palais des

congrès

Paris

7, 8 et 9

février 2012

9 février 2012Pascal SauliereArchitecte Sécurité, CISSP, CCSKMicrosoft France

APT : retrouver la

maîtrise de son SI

Des pistes de solutions pour retrouver la maitrise de son SI après une intrusion de type « APT »

Éviter les écueils classiques

Objectifs de la session

Sophistication organisationnelle plus que

technique

Équipes professionnelles travaillant aux

heures de bureau du pays source (ou relai)

de l’attaque

Opérations spécifiques et ciblées

Utilisation d’un large spectre d’attaques

Intention de s’installer pour perdurer

Réponse adaptative, pas d’abandon

Ciblage de la propriété intellectuelle

APT : Advanced Persistent

Threat

Compromissions et exploits

omniprésentsMalware, outils présents sur serveurs et postes

Totale maîtrise de l’environnementAdmins du domaine

Admins des serveurs critiques

Mots de passe compromisSupposer que TOUS sont compromis

PKI, masters, etc. compromis

Aucune confiance possible dans le SI

Conséquences de l’APT

Que faire en cas d’intrusion ?

On ne peut pas nettoyer un système compromisen le patchant

en supprimant les back doors

en "supprimant les vulnérabilités"

avec un scanner de virus

en réinstallant par dessus l’installation existante

On ne peut faire confiance à aucune donnée copiée depuis un système compromis

On ne peut pas faire confiance aux journaux d’événements d’un système compromis

On ne peut pas faire confiance à la dernière sauvegarde

Jesper Johansson, 2004

Le seul moyen de

nettoyer un système

compromis est d’écraser

et reconstruire

Que faire en cas d’intrusion ?

Fermer tous les accès Internet et accès distants

Changer tous les mots de passe

Reconstruire Active Directory

Reconstruire tous les serveurs from scratch

Reconstruire tous les postes idem

Mettre à jour tous les logiciels, les défenses, les

politiques

Corriger les vulnérabilités

Restaurer les données et applications légitimes

Éduquer les utilisateurs

Redémarrer tous les services

Le plan parfait

Pas si parfaitTrop important, trop long

Trop complexe

Trop cher

Trop perturbant (euphémisme)

Le plan parfait

Monter une organisation de réponse à

incident (IR)

Établir des canaux de communication

séparésPar exemple : PC neufs, Office 365 ou autre

Évaluer l’étendue de l’intrusion

Évaluer la vulnérabilité de

l’environnement

Définir des plans de remédiation

Exemple de réponse initiale

Plan général

Anti malware

Vérifier les admins

Désactiver LM

Reset mots de passe

Surveillance trafic sortant

Évaluation environnement

Revues de code

effort de remédiation

nouvel

environementenvironement actuel migrer les

joyaux de la

couronne

court terme

<90 jours

moyen terme

<18 mois

long terme

<36 mois

Concevoir et construire le nouvel environnement

Stratégie de migration

Migrer les systèmes critiques

Secure DevelopmentLifecycle

Migrer les systèmes restant

Décider du sort de l’ancien environnement

temps

Relever la barre Sécuriser les « joyaux de la

couronnee »

retour à la normale

Récupération de l’Active

Directory

Répondre à des questions inhabituelles, sans

procédure ni expérience« Quelle partie de l’IT est compromise ? »

(et peut-être « Qu’est-ce que qu’il y a dans mon IT

? », « quels sont les systèmes critiques ? »)

« Comment s’est passée l’intrusion ? »

« Qui mettre dans la boucle ? »

« Quelle est la première chose à faire ? »

« Et ensuite ? »

« Quelle stratégie, quelles opérations, quel calendrier ? »

Premières difficultés

Le contexte est chaotiquePas de préparation

Situation instable, les intrus sont toujours actifs

Comment agir à l’insu des intrus ? (communications)

Interlocuteurs inhabituels pour l’IT : juridique, relations

presse, management, voire partenaires

Autres difficultés

AD est la référence de sécurité du SI.

Éléments les plus critiques :Contrôleurs de domaine

Stations d’administration

Administrateurs

Comptes privilégiés

Management :

Supervision

Gestion des mises à jour

Gestion des sauvegardes

Antivirus

Le cas échéant : plateforme de virtualisation, stockage…

Le rôle central de l’Active

Directory

Il n’y a pas une réponse uniqueDépend de :

Étendue de la compromission

Données vitales en danger ?

Niveau d’acceptation des risques : arrêt de

production, mauvaise presse, information de l’intrus sur le

plan en cours

Qui décide et comment

Le choix d’une stratégie détermine la difficulté et la durée

Dans tous les cas, l’AD doit être

sécurisée, ce qui est une opération majeure

Définir la stratégie

HypothèsesTous les comptes et mots de passe compromis

L’OS des contrôleurs de domaine n’est plus fiable

ObjectifsRedonner confiance dans l’AD en reconstruisant les DC

Augmenter la sécurité des DC

Mettre en place une vraie gestion des comptes privilégiés et

comptes de services

Identique au scénario « DC volé » ou « restauration d’une

forêt »

Comment récupérer son AD

Grandes étapes

Idéalement, tous les mots de passe

Impact fort

Au minimum, tous les comptes privilégiés

Les autres sont forcés à expirer : changement obligatoire par

les utilisateurs

Reconfiguration nécessaire des services, tâches planifiées

« Reset » des mots de passe

Vision simplifiéeMembre d'un groupe "à pouvoir" du domaine (domain

admins, etc.)

Compte qui a des privilèges Windows donnés par GPO pour

certains membres

Membre d'un groupe local admin sur un membre (SAM)

Compte Trusted for delegation

Compte pour lequel il existe des ACL explicites sur des

objets de l'AD

…

Comptes privilégiés

Limiter les comptes privilégiés à des machines

fiables et surveillées (cf. WCE)

Principe de moindre privilègeLimiter les admins du domaine, les admins locaux, y compris sur les

stations d’administration

Plus l’étendue d’un privilège est importante, plus des ressources seront

menacées

Utiliser les comptes prévus : Local Service, Network Service

Réduire la surface d’attaqueDiminuant le nombre de services

Isoler les comptesUn compte par service si possible

Éviter les comptes locaux avec mêmes noms et mots de passe

Comptes de service

50 000 employés, 3 000 serveurs

550 jours-hommes, dont 74 en un weekend

Durée : 3 mois

50+ personnes de Microsoft, 35 « le » weekend

3200+ emails

400+ livrables (dont scripts et procédures)

120+ serveurs (ré)installés en production

Exemple concret