SlideShare ist ein Scribd-Unternehmen logo

APT : Comment récupérer la maîtrise de son SI

Als PPTX, PDF herunterladen
Microsoft Décideurs IT
Microsoft Décideurs IT

Comment récupérer la maîtrise de son Système d'Informations lorsque l'on est victime d'une "APT" (Advanced Persistent Threat = Infection persistante) ? Dans ce type de scénario, l'attaquant a la maîtrise complète du SI. S'il n'y a pas de recette universelle, plusieurs approches peuvent être tentées afin de reprendre la main sur son SI, d'en protéger en priorité les éléments les plus sensibles, et d'en garder le contrôle.

Technologie
1 von 26
palais des congrès Paris 7, 8 et 9 février 2012
APT : retrouver la maîtrise de son SI 9 février 2012 Pascal Sauliere Architecte Sécurité, CISSP, CCSK Microsoft France
Objectifs de la session Des pistes de solutions pour retrouver la maitrise de son SI après une intrusion de type « APT » Éviter les écueils classiques
APT : Advanced Persistent Threat Sophistication organisationnelle plus que technique Équipes professionnelles travaillant aux heures de bureau du pays source (ou relai) de l’attaque Opérations spécifiques et ciblées Utilisation d’un large spectre d’attaques Intention de s’installer pour perdurer Réponse adaptative, pas d’abandon Ciblage de la propriété intellectuelle
Conséquences de l’APT Compromissions et exploits omniprésents Malware, outils présents sur serveurs et postes Totale maîtrise de l’environnement Admins du domaine Admins des serveurs critiques Mots de passe compromis Supposer que TOUS sont compromis PKI, masters, etc. compromis Aucune confiance possible dans le SI
Que faire en cas d’intrusion ?
Jesper Johansson, 2004 On ne peut pas nettoyer un système compromis en le patchant Le seul moyen de en supprimant les back doors en "supprimant les vulnérabilités" nettoyer un système avec un scanner de virus en réinstallant par dessus l’installation existante Oncompromis està d’écraser ne peut faire confiance aucune donnée Onet peut pas faire confiance aux journaux ne reconstruire copiée depuis un système compromis d’événements d’un système compromis On ne peut pas faire confiance à la dernière sauvegarde
Que faire en cas d’intrusion ?
Le plan parfait Fermer tous les accès Internet et accès distants Changer tous les mots de passe Reconstruire Active Directory Reconstruire tous les serveurs from scratch Reconstruire tous les postes idem Mettre à jour tous les logiciels, les défenses, les politiques Corriger les vulnérabilités Restaurer les données et applications légitimes Éduquer les utilisateurs Redémarrer tous les services
Le plan parfait Pas si parfait Trop important, trop long Trop complexe Trop cher Trop perturbant (euphémisme)
Exemple de réponse initiale Monter une organisation de réponse à incident (IR) Établir des canaux de communication séparés Par exemple : PC neufs, Office 365 ou autre Évaluer l’étendue de l’intrusion Évaluer la vulnérabilité de l’environnement Définir des plans de remédiation
Plan général environement actuel migrer les nouvel environement effort de remédiation joyaux de la couronne Relever la barre Sécuriser les « joyaux de la retour à la normale couronnee » temps court terme moyen terme long terme <90 jours <18 mois <36 mois Anti malware Concevoir et construire le Migrer les systèmes Vérifier les admins nouvel environnement restant Stratégie de migration Décider du sort de Désactiver LM l’ancien environnement Migrer les systèmes critiques Reset mots de passe Secure Development Surveillance trafic sortant Lifecycle Évaluation environnement Revues de code
Récupération de l’Active Directory
Premières difficultés Répondre à des questions inhabituelles, sans procédure ni expérience « Quelle partie de l’IT est compromise ? » (et peut-être « Qu’est-ce que qu’il y a dans mon IT ? », « quels sont les systèmes critiques ? ») « Comment s’est passée l’intrusion ? » « Qui mettre dans la boucle ? » « Quelle est la première chose à faire ? » « Et ensuite ? » « Quelle stratégie, quelles opérations, quel calendrier ? »
Autres difficultés Le contexte est chaotique Pas de préparation Situation instable, les intrus sont toujours actifs Comment agir à l’insu des intrus ? (communications) Interlocuteurs inhabituels pour l’IT : juridique, relations presse, management, voire partenaires
Le rôle central de l’Active Directory AD est la référence de sécurité du SI. Éléments les plus critiques : Contrôleurs de domaine Stations d’administration Administrateurs Comptes privilégiés Management : Supervision Gestion des mises à jour Gestion des sauvegardes Antivirus Le cas échéant : plateforme de virtualisation, stockage…
Définir la stratégie Il n’y a pas une réponse unique Dépend de : Étendue de la compromission Données vitales en danger ? Niveau d’acceptation des risques : arrêt de production, mauvaise presse, information de l’intrus sur le plan en cours Qui décide et comment Le choix d’une stratégie détermine la difficulté et la durée Dans tous les cas, l’AD doit être sécurisée, ce qui est une opération majeure
Comment récupérer son AD Hypothèses Tous les comptes et mots de passe compromis L’OS des contrôleurs de domaine n’est plus fiable Objectifs Redonner confiance dans l’AD en reconstruisant les DC Augmenter la sécurité des DC Mettre en place une vraie gestion des comptes privilégiés et comptes de services Identique au scénario « DC volé » ou « restauration d’une forêt »
Grandes étapes
« Reset » des mots de passe Idéalement, tous les mots de passe Impact fort Au minimum, tous les comptes privilégiés Les autres sont forcés à expirer : changement obligatoire par les utilisateurs Reconfiguration nécessaire des services, tâches planifiées
Comptes privilégiés Vision simplifiée Membre d'un groupe "à pouvoir" du domaine (domain admins, etc.) Compte qui a des privilèges Windows donnés par GPO pour certains membres Membre d'un groupe local admin sur un membre (SAM) Compte Trusted for delegation Compte pour lequel il existe des ACL explicites sur des objets de l'AD …
Comptes de service Limiter les comptes privilégiés à des machines fiables et surveillées (cf. WCE) Principe de moindre privilège Limiter les admins du domaine, les admins locaux, y compris sur les stations d’administration Plus l’étendue d’un privilège est importante, plus des ressources seront menacées Utiliser les comptes prévus : Local Service, Network Service Réduire la surface d’attaque Diminuant le nombre de services Isoler les comptes Un compte par service si possible Éviter les comptes locaux avec mêmes noms et mots de passe
Exemple concret 50 000 employés, 3 000 serveurs 550 jours-hommes, dont 74 en un weekend Durée : 3 mois 50+ personnes de Microsoft, 35 « le » weekend 3200+ emails 400+ livrables (dont scripts et procédures) 120+ serveurs (ré)installés en production
APT : Comment récupérer la maîtrise de son SI
APT : Comment récupérer la maîtrise de son SI

Empfohlen

Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-Bertrand Milot, CRMP, CRISC, CISM, PCSM, C|Ciso
 
Sécurité &amp; Continuité
Sécurité &amp; ContinuitéSécurité &amp; Continuité
Sécurité &amp; ContinuitéBertrand Milot, CRMP, CRISC, CISM, PCSM, C|Ciso
 
Etude et mise en place d'une solution d'administration et de supervision Open...
Etude et mise en place d'une solution d'administration et de supervision Open...Etude et mise en place d'une solution d'administration et de supervision Open...
Etude et mise en place d'une solution d'administration et de supervision Open...Chiheb Ouaghlani
 
Supervision V2 ppt
Supervision V2 pptSupervision V2 ppt
Supervision V2 pptjeehane
 
Sécurité BI
Sécurité BISécurité BI
Sécurité BIGregoris Zikos
 
Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Yann Riviere CCSK, CISSP, CRISC, CISM
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2Sébastien GIORIA
 
AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014Abdeljalil AGNAOU
 

Empfohlen

Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-Bertrand Milot, CRMP, CRISC, CISM, PCSM, C|Ciso
 
Sécurité &amp; Continuité
Sécurité &amp; ContinuitéSécurité &amp; Continuité
Sécurité &amp; ContinuitéBertrand Milot, CRMP, CRISC, CISM, PCSM, C|Ciso
 
Etude et mise en place d'une solution d'administration et de supervision Open...
Etude et mise en place d'une solution d'administration et de supervision Open...Etude et mise en place d'une solution d'administration et de supervision Open...
Etude et mise en place d'une solution d'administration et de supervision Open...Chiheb Ouaghlani
 
Supervision V2 ppt
Supervision V2 pptSupervision V2 ppt
Supervision V2 pptjeehane
 
Sécurité BI
Sécurité BISécurité BI
Sécurité BIGregoris Zikos
 
Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Yann Riviere CCSK, CISSP, CRISC, CISM
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2Sébastien GIORIA
 
AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014Abdeljalil AGNAOU
 
Okt
OktOkt
OktMurdiyanto Jono
 
Potestad municipal
Potestad municipalPotestad municipal
Potestad municipalOmegas64
 
Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Microsoft Décideurs IT
 
Bmw bike k1300 gt_flyer_din
Bmw bike k1300 gt_flyer_dinBmw bike k1300 gt_flyer_din
Bmw bike k1300 gt_flyer_dinCowboy's Thoughts
 
Windows 10 : Protéger vos données d’entreprise !
Windows 10 : Protéger vos données d’entreprise !Windows 10 : Protéger vos données d’entreprise !
Windows 10 : Protéger vos données d’entreprise !Microsoft Décideurs IT
 
Sistemas operativos
Sistemas operativosSistemas operativos
Sistemas operativoskcvqz
 
Porsche cayenne mj09_mc_bluetooth_pd
Porsche cayenne mj09_mc_bluetooth_pdPorsche cayenne mj09_mc_bluetooth_pd
Porsche cayenne mj09_mc_bluetooth_pdCowboy's Thoughts
 
Los vertebrados (frances) con musica
Los vertebrados (frances) con musicaLos vertebrados (frances) con musica
Los vertebrados (frances) con musicammecamp7
 
LA MODE HIPPIE (1968)
LA MODE HIPPIE (1968)LA MODE HIPPIE (1968)
LA MODE HIPPIE (1968)AsiaYoon
 
Cours de reflexologie plantaire
Cours de reflexologie plantaireCours de reflexologie plantaire
Cours de reflexologie plantairetempodicrisi
 
Presentacion olga1
Presentacion olga1Presentacion olga1
Presentacion olga1Olga Guedez
 
Cultivo larvario
Cultivo larvarioCultivo larvario
Cultivo larvarioEDISONDEME
 
Organitzar les tardes
Organitzar les tardesOrganitzar les tardes
Organitzar les tardesElena Garcia Morell
 
Migration Exchange vers O365 – Challenges et Solutions
Migration Exchange vers O365 – Challenges et Solutions Migration Exchange vers O365 – Challenges et Solutions
Migration Exchange vers O365 – Challenges et Solutions Microsoft Décideurs IT
 
Un pas de plus vers l'agilité de la DSI
Un pas de plus vers l'agilité de la DSIUn pas de plus vers l'agilité de la DSI
Un pas de plus vers l'agilité de la DSIMicrosoft Décideurs IT
 
Best of MMS 2013 Window Azure IaaS
Best of MMS 2013 Window Azure IaaSBest of MMS 2013 Window Azure IaaS
Best of MMS 2013 Window Azure IaaSMicrosoft Décideurs IT
 
Comment installer son blog avec 1&1
Comment installer son blog avec 1&1Comment installer son blog avec 1&1
Comment installer son blog avec 1&1Maëva Haziza
 
Nanotecnología
NanotecnologíaNanotecnología
NanotecnologíaYoyemabu
 
Desafíos de las tic en el ámbito educativo liliana cardozo vera
Desafíos de las tic en el ámbito educativo liliana cardozo veraDesafíos de las tic en el ámbito educativo liliana cardozo vera
Desafíos de las tic en el ámbito educativo liliana cardozo veraLili Cardozo
 
Presentacion chikungunya
Presentacion chikungunyaPresentacion chikungunya
Presentacion chikungunyakimmymireya
 
On a volé les clefs de mon SI !
On a volé les clefs de mon SI !On a volé les clefs de mon SI !
On a volé les clefs de mon SI !Microsoft Technet France
 
Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...Sylvain Cortes
 

Weitere ähnliche Inhalte

Andere mochten auch

Potestad municipal
Potestad municipalPotestad municipal
Potestad municipalOmegas64
 
Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Microsoft Décideurs IT
 
Windows 10 : Protéger vos données d’entreprise !
Windows 10 : Protéger vos données d’entreprise !Windows 10 : Protéger vos données d’entreprise !
Windows 10 : Protéger vos données d’entreprise !Microsoft Décideurs IT
 
Sistemas operativos
Sistemas operativosSistemas operativos
Sistemas operativoskcvqz
 
Porsche cayenne mj09_mc_bluetooth_pd
Porsche cayenne mj09_mc_bluetooth_pdPorsche cayenne mj09_mc_bluetooth_pd
Porsche cayenne mj09_mc_bluetooth_pdCowboy's Thoughts
 
Los vertebrados (frances) con musica
Los vertebrados (frances) con musicaLos vertebrados (frances) con musica
Los vertebrados (frances) con musicammecamp7
 
LA MODE HIPPIE (1968)
LA MODE HIPPIE (1968)LA MODE HIPPIE (1968)
LA MODE HIPPIE (1968)AsiaYoon
 
Cours de reflexologie plantaire
Cours de reflexologie plantaireCours de reflexologie plantaire
Cours de reflexologie plantairetempodicrisi
 
Presentacion olga1
Presentacion olga1Presentacion olga1
Presentacion olga1Olga Guedez
 
Cultivo larvario
Cultivo larvarioCultivo larvario
Cultivo larvarioEDISONDEME
 
Migration Exchange vers O365 – Challenges et Solutions
Migration Exchange vers O365 – Challenges et Solutions Migration Exchange vers O365 – Challenges et Solutions
Migration Exchange vers O365 – Challenges et Solutions Microsoft Décideurs IT
 
Un pas de plus vers l'agilité de la DSI
Un pas de plus vers l'agilité de la DSIUn pas de plus vers l'agilité de la DSI
Un pas de plus vers l'agilité de la DSIMicrosoft Décideurs IT
 
Comment installer son blog avec 1&1
Comment installer son blog avec 1&1Comment installer son blog avec 1&1
Comment installer son blog avec 1&1Maëva Haziza
 
Nanotecnología
NanotecnologíaNanotecnología
NanotecnologíaYoyemabu
 
Desafíos de las tic en el ámbito educativo liliana cardozo vera
Desafíos de las tic en el ámbito educativo liliana cardozo veraDesafíos de las tic en el ámbito educativo liliana cardozo vera
Desafíos de las tic en el ámbito educativo liliana cardozo veraLili Cardozo
 
Presentacion chikungunya
Presentacion chikungunyaPresentacion chikungunya
Presentacion chikungunyakimmymireya
 

Andere mochten auch (20)

Okt
OktOkt
Okt
 
Potestad municipal
Potestad municipalPotestad municipal
Potestad municipal
 
Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?
 
Bmw bike k1300 gt_flyer_din
Bmw bike k1300 gt_flyer_dinBmw bike k1300 gt_flyer_din
Bmw bike k1300 gt_flyer_din
 
Windows 10 : Protéger vos données d’entreprise !
Windows 10 : Protéger vos données d’entreprise !Windows 10 : Protéger vos données d’entreprise !
Windows 10 : Protéger vos données d’entreprise !
 
Sistemas operativos
Sistemas operativosSistemas operativos
Sistemas operativos
 
Porsche cayenne mj09_mc_bluetooth_pd
Porsche cayenne mj09_mc_bluetooth_pdPorsche cayenne mj09_mc_bluetooth_pd
Porsche cayenne mj09_mc_bluetooth_pd
 
Los vertebrados (frances) con musica
Los vertebrados (frances) con musicaLos vertebrados (frances) con musica
Los vertebrados (frances) con musica
 
LA MODE HIPPIE (1968)
LA MODE HIPPIE (1968)LA MODE HIPPIE (1968)
LA MODE HIPPIE (1968)
 
Cours de reflexologie plantaire
Cours de reflexologie plantaireCours de reflexologie plantaire
Cours de reflexologie plantaire
 
Presentacion olga1
Presentacion olga1Presentacion olga1
Presentacion olga1
 
Cultivo larvario
Cultivo larvarioCultivo larvario
Cultivo larvario
 
Organitzar les tardes
Organitzar les tardesOrganitzar les tardes
Organitzar les tardes
 
Migration Exchange vers O365 – Challenges et Solutions
Migration Exchange vers O365 – Challenges et Solutions Migration Exchange vers O365 – Challenges et Solutions
Migration Exchange vers O365 – Challenges et Solutions
 
Un pas de plus vers l'agilité de la DSI
Un pas de plus vers l'agilité de la DSIUn pas de plus vers l'agilité de la DSI
Un pas de plus vers l'agilité de la DSI
 
Best of MMS 2013 Window Azure IaaS
Best of MMS 2013 Window Azure IaaSBest of MMS 2013 Window Azure IaaS
Best of MMS 2013 Window Azure IaaS
 
Comment installer son blog avec 1&1
Comment installer son blog avec 1&1Comment installer son blog avec 1&1
Comment installer son blog avec 1&1
 
Nanotecnología
NanotecnologíaNanotecnología
Nanotecnología
 
Desafíos de las tic en el ámbito educativo liliana cardozo vera
Desafíos de las tic en el ámbito educativo liliana cardozo veraDesafíos de las tic en el ámbito educativo liliana cardozo vera
Desafíos de las tic en el ámbito educativo liliana cardozo vera
 
Presentacion chikungunya
Presentacion chikungunyaPresentacion chikungunya
Presentacion chikungunya
 

Ähnlich wie APT : Comment récupérer la maîtrise de son SI

Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...Sylvain Cortes
 
Webinar - Enterprise Cloud Databases
Webinar - Enterprise Cloud DatabasesWebinar - Enterprise Cloud Databases
Webinar - Enterprise Cloud DatabasesOVHcloud
 
Lutter contre les attaques ciblées avec quelques mesures simples et efficaces
Lutter contre les attaques ciblées avec quelques mesures simples et efficacesLutter contre les attaques ciblées avec quelques mesures simples et efficaces
Lutter contre les attaques ciblées avec quelques mesures simples et efficacesMicrosoft
 
Le Machine Learning pour lutter contre les menaces en termes de Cybersécurité...
Le Machine Learning pour lutter contre les menaces en termes de Cybersécurité...Le Machine Learning pour lutter contre les menaces en termes de Cybersécurité...
Le Machine Learning pour lutter contre les menaces en termes de Cybersécurité...Philippe Beraud
 
Active Directory et la Sécurité
Active Directory et la SécuritéActive Directory et la Sécurité
Active Directory et la SécuritéMicrosoft
 
Alphorm.com Formation Logpoint SIEM: Le guide complet
Alphorm.com Formation Logpoint SIEM: Le guide completAlphorm.com Formation Logpoint SIEM: Le guide complet
Alphorm.com Formation Logpoint SIEM: Le guide completAlphorm
 
Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !Microsoft Technet France
 
Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !Microsoft Décideurs IT
 
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Identity Days
 
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2Microsoft Technet France
 
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2Microsoft Décideurs IT
 
Normation solutions linux automatisation si complexes
Normation solutions linux automatisation si complexesNormation solutions linux automatisation si complexes
Normation solutions linux automatisation si complexesRUDDER
 
Cyber threat intelligence
Cyber threat intelligenceCyber threat intelligence
Cyber threat intelligenceMondher Smii
 
DevOps Day - Monitoring
DevOps Day - MonitoringDevOps Day - Monitoring
DevOps Day - MonitoringRadoine Douhou
 
Webinar bonnes pratiques securite
Webinar bonnes pratiques securiteWebinar bonnes pratiques securite
Webinar bonnes pratiques securitejumeletArnaud
 

Ähnlich wie APT : Comment récupérer la maîtrise de son SI (20)

On a volé les clefs de mon SI !
On a volé les clefs de mon SI !On a volé les clefs de mon SI !
On a volé les clefs de mon SI !
 
Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...
 
Webinar - Enterprise Cloud Databases
Webinar - Enterprise Cloud DatabasesWebinar - Enterprise Cloud Databases
Webinar - Enterprise Cloud Databases
 
Lutter contre les attaques ciblées avec quelques mesures simples et efficaces
Lutter contre les attaques ciblées avec quelques mesures simples et efficacesLutter contre les attaques ciblées avec quelques mesures simples et efficaces
Lutter contre les attaques ciblées avec quelques mesures simples et efficaces
 
La sécurité avec SQL Server 2012
La sécurité avec SQL Server 2012La sécurité avec SQL Server 2012
La sécurité avec SQL Server 2012
 
Le Machine Learning pour lutter contre les menaces en termes de Cybersécurité...
Le Machine Learning pour lutter contre les menaces en termes de Cybersécurité...Le Machine Learning pour lutter contre les menaces en termes de Cybersécurité...
Le Machine Learning pour lutter contre les menaces en termes de Cybersécurité...
 
Active Directory et la Sécurité
Active Directory et la SécuritéActive Directory et la Sécurité
Active Directory et la Sécurité
 
Alphorm.com Formation Logpoint SIEM: Le guide complet
Alphorm.com Formation Logpoint SIEM: Le guide completAlphorm.com Formation Logpoint SIEM: Le guide complet
Alphorm.com Formation Logpoint SIEM: Le guide complet
 
Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !
 
Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !
 
Dev ops Monitoring
Dev ops MonitoringDev ops Monitoring
Dev ops Monitoring
 
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...
 
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
 
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
 
Normation solutions linux automatisation si complexes
Normation solutions linux automatisation si complexesNormation solutions linux automatisation si complexes
Normation solutions linux automatisation si complexes
 
Cyber threat intelligence
Cyber threat intelligenceCyber threat intelligence
Cyber threat intelligence
 
DevOps Day - Monitoring
DevOps Day - MonitoringDevOps Day - Monitoring
DevOps Day - Monitoring
 
Paris Chaos Engineering Meetup #6
Paris Chaos Engineering Meetup #6Paris Chaos Engineering Meetup #6
Paris Chaos Engineering Meetup #6
 
Bien sécuriser et gérer ses données
Bien sécuriser et gérer ses donnéesBien sécuriser et gérer ses données
Bien sécuriser et gérer ses données
 
Webinar bonnes pratiques securite
Webinar bonnes pratiques securiteWebinar bonnes pratiques securite
Webinar bonnes pratiques securite
 

Mehr von Microsoft Décideurs IT

Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?Microsoft Décideurs IT
 
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?Microsoft Décideurs IT
 
Windows Server vNext- virtualisation et stockage
Windows Server vNext- virtualisation et stockageWindows Server vNext- virtualisation et stockage
Windows Server vNext- virtualisation et stockageMicrosoft Décideurs IT
 
Azure IaaS pour les IT - Demo Extravaganza
Azure IaaS pour les IT - Demo ExtravaganzaAzure IaaS pour les IT - Demo Extravaganza
Azure IaaS pour les IT - Demo ExtravaganzaMicrosoft Décideurs IT
 
Windows Server vNext- administration et réseau
Windows Server vNext- administration et réseauWindows Server vNext- administration et réseau
Windows Server vNext- administration et réseauMicrosoft Décideurs IT
 
Retour d’expérience de Sarenza sur la façon de piloter un projet Power BI
Retour d’expérience de Sarenza sur la façon de piloter un projet Power BIRetour d’expérience de Sarenza sur la façon de piloter un projet Power BI
Retour d’expérience de Sarenza sur la façon de piloter un projet Power BIMicrosoft Décideurs IT
 
Big Data et Business Intelligence de A… Azure
Big Data et Business Intelligence de A… AzureBig Data et Business Intelligence de A… Azure
Big Data et Business Intelligence de A… AzureMicrosoft Décideurs IT
 
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...Microsoft Décideurs IT
 
Architectures hybrides: Intégrer vos données métiers dans vos applications cl...
Architectures hybrides: Intégrer vos données métiers dans vos applications cl...Architectures hybrides: Intégrer vos données métiers dans vos applications cl...
Architectures hybrides: Intégrer vos données métiers dans vos applications cl...Microsoft Décideurs IT
 
Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...
Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...
Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...Microsoft Décideurs IT
 
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...Microsoft Décideurs IT
 
La collaboration dans Exchange : comparaison on premises et online
La collaboration dans Exchange : comparaison on premises et onlineLa collaboration dans Exchange : comparaison on premises et online
La collaboration dans Exchange : comparaison on premises et onlineMicrosoft Décideurs IT
 
Exchange / Office 365 comment faire un déploiement hybride
Exchange / Office 365 comment faire un déploiement hybrideExchange / Office 365 comment faire un déploiement hybride
Exchange / Office 365 comment faire un déploiement hybrideMicrosoft Décideurs IT
 
Sécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielSécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielMicrosoft Décideurs IT
 
Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...
Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...
Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...Microsoft Décideurs IT
 
Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...
Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...
Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...Microsoft Décideurs IT
 
Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...
Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...
Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...Microsoft Décideurs IT
 
Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...
Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...
Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...Microsoft Décideurs IT
 

Mehr von Microsoft Décideurs IT (20)

Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
 
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
 
Windows Server vNext- virtualisation et stockage
Windows Server vNext- virtualisation et stockageWindows Server vNext- virtualisation et stockage
Windows Server vNext- virtualisation et stockage
 
Azure IaaS pour les IT - Demo Extravaganza
Azure IaaS pour les IT - Demo ExtravaganzaAzure IaaS pour les IT - Demo Extravaganza
Azure IaaS pour les IT - Demo Extravaganza
 
Windows Server vNext- administration et réseau
Windows Server vNext- administration et réseauWindows Server vNext- administration et réseau
Windows Server vNext- administration et réseau
 
La gouvernance des données
La gouvernance des donnéesLa gouvernance des données
La gouvernance des données
 
Retour d’expérience de Sarenza sur la façon de piloter un projet Power BI
Retour d’expérience de Sarenza sur la façon de piloter un projet Power BIRetour d’expérience de Sarenza sur la façon de piloter un projet Power BI
Retour d’expérience de Sarenza sur la façon de piloter un projet Power BI
 
Malware Unchained
Malware UnchainedMalware Unchained
Malware Unchained
 
Big Data et Business Intelligence de A… Azure
Big Data et Business Intelligence de A… AzureBig Data et Business Intelligence de A… Azure
Big Data et Business Intelligence de A… Azure
 
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
 
Architectures hybrides: Intégrer vos données métiers dans vos applications cl...
Architectures hybrides: Intégrer vos données métiers dans vos applications cl...Architectures hybrides: Intégrer vos données métiers dans vos applications cl...
Architectures hybrides: Intégrer vos données métiers dans vos applications cl...
 
Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...
Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...
Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...
 
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
 
La collaboration dans Exchange : comparaison on premises et online
La collaboration dans Exchange : comparaison on premises et onlineLa collaboration dans Exchange : comparaison on premises et online
La collaboration dans Exchange : comparaison on premises et online
 
Exchange / Office 365 comment faire un déploiement hybride
Exchange / Office 365 comment faire un déploiement hybrideExchange / Office 365 comment faire un déploiement hybride
Exchange / Office 365 comment faire un déploiement hybride
 
Sécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielSécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentiel
 
Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...
Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...
Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...
 
Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...
Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...
Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...
 
Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...
Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...
Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...
 
Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...
Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...
Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...
 

APT : Comment récupérer la maîtrise de son SI

  • 1. palais des congrès Paris 7, 8 et 9 février 2012
  • 2. APT : retrouver la maîtrise de son SI 9 février 2012 Pascal Sauliere Architecte Sécurité, CISSP, CCSK Microsoft France
  • 3. Objectifs de la session Des pistes de solutions pour retrouver la maitrise de son SI après une intrusion de type « APT » Éviter les écueils classiques
  • 4.
  • 5. APT : Advanced Persistent Threat Sophistication organisationnelle plus que technique Équipes professionnelles travaillant aux heures de bureau du pays source (ou relai) de l’attaque Opérations spécifiques et ciblées Utilisation d’un large spectre d’attaques Intention de s’installer pour perdurer Réponse adaptative, pas d’abandon Ciblage de la propriété intellectuelle
  • 6. Conséquences de l’APT Compromissions et exploits omniprésents Malware, outils présents sur serveurs et postes Totale maîtrise de l’environnement Admins du domaine Admins des serveurs critiques Mots de passe compromis Supposer que TOUS sont compromis PKI, masters, etc. compromis Aucune confiance possible dans le SI
  • 7. Que faire en cas d’intrusion ?
  • 8. Jesper Johansson, 2004 On ne peut pas nettoyer un système compromis en le patchant Le seul moyen de en supprimant les back doors en "supprimant les vulnérabilités" nettoyer un système avec un scanner de virus en réinstallant par dessus l’installation existante Oncompromis està d’écraser ne peut faire confiance aucune donnée Onet peut pas faire confiance aux journaux ne reconstruire copiée depuis un système compromis d’événements d’un système compromis On ne peut pas faire confiance à la dernière sauvegarde
  • 9. Que faire en cas d’intrusion ?
  • 10. Le plan parfait Fermer tous les accès Internet et accès distants Changer tous les mots de passe Reconstruire Active Directory Reconstruire tous les serveurs from scratch Reconstruire tous les postes idem Mettre à jour tous les logiciels, les défenses, les politiques Corriger les vulnérabilités Restaurer les données et applications légitimes Éduquer les utilisateurs Redémarrer tous les services
  • 11. Le plan parfait Pas si parfait Trop important, trop long Trop complexe Trop cher Trop perturbant (euphémisme)
  • 12. Exemple de réponse initiale Monter une organisation de réponse à incident (IR) Établir des canaux de communication séparés Par exemple : PC neufs, Office 365 ou autre Évaluer l’étendue de l’intrusion Évaluer la vulnérabilité de l’environnement Définir des plans de remédiation
  • 13. Plan général environement actuel migrer les nouvel environement effort de remédiation joyaux de la couronne Relever la barre Sécuriser les « joyaux de la retour à la normale couronnee » temps court terme moyen terme long terme <90 jours <18 mois <36 mois Anti malware Concevoir et construire le Migrer les systèmes Vérifier les admins nouvel environnement restant Stratégie de migration Décider du sort de Désactiver LM l’ancien environnement Migrer les systèmes critiques Reset mots de passe Secure Development Surveillance trafic sortant Lifecycle Évaluation environnement Revues de code
  • 15. Premières difficultés Répondre à des questions inhabituelles, sans procédure ni expérience « Quelle partie de l’IT est compromise ? » (et peut-être « Qu’est-ce que qu’il y a dans mon IT ? », « quels sont les systèmes critiques ? ») « Comment s’est passée l’intrusion ? » « Qui mettre dans la boucle ? » « Quelle est la première chose à faire ? » « Et ensuite ? » « Quelle stratégie, quelles opérations, quel calendrier ? »
  • 16. Autres difficultés Le contexte est chaotique Pas de préparation Situation instable, les intrus sont toujours actifs Comment agir à l’insu des intrus ? (communications) Interlocuteurs inhabituels pour l’IT : juridique, relations presse, management, voire partenaires
  • 17. Le rôle central de l’Active Directory AD est la référence de sécurité du SI. Éléments les plus critiques : Contrôleurs de domaine Stations d’administration Administrateurs Comptes privilégiés Management : Supervision Gestion des mises à jour Gestion des sauvegardes Antivirus Le cas échéant : plateforme de virtualisation, stockage…
  • 18. Définir la stratégie Il n’y a pas une réponse unique Dépend de : Étendue de la compromission Données vitales en danger ? Niveau d’acceptation des risques : arrêt de production, mauvaise presse, information de l’intrus sur le plan en cours Qui décide et comment Le choix d’une stratégie détermine la difficulté et la durée Dans tous les cas, l’AD doit être sécurisée, ce qui est une opération majeure
  • 19. Comment récupérer son AD Hypothèses Tous les comptes et mots de passe compromis L’OS des contrôleurs de domaine n’est plus fiable Objectifs Redonner confiance dans l’AD en reconstruisant les DC Augmenter la sécurité des DC Mettre en place une vraie gestion des comptes privilégiés et comptes de services Identique au scénario « DC volé » ou « restauration d’une forêt »
  • 21. « Reset » des mots de passe Idéalement, tous les mots de passe Impact fort Au minimum, tous les comptes privilégiés Les autres sont forcés à expirer : changement obligatoire par les utilisateurs Reconfiguration nécessaire des services, tâches planifiées
  • 22. Comptes privilégiés Vision simplifiée Membre d'un groupe "à pouvoir" du domaine (domain admins, etc.) Compte qui a des privilèges Windows donnés par GPO pour certains membres Membre d'un groupe local admin sur un membre (SAM) Compte Trusted for delegation Compte pour lequel il existe des ACL explicites sur des objets de l'AD …
  • 23. Comptes de service Limiter les comptes privilégiés à des machines fiables et surveillées (cf. WCE) Principe de moindre privilège Limiter les admins du domaine, les admins locaux, y compris sur les stations d’administration Plus l’étendue d’un privilège est importante, plus des ressources seront menacées Utiliser les comptes prévus : Local Service, Network Service Réduire la surface d’attaque Diminuant le nombre de services Isoler les comptes Un compte par service si possible Éviter les comptes locaux avec mêmes noms et mots de passe
  • 24. Exemple concret 50 000 employés, 3 000 serveurs 550 jours-hommes, dont 74 en un weekend Durée : 3 mois 50+ personnes de Microsoft, 35 « le » weekend 3200+ emails 400+ livrables (dont scripts et procédures) 120+ serveurs (ré)installés en production