Comment récupérer la maîtrise de son Système d'Informations lorsque l'on est victime d'une "APT" (Advanced Persistent Threat = Infection persistante) ? Dans ce type de scénario, l'attaquant a la maîtrise complète du SI. S'il n'y a pas de recette universelle, plusieurs approches peuvent être tentées afin de reprendre la main sur son SI, d'en protéger en priorité les éléments les plus sensibles, et d'en garder le contrôle.
2. APT : retrouver la
maîtrise de son SI
9 février 2012
Pascal Sauliere
Architecte Sécurité, CISSP, CCSK
Microsoft France
3. Objectifs de la session
Des pistes de solutions
pour retrouver la maitrise
de son SI après une
intrusion de type « APT »
Éviter les écueils
classiques
4.
5. APT : Advanced Persistent
Threat
Sophistication organisationnelle plus que
technique
Équipes professionnelles travaillant aux
heures de bureau du pays source (ou relai)
de l’attaque
Opérations spécifiques et ciblées
Utilisation d’un large spectre d’attaques
Intention de s’installer pour perdurer
Réponse adaptative, pas d’abandon
Ciblage de la propriété intellectuelle
6. Conséquences de l’APT
Compromissions et exploits
omniprésents
Malware, outils présents sur serveurs et postes
Totale maîtrise de l’environnement
Admins du domaine
Admins des serveurs critiques
Mots de passe compromis
Supposer que TOUS sont compromis
PKI, masters, etc. compromis
Aucune confiance possible dans le SI
8. Jesper Johansson, 2004
On ne peut pas nettoyer un système compromis
en le patchant
Le seul moyen de
en supprimant les back doors
en "supprimant les vulnérabilités"
nettoyer un système
avec un scanner de virus
en réinstallant par dessus l’installation existante
Oncompromis està d’écraser
ne peut faire confiance aucune donnée
Onet peut pas faire confiance aux journaux
ne reconstruire
copiée depuis un système compromis
d’événements d’un système compromis
On ne peut pas faire confiance à la dernière
sauvegarde
10. Le plan parfait
Fermer tous les accès Internet et accès distants
Changer tous les mots de passe
Reconstruire Active Directory
Reconstruire tous les serveurs from scratch
Reconstruire tous les postes idem
Mettre à jour tous les logiciels, les défenses, les
politiques
Corriger les vulnérabilités
Restaurer les données et applications légitimes
Éduquer les utilisateurs
Redémarrer tous les services
11. Le plan parfait
Pas si parfait
Trop important, trop long
Trop complexe
Trop cher
Trop perturbant (euphémisme)
12. Exemple de réponse initiale
Monter une organisation de réponse à
incident (IR)
Établir des canaux de communication
séparés
Par exemple : PC neufs, Office 365 ou autre
Évaluer l’étendue de l’intrusion
Évaluer la vulnérabilité de
l’environnement
Définir des plans de remédiation
13. Plan général
environement actuel migrer les nouvel
environement
effort de remédiation joyaux de la
couronne
Relever la barre Sécuriser les « joyaux de la retour à la normale
couronnee »
temps
court terme moyen terme long terme
<90 jours <18 mois <36 mois
Anti malware Concevoir et construire le Migrer les systèmes
Vérifier les admins nouvel environnement restant
Stratégie de migration Décider du sort de
Désactiver LM l’ancien environnement
Migrer les systèmes critiques
Reset mots de passe
Secure Development
Surveillance trafic sortant Lifecycle
Évaluation environnement
Revues de code
15. Premières difficultés
Répondre à des questions inhabituelles, sans
procédure ni expérience
« Quelle partie de l’IT est compromise ? »
(et peut-être « Qu’est-ce que qu’il y a dans mon IT
? », « quels sont les systèmes critiques ? »)
« Comment s’est passée l’intrusion ? »
« Qui mettre dans la boucle ? »
« Quelle est la première chose à faire ? »
« Et ensuite ? »
« Quelle stratégie, quelles opérations, quel calendrier ? »
16. Autres difficultés
Le contexte est chaotique
Pas de préparation
Situation instable, les intrus sont toujours actifs
Comment agir à l’insu des intrus ? (communications)
Interlocuteurs inhabituels pour l’IT : juridique, relations
presse, management, voire partenaires
17. Le rôle central de l’Active
Directory
AD est la référence de sécurité du SI.
Éléments les plus critiques :
Contrôleurs de domaine
Stations d’administration
Administrateurs
Comptes privilégiés
Management :
Supervision
Gestion des mises à jour
Gestion des sauvegardes
Antivirus
Le cas échéant : plateforme de virtualisation, stockage…
18. Définir la stratégie
Il n’y a pas une réponse unique
Dépend de :
Étendue de la compromission
Données vitales en danger ?
Niveau d’acceptation des risques : arrêt de
production, mauvaise presse, information de l’intrus sur le
plan en cours
Qui décide et comment
Le choix d’une stratégie détermine la difficulté et la durée
Dans tous les cas, l’AD doit être
sécurisée, ce qui est une opération majeure
19. Comment récupérer son AD
Hypothèses
Tous les comptes et mots de passe compromis
L’OS des contrôleurs de domaine n’est plus fiable
Objectifs
Redonner confiance dans l’AD en reconstruisant les DC
Augmenter la sécurité des DC
Mettre en place une vraie gestion des comptes privilégiés et
comptes de services
Identique au scénario « DC volé » ou « restauration d’une
forêt »
21. « Reset » des mots de passe
Idéalement, tous les mots de passe
Impact fort
Au minimum, tous les comptes privilégiés
Les autres sont forcés à expirer : changement obligatoire par
les utilisateurs
Reconfiguration nécessaire des services, tâches planifiées
22. Comptes privilégiés
Vision simplifiée
Membre d'un groupe "à pouvoir" du domaine (domain
admins, etc.)
Compte qui a des privilèges Windows donnés par GPO pour
certains membres
Membre d'un groupe local admin sur un membre (SAM)
Compte Trusted for delegation
Compte pour lequel il existe des ACL explicites sur des
objets de l'AD
…
23. Comptes de service
Limiter les comptes privilégiés à des machines
fiables et surveillées (cf. WCE)
Principe de moindre privilège
Limiter les admins du domaine, les admins locaux, y compris sur les
stations d’administration
Plus l’étendue d’un privilège est importante, plus des ressources seront
menacées
Utiliser les comptes prévus : Local Service, Network Service
Réduire la surface d’attaque
Diminuant le nombre de services
Isoler les comptes
Un compte par service si possible
Éviter les comptes locaux avec mêmes noms et mots de passe
24. Exemple concret
50 000 employés, 3 000 serveurs
550 jours-hommes, dont 74 en un weekend
Durée : 3 mois
50+ personnes de Microsoft, 35 « le » weekend
3200+ emails
400+ livrables (dont scripts et procédures)
120+ serveurs (ré)installés en production