Préparation à la gestion de crises de sécurité

Jean Gautierjean.gautier@microsoft.com

1

Agenda

Quelques bonnes pratiques

La préparationDes technologiesDes hommesDes procédures

La crise elle-même

Les bonnes pratiques

Mettre en place la redondance

Documenter et tester les procédures de sauvegarde et restauration

Implémenter le contrôle du changement

Réaliser une analyse des menaces3

Règles de réaction

Déterminent les seuils de ‘crise de sécurité’ – Jaune/Orange/Rouge

Découlent directement de l’impact potentiel ou avéré sur l’activité de l’entreprise

Régissent et justifient les décisions prises

4

Créer un environnement de test

Créer les machines virtuelles représentatives du parc:

Contrôleur de domaineServeur de messagerieServeur Intranet/InternetPostes de travail…

A moindre coût, permet d’évaluer très rapidement l’impact d’une action corrective

5

Former une équipe de crise

Apte à communiquer avec le management

Apte à analyser le profil de l’attaqueSe former à l’utilisation des outils:

filemon, netmon, mps reports, AutorunsProcess Explorer…

6

Prêt à communiquer

Préparer une personne de la communication/relation presse

A ne jamais donner de date de résolutionA ne communiquer que les faits

Créer/Maintenir la liste des contacts:Du managementDes opérationnelsDes interlocuteurs extérieurs:

Microsoft PSS Security, Anti-virus, Consultants

7

Prêt à décider

Documenter et faire valider par tous la chaine de commandement ‘de crise’

Il ne sera plus temps d’utiliser les processus décisionnels habituels.

Chargés de prendre les décisionsLourdesTransversalesUrgentesIndiscutables!

8

Prêt à protéger

Scripts de configuration de routeurs/pare-feu

Pour couper le lien InternetSegmenter les réseaux sains/infectésIsoler les serveurs obsolètesIsolation du DC dit « de latence » (lax DC)

Méthode de déploiement ‘minute’ de mises à jour de sécurité

Scripts de démarrage, packages SMS, WSUS 9

Former une équipe de crise

Apte à implémenter un plan de riposte:Avec une image Windows PE (Win PE) contenant les outils classiques de troubleshooting et d’analyse ainsi que les pilotes les plus courants dans l’entreprise (NIC)Au moyen de scripts:

Pour modifier les comptes AD (expiration de mots de passe)Pour créer des fichiers bloquants l’attaquePour créer/supprimer des entrées de la base de registrePour configurer les routeurs/firewalls/serveurs en mode ‘Secure’

Avec les GPOs et SRPsAvec une image du système récente (slipstreamed) 10

Etre attentifs

Soyez joignables et à l’écouteCommuniquez:

Une adresse email (alerte@macompagnie.com)Un formulaire Web (http://securite)Un numéro d’alerte (facile à retenir)

Observez:Le trafic réseauLes remontées d’alertes par l’anti-virusLes évènements WindowsVos sondes anti-intrusionLe volume de soumission de demandes de support

11

Qualifier l’alerte

CorrélerNe rien affirmer à partir d’une seule source

Traiter tout incident rapporté!Permet de ne rien laisser passerValorise la personne remontant le problème

DocumenterPour accélérer le traitement des incidents ultérieurs similaires 12

Gestion de la crise

13

Collecter, Mobiliser

Collecter des informationsProcess Explorer (www.sysinternals.com)NetMon (ftp://ftp.microsoft.com/PSS/Tools/Netmon/Netmon2.zip)

FileMon/RegMon (www.sysinternals.com)MPSReport (http://www.microsoft.com/downloads/details.aspx?FamilyId=CEBF3C7C-7CA5-408F-88B7-F9C79B7306C0&displaylang=en)

Requérir de l’aideFournisseur d’anti-virusMicrosoft PSS SecuritySociété de conseil spécialisée

14

Chaîne de commandement

Impliquer la hiérarchie très tôt dans la criseLes informer de ce que l’on va attendre d’eux dans les heures à venir:

1. Isolations (Messagerie, Internet, DMZ, …)2. Communications vers l’interne et l’externe3. Mises à jour du parc, impact possible sur la production4. Reconstructions de système

L’implication du management est essentielle à la réactivité de l’équipe de crise

15

Protéger, immédiatement

Serveurs obsolètesServeurs de fichiers critiques en mode lecture seuleServeur de messagerie isolés d’InternetFermeture de la connexion vers Internet:

Pour éviter la fuite d’informationPour couper le canal de contrôlePour ne pas devenir le relais d’une attaque

Fermeture de routeurs (segmentation)…

16

CommuniquerSe synchroniser régulièrement avec les différentes équipes impliquées:

Points d’avancement régulierPartage d’informationS’assurer que tous sont sur la même page

Informer le management:Qu’un incident se produitQu’il sera amené à prendre des décisionsDu plan d’action

Informer les tiers impliquésSalariésClientsPartenaires…

17

Analyser

Les informations collectéesTraces réseauxEchantillons de malware (virus, rootkit, bot, …)EvènementsDifférences avec la ligne de référence (fciv)

Fichiers créésServicesClés de registre…

Moyens de persistanceAvec l’aide de tiers:

PSS Security, Fournisseur anti-virus

18

Identifier le profil de l’attaque

Mises à jour non déployéesMots de passe faiblesEMail…

Attaque automatique ou manuelle

19

Etablir la riposte #1

Protéger:Déploiement immédiat de mises à jour:

De sécuritéDes signatures anti-virus, filtres, …

Expiration de mots de passeCréation de Software Restriction Policies SRPs (KB324036)ACLs dans la base de registreCréer un fichier ‘vide’ avec des ACLs bloquant l’implantation du malware

20

Etablir la riposte #2Nettoyer

Créer un script, en relation avec votre fournisseur d’anti-virus et/ou PSS Security pour supprimer les traces ‘visibles’ du malware

Utiliser une image Win PE pour intervenir sur la machine sans ‘souffrir’ de l’impact du malware( http://www.microsoft.com/licensing/programs/sa/benefits/winpe.mspx)

Désactiver Automatic System Restore (KB310405)

ReconstruireUtiliser une image Windows avec les dernières mises à jour intégrées (« slipstreamed »).( http://www.microsoft.com/technet/security/topics/patchmanagement/hfdeploy.mspx#EEAA)

21

Tester la riposte

Utiliser l’environnement de test virtuel!

Permet de détecter les problèmes:De scripts (privilèges insuffisants, chargement de ruches, …)D’incompatibilité applicativeDe déploiement

22

Implémenter la riposte

Déployer la riposte sur un échantillon de systèmesSurveiller d’éventuelles réinfections

Si tout va bien, déployer largement!

23

Apprendre!

Chaque crise est l’occasion d’apprendre:

Sur les points faibles de l’infrastructureSur les points faibles des procédures de gestion de crise

Réaliser un post-mortem complet:Avec évaluation des coûts induitsJustifiant les actions correctrices s’il y a lieu

24

Retour sur les plans d’action

25

Plan d’action #1

Réaliser une analyse des menacesEtablir des canaux de communication avec les salariés, clients, partenairesMettre en place un système de documentation des alertes et leurs résolutionsPréparer une personne de la communication aux spécificités des incidents de sécuritéCréer/Maintenir la liste des contacts

26

Plan d’action #2Tester les backups! régulièrement!!Créer un environnement de test virtuelCréer une image Windows PE (Win PE) contenant les outils classiques de troubleshooting et d’analyse ainsi que les drivers les plus communément rencontrés dans l’entreprise (NIC et SCSI ....)Créer/Tester des scriptsCréer/Tester des SRPs, et plus généralement des GPOsCréer/Tester une image récente du système (slipstreamed)Se former à l’utilisation des outils de diagnostic (filemon, netmon, process explorer, …)

27

Trucs et astuces

Rebooter avant l’installation de mises à jour de sécurité permet de distinguer les problèmes dus au reboot et les problèmes dus aux mises à jourInstaller la recovery console sur Windows afin d’éviter de rechercher un CD de Windows (« winnt32.exe /cmdcons »)Si vous dépendez de liens bas débit, pré positionnez les outils, mises à jours de sécurité, … sur les sites distants.

28

Questions?

frsecsup@microsoft.com

29