apt : comment récupérer la maîtrise de son si
DESCRIPTION
Comment récupérer la maîtrise de son Système d'Informations lorsque l'on est victime d'une "APT" (Advanced Persistent Threat = Infection persistante) ? Dans ce type de scénario, l'attaquant a la maîtrise complète du SI. S'il n'y a pas de recette universelle, plusieurs approches peuvent être tentées afin de reprendre la main sur son SI, d'en protéger en priorité les éléments les plus sensibles, et d'en garder le contrôle.TRANSCRIPT
![Page 1: APT : Comment récupérer la maîtrise de son SI](https://reader033.vdocuments.mx/reader033/viewer/2022052910/559b073e1a28ab81758b46ce/html5/thumbnails/1.jpg)
palais des
congrès
Paris
7, 8 et 9
février 2012
![Page 2: APT : Comment récupérer la maîtrise de son SI](https://reader033.vdocuments.mx/reader033/viewer/2022052910/559b073e1a28ab81758b46ce/html5/thumbnails/2.jpg)
9 février 2012Pascal SauliereArchitecte Sécurité, CISSP, CCSKMicrosoft France
APT : retrouver la
maîtrise de son SI
![Page 3: APT : Comment récupérer la maîtrise de son SI](https://reader033.vdocuments.mx/reader033/viewer/2022052910/559b073e1a28ab81758b46ce/html5/thumbnails/3.jpg)
Des pistes de solutions pour retrouver la maitrise de son SI après une intrusion de type « APT »
Éviter les écueils classiques
Objectifs de la session
![Page 4: APT : Comment récupérer la maîtrise de son SI](https://reader033.vdocuments.mx/reader033/viewer/2022052910/559b073e1a28ab81758b46ce/html5/thumbnails/4.jpg)
![Page 5: APT : Comment récupérer la maîtrise de son SI](https://reader033.vdocuments.mx/reader033/viewer/2022052910/559b073e1a28ab81758b46ce/html5/thumbnails/5.jpg)
Sophistication organisationnelle plus que
technique
Équipes professionnelles travaillant aux
heures de bureau du pays source (ou relai)
de l’attaque
Opérations spécifiques et ciblées
Utilisation d’un large spectre d’attaques
Intention de s’installer pour perdurer
Réponse adaptative, pas d’abandon
Ciblage de la propriété intellectuelle
APT : Advanced Persistent
Threat
![Page 6: APT : Comment récupérer la maîtrise de son SI](https://reader033.vdocuments.mx/reader033/viewer/2022052910/559b073e1a28ab81758b46ce/html5/thumbnails/6.jpg)
Compromissions et exploits
omniprésentsMalware, outils présents sur serveurs et postes
Totale maîtrise de l’environnementAdmins du domaine
Admins des serveurs critiques
Mots de passe compromisSupposer que TOUS sont compromis
PKI, masters, etc. compromis
Aucune confiance possible dans le SI
Conséquences de l’APT
![Page 7: APT : Comment récupérer la maîtrise de son SI](https://reader033.vdocuments.mx/reader033/viewer/2022052910/559b073e1a28ab81758b46ce/html5/thumbnails/7.jpg)
Que faire en cas d’intrusion ?
![Page 8: APT : Comment récupérer la maîtrise de son SI](https://reader033.vdocuments.mx/reader033/viewer/2022052910/559b073e1a28ab81758b46ce/html5/thumbnails/8.jpg)
On ne peut pas nettoyer un système compromisen le patchant
en supprimant les back doors
en "supprimant les vulnérabilités"
avec un scanner de virus
en réinstallant par dessus l’installation existante
On ne peut faire confiance à aucune donnée copiée depuis un système compromis
On ne peut pas faire confiance aux journaux d’événements d’un système compromis
On ne peut pas faire confiance à la dernière sauvegarde
Jesper Johansson, 2004
Le seul moyen de
nettoyer un système
compromis est d’écraser
et reconstruire
![Page 9: APT : Comment récupérer la maîtrise de son SI](https://reader033.vdocuments.mx/reader033/viewer/2022052910/559b073e1a28ab81758b46ce/html5/thumbnails/9.jpg)
Que faire en cas d’intrusion ?
![Page 10: APT : Comment récupérer la maîtrise de son SI](https://reader033.vdocuments.mx/reader033/viewer/2022052910/559b073e1a28ab81758b46ce/html5/thumbnails/10.jpg)
Fermer tous les accès Internet et accès distants
Changer tous les mots de passe
Reconstruire Active Directory
Reconstruire tous les serveurs from scratch
Reconstruire tous les postes idem
Mettre à jour tous les logiciels, les défenses, les
politiques
Corriger les vulnérabilités
Restaurer les données et applications légitimes
Éduquer les utilisateurs
Redémarrer tous les services
Le plan parfait
![Page 11: APT : Comment récupérer la maîtrise de son SI](https://reader033.vdocuments.mx/reader033/viewer/2022052910/559b073e1a28ab81758b46ce/html5/thumbnails/11.jpg)
Pas si parfaitTrop important, trop long
Trop complexe
Trop cher
Trop perturbant (euphémisme)
Le plan parfait
![Page 12: APT : Comment récupérer la maîtrise de son SI](https://reader033.vdocuments.mx/reader033/viewer/2022052910/559b073e1a28ab81758b46ce/html5/thumbnails/12.jpg)
Monter une organisation de réponse à
incident (IR)
Établir des canaux de communication
séparésPar exemple : PC neufs, Office 365 ou autre
Évaluer l’étendue de l’intrusion
Évaluer la vulnérabilité de
l’environnement
Définir des plans de remédiation
Exemple de réponse initiale
![Page 13: APT : Comment récupérer la maîtrise de son SI](https://reader033.vdocuments.mx/reader033/viewer/2022052910/559b073e1a28ab81758b46ce/html5/thumbnails/13.jpg)
Plan général
Anti malware
Vérifier les admins
Désactiver LM
Reset mots de passe
Surveillance trafic sortant
Évaluation environnement
Revues de code
effort de remédiation
nouvel
environementenvironement actuel migrer les
joyaux de la
couronne
court terme
<90 jours
moyen terme
<18 mois
long terme
<36 mois
Concevoir et construire le nouvel environnement
Stratégie de migration
Migrer les systèmes critiques
Secure DevelopmentLifecycle
Migrer les systèmes restant
Décider du sort de l’ancien environnement
temps
Relever la barre Sécuriser les « joyaux de la
couronnee »
retour à la normale
![Page 14: APT : Comment récupérer la maîtrise de son SI](https://reader033.vdocuments.mx/reader033/viewer/2022052910/559b073e1a28ab81758b46ce/html5/thumbnails/14.jpg)
Récupération de l’Active
Directory
![Page 15: APT : Comment récupérer la maîtrise de son SI](https://reader033.vdocuments.mx/reader033/viewer/2022052910/559b073e1a28ab81758b46ce/html5/thumbnails/15.jpg)
Répondre à des questions inhabituelles, sans
procédure ni expérience« Quelle partie de l’IT est compromise ? »
(et peut-être « Qu’est-ce que qu’il y a dans mon IT
? », « quels sont les systèmes critiques ? »)
« Comment s’est passée l’intrusion ? »
« Qui mettre dans la boucle ? »
« Quelle est la première chose à faire ? »
« Et ensuite ? »
« Quelle stratégie, quelles opérations, quel calendrier ? »
Premières difficultés
![Page 16: APT : Comment récupérer la maîtrise de son SI](https://reader033.vdocuments.mx/reader033/viewer/2022052910/559b073e1a28ab81758b46ce/html5/thumbnails/16.jpg)
Le contexte est chaotiquePas de préparation
Situation instable, les intrus sont toujours actifs
Comment agir à l’insu des intrus ? (communications)
Interlocuteurs inhabituels pour l’IT : juridique, relations
presse, management, voire partenaires
Autres difficultés
![Page 17: APT : Comment récupérer la maîtrise de son SI](https://reader033.vdocuments.mx/reader033/viewer/2022052910/559b073e1a28ab81758b46ce/html5/thumbnails/17.jpg)
AD est la référence de sécurité du SI.
Éléments les plus critiques :Contrôleurs de domaine
Stations d’administration
Administrateurs
Comptes privilégiés
Management :
Supervision
Gestion des mises à jour
Gestion des sauvegardes
Antivirus
Le cas échéant : plateforme de virtualisation, stockage…
Le rôle central de l’Active
Directory
![Page 18: APT : Comment récupérer la maîtrise de son SI](https://reader033.vdocuments.mx/reader033/viewer/2022052910/559b073e1a28ab81758b46ce/html5/thumbnails/18.jpg)
Il n’y a pas une réponse uniqueDépend de :
Étendue de la compromission
Données vitales en danger ?
Niveau d’acceptation des risques : arrêt de
production, mauvaise presse, information de l’intrus sur le
plan en cours
Qui décide et comment
Le choix d’une stratégie détermine la difficulté et la durée
Dans tous les cas, l’AD doit être
sécurisée, ce qui est une opération majeure
Définir la stratégie
![Page 19: APT : Comment récupérer la maîtrise de son SI](https://reader033.vdocuments.mx/reader033/viewer/2022052910/559b073e1a28ab81758b46ce/html5/thumbnails/19.jpg)
HypothèsesTous les comptes et mots de passe compromis
L’OS des contrôleurs de domaine n’est plus fiable
ObjectifsRedonner confiance dans l’AD en reconstruisant les DC
Augmenter la sécurité des DC
Mettre en place une vraie gestion des comptes privilégiés et
comptes de services
Identique au scénario « DC volé » ou « restauration d’une
forêt »
Comment récupérer son AD
![Page 20: APT : Comment récupérer la maîtrise de son SI](https://reader033.vdocuments.mx/reader033/viewer/2022052910/559b073e1a28ab81758b46ce/html5/thumbnails/20.jpg)
Grandes étapes
![Page 21: APT : Comment récupérer la maîtrise de son SI](https://reader033.vdocuments.mx/reader033/viewer/2022052910/559b073e1a28ab81758b46ce/html5/thumbnails/21.jpg)
Idéalement, tous les mots de passe
Impact fort
Au minimum, tous les comptes privilégiés
Les autres sont forcés à expirer : changement obligatoire par
les utilisateurs
Reconfiguration nécessaire des services, tâches planifiées
« Reset » des mots de passe
![Page 22: APT : Comment récupérer la maîtrise de son SI](https://reader033.vdocuments.mx/reader033/viewer/2022052910/559b073e1a28ab81758b46ce/html5/thumbnails/22.jpg)
Vision simplifiéeMembre d'un groupe "à pouvoir" du domaine (domain
admins, etc.)
Compte qui a des privilèges Windows donnés par GPO pour
certains membres
Membre d'un groupe local admin sur un membre (SAM)
Compte Trusted for delegation
Compte pour lequel il existe des ACL explicites sur des
objets de l'AD
…
Comptes privilégiés
![Page 23: APT : Comment récupérer la maîtrise de son SI](https://reader033.vdocuments.mx/reader033/viewer/2022052910/559b073e1a28ab81758b46ce/html5/thumbnails/23.jpg)
Limiter les comptes privilégiés à des machines
fiables et surveillées (cf. WCE)
Principe de moindre privilègeLimiter les admins du domaine, les admins locaux, y compris sur les
stations d’administration
Plus l’étendue d’un privilège est importante, plus des ressources seront
menacées
Utiliser les comptes prévus : Local Service, Network Service
Réduire la surface d’attaqueDiminuant le nombre de services
Isoler les comptesUn compte par service si possible
Éviter les comptes locaux avec mêmes noms et mots de passe
Comptes de service
![Page 24: APT : Comment récupérer la maîtrise de son SI](https://reader033.vdocuments.mx/reader033/viewer/2022052910/559b073e1a28ab81758b46ce/html5/thumbnails/24.jpg)
50 000 employés, 3 000 serveurs
550 jours-hommes, dont 74 en un weekend
Durée : 3 mois
50+ personnes de Microsoft, 35 « le » weekend
3200+ emails
400+ livrables (dont scripts et procédures)
120+ serveurs (ré)installés en production
Exemple concret
![Page 25: APT : Comment récupérer la maîtrise de son SI](https://reader033.vdocuments.mx/reader033/viewer/2022052910/559b073e1a28ab81758b46ce/html5/thumbnails/25.jpg)
![Page 26: APT : Comment récupérer la maîtrise de son SI](https://reader033.vdocuments.mx/reader033/viewer/2022052910/559b073e1a28ab81758b46ce/html5/thumbnails/26.jpg)