préparation à la gestion de crises de sécurité jean gautier jean.gautier@microsoft
DESCRIPTION
Préparation à la gestion de crises de sécurité Jean Gautier [email protected]. Agenda. Quelques bonnes pratiques La préparation Des technologies Des hommes Des procédures La crise elle-même. Les bonnes pratiques. Mettre en place la redondance - PowerPoint PPT PresentationTRANSCRIPT
Agenda
Quelques bonnes pratiques
La préparationDes technologiesDes hommesDes procédures
La crise elle-même
Les bonnes pratiques
Mettre en place la redondance
Documenter et tester les procédures de sauvegarde et restauration
Implémenter le contrôle du changement
Réaliser une analyse des menaces3
Règles de réaction
Déterminent les seuils de ‘crise de sécurité’ – Jaune/Orange/Rouge
Découlent directement de l’impact potentiel ou avéré sur l’activité de l’entreprise
Régissent et justifient les décisions prises
4
Créer un environnement de test
Créer les machines virtuelles représentatives du parc:
Contrôleur de domaineServeur de messagerieServeur Intranet/InternetPostes de travail…
A moindre coût, permet d’évaluer très rapidement l’impact d’une action corrective
5
Former une équipe de crise
Apte à communiquer avec le management
Apte à analyser le profil de l’attaqueSe former à l’utilisation des outils:
filemon, netmon, mps reports, AutorunsProcess Explorer…
6
Prêt à communiquer
Préparer une personne de la communication/relation presse
A ne jamais donner de date de résolutionA ne communiquer que les faits
Créer/Maintenir la liste des contacts:Du managementDes opérationnelsDes interlocuteurs extérieurs:
Microsoft PSS Security, Anti-virus, Consultants
7
Prêt à décider
Documenter et faire valider par tous la chaine de commandement ‘de crise’
Il ne sera plus temps d’utiliser les processus décisionnels habituels.
Chargés de prendre les décisionsLourdesTransversalesUrgentesIndiscutables!
8
Prêt à protéger
Scripts de configuration de routeurs/pare-feu
Pour couper le lien InternetSegmenter les réseaux sains/infectésIsoler les serveurs obsolètesIsolation du DC dit « de latence » (lax DC)
Méthode de déploiement ‘minute’ de mises à jour de sécurité
Scripts de démarrage, packages SMS, WSUS 9
Former une équipe de crise
Apte à implémenter un plan de riposte:Avec une image Windows PE (Win PE) contenant les outils classiques de troubleshooting et d’analyse ainsi que les pilotes les plus courants dans l’entreprise (NIC)Au moyen de scripts:
Pour modifier les comptes AD (expiration de mots de passe)Pour créer des fichiers bloquants l’attaquePour créer/supprimer des entrées de la base de registrePour configurer les routeurs/firewalls/serveurs en mode ‘Secure’
Avec les GPOs et SRPsAvec une image du système récente (slipstreamed) 10
Etre attentifs
Soyez joignables et à l’écouteCommuniquez:
Une adresse email ([email protected])Un formulaire Web (http://securite)Un numéro d’alerte (facile à retenir)
Observez:Le trafic réseauLes remontées d’alertes par l’anti-virusLes évènements WindowsVos sondes anti-intrusionLe volume de soumission de demandes de support
11
Qualifier l’alerte
CorrélerNe rien affirmer à partir d’une seule source
Traiter tout incident rapporté!Permet de ne rien laisser passerValorise la personne remontant le problème
DocumenterPour accélérer le traitement des incidents ultérieurs similaires 12
Gestion de la crise
13
Collecter, Mobiliser
Collecter des informationsProcess Explorer (www.sysinternals.com)NetMon (ftp://ftp.microsoft.com/PSS/Tools/Netmon/Netmon2.zip)
FileMon/RegMon (www.sysinternals.com)MPSReport (http://www.microsoft.com/downloads/details.aspx?FamilyId=CEBF3C7C-7CA5-408F-88B7-F9C79B7306C0&displaylang=en)
Requérir de l’aideFournisseur d’anti-virusMicrosoft PSS SecuritySociété de conseil spécialisée
14
Chaîne de commandement
Impliquer la hiérarchie très tôt dans la criseLes informer de ce que l’on va attendre d’eux dans les heures à venir:
1. Isolations (Messagerie, Internet, DMZ, …)2. Communications vers l’interne et l’externe3. Mises à jour du parc, impact possible sur la production4. Reconstructions de système
L’implication du management est essentielle à la réactivité de l’équipe de crise
15
Protéger, immédiatement
Serveurs obsolètesServeurs de fichiers critiques en mode lecture seuleServeur de messagerie isolés d’InternetFermeture de la connexion vers Internet:
Pour éviter la fuite d’informationPour couper le canal de contrôlePour ne pas devenir le relais d’une attaque
Fermeture de routeurs (segmentation)…
16
CommuniquerSe synchroniser régulièrement avec les différentes équipes impliquées:
Points d’avancement régulierPartage d’informationS’assurer que tous sont sur la même page
Informer le management:Qu’un incident se produitQu’il sera amené à prendre des décisionsDu plan d’action
Informer les tiers impliquésSalariésClientsPartenaires…
17
Analyser
Les informations collectéesTraces réseauxEchantillons de malware (virus, rootkit, bot, …)EvènementsDifférences avec la ligne de référence (fciv)
Fichiers créésServicesClés de registre…
Moyens de persistanceAvec l’aide de tiers:
PSS Security, Fournisseur anti-virus
18
Identifier le profil de l’attaque
Mises à jour non déployéesMots de passe faiblesEMail…
Attaque automatique ou manuelle
19
Etablir la riposte #1
Protéger:Déploiement immédiat de mises à jour:
De sécuritéDes signatures anti-virus, filtres, …
Expiration de mots de passeCréation de Software Restriction Policies SRPs (KB324036)ACLs dans la base de registreCréer un fichier ‘vide’ avec des ACLs bloquant l’implantation du malware
20
Etablir la riposte #2Nettoyer
Créer un script, en relation avec votre fournisseur d’anti-virus et/ou PSS Security pour supprimer les traces ‘visibles’ du malware
Utiliser une image Win PE pour intervenir sur la machine sans ‘souffrir’ de l’impact du malware( http://www.microsoft.com/licensing/programs/sa/benefits/winpe.mspx)
Désactiver Automatic System Restore (KB310405)
ReconstruireUtiliser une image Windows avec les dernières mises à jour intégrées (« slipstreamed »).( http://www.microsoft.com/technet/security/topics/patchmanagement/hfdeploy.mspx#EEAA)
21
Tester la riposte
Utiliser l’environnement de test virtuel!
Permet de détecter les problèmes:De scripts (privilèges insuffisants, chargement de ruches, …)D’incompatibilité applicativeDe déploiement
22
Implémenter la riposte
Déployer la riposte sur un échantillon de systèmesSurveiller d’éventuelles réinfections
Si tout va bien, déployer largement!
23
Apprendre!
Chaque crise est l’occasion d’apprendre:
Sur les points faibles de l’infrastructureSur les points faibles des procédures de gestion de crise
Réaliser un post-mortem complet:Avec évaluation des coûts induitsJustifiant les actions correctrices s’il y a lieu
24
Retour sur les plans d’action
25
Plan d’action #1
Réaliser une analyse des menacesEtablir des canaux de communication avec les salariés, clients, partenairesMettre en place un système de documentation des alertes et leurs résolutionsPréparer une personne de la communication aux spécificités des incidents de sécuritéCréer/Maintenir la liste des contacts
26
Plan d’action #2Tester les backups! régulièrement!!Créer un environnement de test virtuelCréer une image Windows PE (Win PE) contenant les outils classiques de troubleshooting et d’analyse ainsi que les drivers les plus communément rencontrés dans l’entreprise (NIC et SCSI ....)Créer/Tester des scriptsCréer/Tester des SRPs, et plus généralement des GPOsCréer/Tester une image récente du système (slipstreamed)Se former à l’utilisation des outils de diagnostic (filemon, netmon, process explorer, …)
27
Trucs et astuces
Rebooter avant l’installation de mises à jour de sécurité permet de distinguer les problèmes dus au reboot et les problèmes dus aux mises à jourInstaller la recovery console sur Windows afin d’éviter de rechercher un CD de Windows (« winnt32.exe /cmdcons »)Si vous dépendez de liens bas débit, pré positionnez les outils, mises à jours de sécurité, … sur les sites distants.
28