Gestion de criseGestion de crise
Un retour d’expériences
Agenda
Pourquoi cette session?Pourquoi cette session?
Le risque informatiqueLe risque informatique
Préparation à la crisePréparation à la crise
Gestion de la criseGestion de la crise
Actions à menerActions à mener
Pourquoi cette session?
Car la crise peut arriverCar la crise peut arriverCar les coûts induits peuvent être lourdsCar les coûts induits peuvent être lourds
Car se préparer va tout changer:Car se préparer va tout changer:Pour ne pas paniquerPour ne pas paniquerPour éviter les ‘improvisations’Pour éviter les ‘improvisations’Pour réduire le temps de perturbationPour réduire le temps de perturbation
Enfin, la préparation à gérer une crise est une Enfin, la préparation à gérer une crise est une composante essentielle de la sécurité en composante essentielle de la sécurité en profondeurprofondeur
Le risque informatique
Le risque informatique
L’analyse du risque
Causes d’incidents de sécurité
0% 20% 40% 60% 80%
EspionageIndustriel
AttaquesExternes
Attaques Internes
ErreursHumaines
Analyse de risques
Identifier les ressources critiques:Identifier les ressources critiques:Serveurs de messagerieServeurs de messagerie
Comptabilité/Facturation/CRMComptabilité/Facturation/CRM
Serveurs de fichiers ‘sensibles’ (appels Serveurs de fichiers ‘sensibles’ (appels d’offre, spécifications, code source, plans…)d’offre, spécifications, code source, plans…)
Tous les postes clientsTous les postes clients
Serveurs Intranet/Extranet/InternetServeurs Intranet/Extranet/Internet
Postes d’administrationPostes d’administration
Serveurs de backupServeurs de backup
……
Etude d’impact
Les impacts sont multiples:Les impacts sont multiples:Perte de donnéesPerte de données
Vol d’informationVol d’information
IndisponibilitéIndisponibilité
Vol d’identitéVol d’identité
Chiffrer les conséquences d’une attaque Chiffrer les conséquences d’une attaque réussieréussie
Prendre en compte les lois régissant votre Prendre en compte les lois régissant votre domaine d’activité (santé, légal, etc.…)domaine d’activité (santé, légal, etc.…)
Analyse des menaces
A chaque incident chiffré, on attribue A chaque incident chiffré, on attribue un facteur de probabilité de réussite un facteur de probabilité de réussite d’une attaque.d’une attaque.
On en déduit une liste ordonnée des On en déduit une liste ordonnée des menaces les plus graves et les plus menaces les plus graves et les plus probables pesant sur le système probables pesant sur le système d’informationd’information
Règles de réaction
Déterminent le seuil de ‘crise de Déterminent le seuil de ‘crise de sécurité’sécurité’
Découlent directement de l’impact Découlent directement de l’impact potentiel ou avéré sur l’activité de potentiel ou avéré sur l’activité de l’entreprisel’entreprise
Régissent et justifient les décisions Régissent et justifient les décisions prisesprises
Se préparer à gérer une criseSe préparer à
gérer une crise
Les bonnes pratiques
Mettre en place la redondanceMettre en place la redondance
Documenter et tester les procédures de Documenter et tester les procédures de sauvegarde sauvegarde etet restauration restauration
Implémenter le contrôle du changementImplémenter le contrôle du changement
Définir les procédures d’urgence et leur Définir les procédures d’urgence et leur conditions de déclenchementconditions de déclenchement
Durcir les machines critiques
en fonction de leur rôle, appliquer les patrons en fonction de leur rôle, appliquer les patrons de sécurité: de sécurité:
Serveurs, Serveurs, Contrôleurs de domaine, Contrôleurs de domaine, Autorité de Certification,Autorité de Certification,Postes clients,Postes clients, … …
Adapter la configuration et les procéduresAdapter la configuration et les procéduresMots de passe fortsMots de passe fortsMises à jour de sécuritéMises à jour de sécuritéMoindre privilègeMoindre privilègeAudit des comptesAudit des comptes
Créer un environnement de test
Créer les machines virtuelles Créer les machines virtuelles représentatives du parc:représentatives du parc:
Contrôleur de domaineContrôleur de domaineServeur de messagerieServeur de messagerieServeur Intranet/InternetServeur Intranet/InternetPostes de travailPostes de travail……
A moindre coût, permet d’évaluer très A moindre coût, permet d’évaluer très rapidement l’impact d’une action rapidement l’impact d’une action correctivecorrective
Former une équipe de crise
Apte à communiquer avec le managementApte à communiquer avec le management
Apte à analyser le profil de l’attaqueApte à analyser le profil de l’attaqueSe former à l’utilisation des outils: filemon, Se former à l’utilisation des outils: filemon, netmon, mps reports, …netmon, mps reports, …
Apte à protéger:Apte à protéger:Préparer des scripts pour modifier la configuration Préparer des scripts pour modifier la configuration du routeur, la configuration des serveurs etc.…du routeur, la configuration des serveurs etc.…
Fermeture de routeurs segmentant les réseaux Fermeture de routeurs segmentant les réseaux sains des réseaux compromis (au moyens de sains des réseaux compromis (au moyens de scripts scripts préétablispréétablis))
Former une équipe de crise
Apte à implémenter un plan de riposte:Apte à implémenter un plan de riposte:Avec une image Windows PE (Win PE) contenant Avec une image Windows PE (Win PE) contenant les outils classiques de troubleshooting et les outils classiques de troubleshooting et d’analyse ainsi que les pilotes les plus courants d’analyse ainsi que les pilotes les plus courants dans l’entreprise (NIC)dans l’entreprise (NIC)
Au moyen de scripts:Au moyen de scripts:Pour modifier les comptes AD (expiration de mots de Pour modifier les comptes AD (expiration de mots de passe)passe)
Pour créer des fichiers bloquants l’attaquePour créer des fichiers bloquants l’attaque
Pour créer/supprimer des entrées de la base de registrePour créer/supprimer des entrées de la base de registre
Pour configurer les routeurs/firewalls/serveurs en mode Pour configurer les routeurs/firewalls/serveurs en mode ‘Secure’‘Secure’
Avec les GPOs et SRPsAvec les GPOs et SRPs
Avec une image du système récente (slipstreamed)Avec une image du système récente (slipstreamed)
Etre prêt à communiquer
Préparer une personne de la Préparer une personne de la communication/relation pressecommunication/relation presse
A ne jamais donner de date de résolutionA ne jamais donner de date de résolution
A ne communiquer que les faits avérésA ne communiquer que les faits avérés
Créer/Maintenir la liste des contacts:Créer/Maintenir la liste des contacts:Du managementDu management
Des opérationnelsDes opérationnels
Des interlocuteurs extérieurs:Des interlocuteurs extérieurs:Microsoft PSS Security, Microsoft PSS Security,
Anti-virus, Anti-virus,
ConsultantsConsultants
Prêt à protéger
Scripts de configuration de Scripts de configuration de routeurs/pare-feurouteurs/pare-feu
Pour couper le lien InternetPour couper le lien Internet
Ségréguer les réseaux sains/infectésSégréguer les réseaux sains/infectés
Isoler les serveurs obsolètesIsoler les serveurs obsolètes
Méthode de déploiement ‘minute’ de Méthode de déploiement ‘minute’ de mises à jour de securitémises à jour de securité
Etre attentifs
Soyez joignables et à l’écouteSoyez joignables et à l’écouteCommuniquez:Communiquez:
Une adresse email (Une adresse email ([email protected]@macompagnie.com))
Un formulaire Web (http://securite)Un formulaire Web (http://securite)
Un numéro d’alerte (facile à retenir)Un numéro d’alerte (facile à retenir)
Observez:Observez:Le trafic réseauLe trafic réseau
Les alertes remontées par l’anti-virusLes alertes remontées par l’anti-virus
Les évènements WindowsLes évènements Windows
Vos sondes anti-intrusionVos sondes anti-intrusion
Le volume de soumission de demandes de Le volume de soumission de demandes de supportsupport
Qualifier l’alerte
CorrélerCorrélerNe rien affirmer à partir d’une seule sourceNe rien affirmer à partir d’une seule source
Traiter tout incident rapporté!Traiter tout incident rapporté!Permet de rien laisser passerPermet de rien laisser passerValorise la personne remontant le Valorise la personne remontant le problèmeproblème
DocumenterDocumenterPour accélérer le traitement des incidents Pour accélérer le traitement des incidents ultérieurs similairesultérieurs similaires
Gestion de la criseGestion de la crise
Collecter, Mobiliser
Collecter des informationsCollecter des informationsProcess ExplorerProcess Explorer ((www.sysinternals.com)www.sysinternals.com)NetMonNetMon (ftp://ftp.microsoft.com/PSS/Tools/Netmon/(ftp://ftp.microsoft.com/PSS/Tools/Netmon/Netmon2.zip)Netmon2.zip)
FileMon/RegMonFileMon/RegMon ((www.sysinternals.comwww.sysinternals.com))MPSReportMPSReport ((http://www.microsoft.com/downloads/details.aspx?FamilyId=CEBF3C7C-7CA5-408F-88B7-http://www.microsoft.com/downloads/details.aspx?FamilyId=CEBF3C7C-7CA5-408F-88B7-
F9C79B7306C0&displaylang=en)F9C79B7306C0&displaylang=en)
Requérir de l’aideRequérir de l’aideFournisseur d’anti-virusFournisseur d’anti-virusMicrosoft PSS SecurityMicrosoft PSS SecuritySociété de conseil spécialiséeSociété de conseil spécialisée
Protéger, immédiatement
Serveurs obsolètesServeurs obsolètesServeurs de fichiers critiques en mode Serveurs de fichiers critiques en mode lecture seulelecture seuleServeur de messagerie isolés d’InternetServeur de messagerie isolés d’InternetFermeture de la connexion vers Internet:Fermeture de la connexion vers Internet:
Pour éviter la fuite d’informationPour éviter la fuite d’informationPour couper le canal de contrôlePour couper le canal de contrôlePour ne pas devenir le relais d’une attaquePour ne pas devenir le relais d’une attaque
Fermeture de routeursFermeture de routeurs……
Communiquer
Se synchroniser régulièrement avec les différentes Se synchroniser régulièrement avec les différentes équipes impliquées:équipes impliquées:
Points d’avancement régulierPoints d’avancement régulierPartage d’informationPartage d’informationS’assurer que tous sont sur la même pageS’assurer que tous sont sur la même page
Informer le management:Informer le management:Qu’un incident se produitQu’un incident se produitQu’il sera amené à prendre des décisionsQu’il sera amené à prendre des décisionsDu plan d’actionDu plan d’action
Informer les tiers impliquésInformer les tiers impliquésSalariésSalariésClientsClientsPartenairesPartenaires……
Analyser
Les informations collectéesLes informations collectéesTraces réseauxTraces réseauxEchantillons de malware (virus, rootkit, bot, Echantillons de malware (virus, rootkit, bot, …)…)EvènementsEvènementsDifférences avec la ligne de référenceDifférences avec la ligne de référence
Fichiers créésFichiers créésServicesServicesClés de registre…Clés de registre…
Moyens de persistenceMoyens de persistence
Avec l’aide de tiers: Avec l’aide de tiers: PSS Security, Fournisseur anti-virusPSS Security, Fournisseur anti-virus
Identifier le profil de l’attaque
Mises à jour non déployéesMises à jour non déployées
Mots de passe faiblesMots de passe faibles
EMailEMail
……
Attaque automatique ou manuelleAttaque automatique ou manuelle
Etablir la riposte #1
Protéger:Protéger:Déploiement immédiat de mises à jour:Déploiement immédiat de mises à jour:
De sécuritéDe sécurité
Des signatures anti-virus, filtres, …Des signatures anti-virus, filtres, …
Expiration de mots de passeExpiration de mots de passe
Création de Sofware Restriction Policies (KBCréation de Sofware Restriction Policies (KB324036324036))
ACLs dans la base de registreACLs dans la base de registre
Créer un fichier ‘vide’ avec des ACLs Créer un fichier ‘vide’ avec des ACLs bloquant l’implantation du malwarebloquant l’implantation du malware
Etablir la riposte #2
NettoyerNettoyerCréer un script, en relation avec votre fournisseur Créer un script, en relation avec votre fournisseur d’anti-virus et/ou PSS Security pour supprimer les d’anti-virus et/ou PSS Security pour supprimer les traces ‘visibles’ du malwaretraces ‘visibles’ du malware
Utiliser une image Win PE pour intervenir sur la Utiliser une image Win PE pour intervenir sur la machine sans ‘souffrir’ de l’impact du malwaremachine sans ‘souffrir’ de l’impact du malware((
http://www.microsoft.com/licensing/programs/sa/benefits/http://www.microsoft.com/licensing/programs/sa/benefits/winpe.mspxwinpe.mspx) )
ReconstruireReconstruireUtiliser une image Windows avec les dernières Utiliser une image Windows avec les dernières mises à jour intégrées (« slipstreamed »).mises à jour intégrées (« slipstreamed »).((
http://www.microsoft.com/technet/security/topics/patchmhttp://www.microsoft.com/technet/security/topics/patchmanagement/hfdeploy.mspx#EEAAanagement/hfdeploy.mspx#EEAA))
Tester la riposte
Utiliser l’environnement de test virtuel!Utiliser l’environnement de test virtuel!
Permet de détecter les problèmes:Permet de détecter les problèmes:De scripts (privilèges insuffisants, De scripts (privilèges insuffisants, chargement de ruches, …)chargement de ruches, …)
D’incompatibilité applicativeD’incompatibilité applicative
De déploiementDe déploiement
Implémenter la riposte
Désactiver Automatic System Restore Désactiver Automatic System Restore (KB310405)(KB310405)
Déployer la riposte sur un échantillon Déployer la riposte sur un échantillon de systèmesde systèmes
Surveiller d’éventuelles réinfectionsSurveiller d’éventuelles réinfections
Si tout va bien, déployer largement!Si tout va bien, déployer largement!
Apprendre!
Chaque crise est l’occasion Chaque crise est l’occasion d’apprendre:d’apprendre:
Sur les points faibles de l’infrastructureSur les points faibles de l’infrastructure
Sur les points faibles des procédures de Sur les points faibles des procédures de gestion de crisegestion de crise
Réaliser un post-mortem complet:Réaliser un post-mortem complet:Avec évaluation des coûts induitsAvec évaluation des coûts induits
Justifiant les actions correctrices s’il y a lieuJustifiant les actions correctrices s’il y a lieu
Retour sur les points d’actionRetour sur les points d’action
Plan d’action #1
Réaliser une analyse des menacesRéaliser une analyse des menaces
Etablir des canaux de communication Etablir des canaux de communication avec les salariés, clients, partenairesavec les salariés, clients, partenaires
Mettre en place un système de Mettre en place un système de documentation des alertes et leurs documentation des alertes et leurs résolutionsrésolutions
Préparer une personne de la Préparer une personne de la communication aux spécificités des communication aux spécificités des incidents de sécuritéincidents de sécurité
Créer/Maintenir la liste des contactsCréer/Maintenir la liste des contacts
Plan d’action #2
Tester les backups! régulièrement!!Tester les backups! régulièrement!!Créer un environnement de test virtuelCréer un environnement de test virtuelCréer une image Windows PE (Win PE) contenant les Créer une image Windows PE (Win PE) contenant les outils classiques de troubleshooting et d’analyse ainsi outils classiques de troubleshooting et d’analyse ainsi que les drivers les plus communément rencontrés dans que les drivers les plus communément rencontrés dans l’entreprise (NIC)l’entreprise (NIC)Créer/Tester des scripts:Créer/Tester des scripts:
Pour modifier les comptes AD (expiration de mots de passe)Pour modifier les comptes AD (expiration de mots de passe)Pour créer des fichiers bloquants l’attaquePour créer des fichiers bloquants l’attaquePour créer/supprimer des entrées de la base de registrePour créer/supprimer des entrées de la base de registrePour configurer les routeurs/firewalls/serveurs en mode Pour configurer les routeurs/firewalls/serveurs en mode ‘Secure’‘Secure’
Créer/Tester des SRPs, et plus généralement des GPOsCréer/Tester des SRPs, et plus généralement des GPOsCréer/Tester une image du système récente Créer/Tester une image du système récente (slipstreamed)(slipstreamed)Se former à l’utilisation des outils de diagnostic Se former à l’utilisation des outils de diagnostic (filemon, netmon, process explorer, …)(filemon, netmon, process explorer, …)
Trucs et astuces
Rebooter avant l’installation de mises à Rebooter avant l’installation de mises à jour de sécurité permet de distinguer jour de sécurité permet de distinguer les problèmes dus au reboot et les les problèmes dus au reboot et les problèmes dus aux mises à jourproblèmes dus aux mises à jour
Installer la recovery console sur Installer la recovery console sur Windows afin d’éviter de rechercher un Windows afin d’éviter de rechercher un CD de WindowsCD de Windows
Si vous dépendez de liens bas débit, Si vous dépendez de liens bas débit, pré positionnez les outils, mises à jours pré positionnez les outils, mises à jours de sécurité, … sur les sites distants.de sécurité, … sur les sites distants.
Questions?
Top Related