des contacts

  27. Plan d’action #2 • Tester les backups! régulièrement!! • Créer un environnement de test virtuel • Créer une image Windows PE (Win PE) contenant les outils classiques de troubleshooting et d’analyse ainsi que les drivers les plus communément rencontrés dans l’entreprise (NIC et SCSI ....) • Créer/Tester des scripts • Créer/Tester des SRPs, et plus généralement des GPOs • Créer/Tester une image récente du système (slipstreamed) • Se former à l’utilisation des outils de diagnostic (filemon, netmon, process explorer, …)

  28. Trucs et astuces • Rebooter avant l’installation de mises à jour de sécurité permet de distinguer les problèmes dus au reboot et les problèmes dus aux mises à jour • Installer la recovery console sur Windows afin d’éviter de rechercher un CD de Windows (« winnt32.exe /cmdcons ») • Si vous dépendez de liens bas débit, pré positionnez les outils, mises à jours de sécurité, … sur les sites distants.

  29. Questions?frsecsup@microsoft.com

More Related