400 likes | 672 Views
Gestion de crise. Un retour d’expériences. Agenda. Pourquoi cette session? Le risque informatique Préparation à la crise Gestion de la crise Actions à mener. Pourquoi cette session?. Car la crise peut arriver Car les coûts induits peuvent être lourds Car se préparer va tout changer:
E N D
Gestion de crise Un retour d’expériences
Agenda • Pourquoi cette session? • Le risque informatique • Préparation à la crise • Gestion de la crise • Actions à mener
Pourquoi cette session? • Car la crise peut arriver • Car les coûts induits peuvent être lourds • Car se préparer va tout changer: • Pour ne pas paniquer • Pour éviter les ‘improvisations’ • Pour réduire le temps de perturbation • Enfin, la préparation à gérer une crise est une composante essentielle de la sécurité en profondeur
Le risque informatique L’analyse du risque
Causes d’incidents de sécurité Source: Information Week
Analyse de risques • Identifier les ressources critiques: • Serveurs de messagerie • Comptabilité/Facturation/CRM • Serveurs de fichiers ‘sensibles’ (appels d’offre, spécifications, code source, plans…) • Tous les postes clients • Serveurs Intranet/Extranet/Internet • Postes d’administration • Serveurs de backup • …
Etude d’impact • Les impacts sont multiples: • Perte de données • Vol d’information • Indisponibilité • Vol d’identité • Chiffrer les conséquences d’une attaque réussie • Prendre en compte les lois régissant votre domaine d’activité (santé, légal, etc.…)
Analyse des menaces • A chaque incident chiffré, on attribue un facteur de probabilité de réussite d’une attaque. • On en déduit une liste ordonnée des menaces les plus graves et les plus probables pesant sur le système d’information
Règles de réaction • Déterminent le seuil de ‘crise de sécurité’ • Découlent directement de l’impact potentiel ou avéré sur l’activité de l’entreprise • Régissent et justifient les décisions prises
Les bonnes pratiques • Mettre en place la redondance • Documenter et tester les procédures de sauvegarde et restauration • Implémenter le contrôle du changement • Définir les procédures d’urgence et leur conditions de déclenchement
Durcir les machines critiques • en fonction de leur rôle, appliquer les patrons de sécurité: • Serveurs, • Contrôleurs de domaine, • Autorité de Certification, • Postes clients, • … • Adapter la configuration et les procédures • Mots de passe forts • Mises à jour de sécurité • Moindre privilège • Audit des comptes
Créer un environnement de test • Créer les machines virtuelles représentatives du parc: • Contrôleur de domaine • Serveur de messagerie • Serveur Intranet/Internet • Postes de travail • … • A moindre coût, permet d’évaluer très rapidement l’impact d’une action corrective
Former une équipe de crise • Apte à communiquer avec le management • Apte à analyser le profil de l’attaque • Se former à l’utilisation des outils: filemon, netmon, mps reports, … • Apte à protéger: • Préparer des scripts pour modifier la configuration du routeur, la configuration des serveurs etc.… • Fermeture de routeurs segmentant les réseaux sains des réseaux compromis (au moyens de scripts préétablis)
Former une équipe de crise • Apte à implémenter un plan de riposte: • Avec une image Windows PE (Win PE) contenant les outils classiques de troubleshooting et d’analyse ainsi que les pilotes les plus courants dans l’entreprise (NIC) • Au moyen de scripts: • Pour modifier les comptes AD (expiration de mots de passe) • Pour créer des fichiers bloquants l’attaque • Pour créer/supprimer des entrées de la base de registre • Pour configurer les routeurs/firewalls/serveurs en mode ‘Secure’ • Avec les GPOs et SRPs • Avec une image du système récente (slipstreamed)
Etre prêt à communiquer • Préparer une personne de la communication/relation presse • A ne jamais donner de date de résolution • A ne communiquer que les faits avérés • Créer/Maintenir la liste des contacts: • Du management • Des opérationnels • Des interlocuteurs extérieurs: • Microsoft PSS Security, • Anti-virus, • Consultants
Prêt à protéger • Scripts de configuration de routeurs/pare-feu • Pour couper le lien Internet • Ségréguer les réseaux sains/infectés • Isoler les serveurs obsolètes • Méthode de déploiement ‘minute’ de mises à jour de securité
Etre attentifs • Soyez joignables et à l’écoute • Communiquez: • Une adresse email (alerte@macompagnie.com) • Un formulaire Web (http://securite) • Un numéro d’alerte (facile à retenir) • Observez: • Le trafic réseau • Les alertes remontées par l’anti-virus • Les évènements Windows • Vos sondes anti-intrusion • Le volume de soumission de demandes de support
Qualifier l’alerte • Corréler • Ne rien affirmer à partir d’une seule source • Traiter tout incident rapporté! • Permet de rien laisser passer • Valorise la personne remontant le problème • Documenter • Pour accélérer le traitement des incidents ultérieurs similaires
Collecter, Mobiliser • Collecter des informations • Process Explorer (www.sysinternals.com) • NetMon (ftp://ftp.microsoft.com/PSS/Tools/Netmon/Netmon2.zip) • FileMon/RegMon (www.sysinternals.com) • MPSReport (http://www.microsoft.com/downloads/details.aspx?FamilyId=CEBF3C7C-7CA5-408F-88B7-F9C79B7306C0&displaylang=en) • Requérir de l’aide • Fournisseur d’anti-virus • Microsoft PSS Security • Société de conseil spécialisée
Protéger, immédiatement • Serveurs obsolètes • Serveurs de fichiers critiques en mode lecture seule • Serveur de messagerie isolés d’Internet • Fermeture de la connexion vers Internet: • Pour éviter la fuite d’information • Pour couper le canal de contrôle • Pour ne pas devenir le relais d’une attaque • Fermeture de routeurs • …
Communiquer • Se synchroniser régulièrement avec les différentes équipes impliquées: • Points d’avancement régulier • Partage d’information • S’assurer que tous sont sur la même page • Informer le management: • Qu’un incident se produit • Qu’il sera amené à prendre des décisions • Du plan d’action • Informer les tiers impliqués • Salariés • Clients • Partenaires • …
Analyser • Les informations collectées • Traces réseaux • Echantillons de malware (virus, rootkit, bot, …) • Evènements • Différences avec la ligne de référence • Fichiers créés • Services • Clés de registre… • Moyens de persistence • Avec l’aide de tiers: • PSS Security, Fournisseur anti-virus
Identifier le profil de l’attaque • Mises à jour non déployées • Mots de passe faibles • EMail • … • Attaque automatique ou manuelle
Etablir la riposte #1 • Protéger: • Déploiement immédiat de mises à jour: • De sécurité • Des signatures anti-virus, filtres, … • Expiration de mots de passe • Création de Sofware Restriction Policies (KB324036) • ACLs dans la base de registre • Créer un fichier ‘vide’ avec des ACLs bloquant l’implantation du malware
Etablir la riposte #2 • Nettoyer • Créer un script, en relation avec votre fournisseur d’anti-virus et/ou PSS Security pour supprimer les traces ‘visibles’ du malware • Utiliser une image Win PE pour intervenir sur la machine sans ‘souffrir’ de l’impact du malware (http://www.microsoft.com/licensing/programs/sa/benefits/winpe.mspx) • Reconstruire • Utiliser une image Windows avec les dernières mises à jour intégrées (« slipstreamed »). (http://www.microsoft.com/technet/security/topics/patchmanagement/hfdeploy.mspx#EEAA)
Tester la riposte • Utiliser l’environnement de test virtuel! • Permet de détecter les problèmes: • De scripts (privilèges insuffisants, chargement de ruches, …) • D’incompatibilité applicative • De déploiement
Implémenter la riposte • Désactiver Automatic System Restore (KB310405) • Déployer la riposte sur un échantillon de systèmes • Surveiller d’éventuelles réinfections • Si tout va bien, déployer largement!
Apprendre! • Chaque crise est l’occasion d’apprendre: • Sur les points faibles de l’infrastructure • Sur les points faibles des procédures de gestion de crise • Réaliser un post-mortem complet: • Avec évaluation des coûts induits • Justifiant les actions correctrices s’il y a lieu
Plan d’action #1 • Réaliser une analyse des menaces • Etablir des canaux de communication avec les salariés, clients, partenaires • Mettre en place un système de documentation des alertes et leurs résolutions • Préparer une personne de la communication aux spécificités des incidents de sécurité • Créer/Maintenir la liste des contacts
Plan d’action #2 • Tester les backups! régulièrement!! • Créer un environnement de test virtuel • Créer une image Windows PE (Win PE) contenant les outils classiques de troubleshooting et d’analyse ainsi que les drivers les plus communément rencontrés dans l’entreprise (NIC) • Créer/Tester des scripts: • Pour modifier les comptes AD (expiration de mots de passe) • Pour créer des fichiers bloquants l’attaque • Pour créer/supprimer des entrées de la base de registre • Pour configurer les routeurs/firewalls/serveurs en mode ‘Secure’ • Créer/Tester des SRPs, et plus généralement des GPOs • Créer/Tester une image du système récente (slipstreamed) • Se former à l’utilisation des outils de diagnostic (filemon, netmon, process explorer, …)
Trucs et astuces • Rebooter avant l’installation de mises à jour de sécurité permet de distinguer les problèmes dus au reboot et les problèmes dus aux mises à jour • Installer la recovery console sur Windows afin d’éviter de rechercher un CD de Windows • Si vous dépendez de liens bas débit, pré positionnez les outils, mises à jours de sécurité, … sur les sites distants.