1 / 35

Gestion de crise

Gestion de crise. Un retour d’expériences. Agenda. Pourquoi cette session? Le risque informatique Préparation à la crise Gestion de la crise Actions à mener. Pourquoi cette session?. Car la crise peut arriver Car les coûts induits peuvent être lourds Car se préparer va tout changer:

norman
Download Presentation

Gestion de crise

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Gestion de crise Un retour d’expériences

  2. Agenda • Pourquoi cette session? • Le risque informatique • Préparation à la crise • Gestion de la crise • Actions à mener

  3. Pourquoi cette session? • Car la crise peut arriver • Car les coûts induits peuvent être lourds • Car se préparer va tout changer: • Pour ne pas paniquer • Pour éviter les ‘improvisations’ • Pour réduire le temps de perturbation • Enfin, la préparation à gérer une crise est une composante essentielle de la sécurité en profondeur

  4. Le risque informatique L’analyse du risque

  5. Causes d’incidents de sécurité Source: Information Week

  6. Analyse de risques • Identifier les ressources critiques: • Serveurs de messagerie • Comptabilité/Facturation/CRM • Serveurs de fichiers ‘sensibles’ (appels d’offre, spécifications, code source, plans…) • Tous les postes clients • Serveurs Intranet/Extranet/Internet • Postes d’administration • Serveurs de backup • …

  7. Etude d’impact • Les impacts sont multiples: • Perte de données • Vol d’information • Indisponibilité • Vol d’identité • Chiffrer les conséquences d’une attaque réussie • Prendre en compte les lois régissant votre domaine d’activité (santé, légal, etc.…)

  8. Analyse des menaces • A chaque incident chiffré, on attribue un facteur de probabilité de réussite d’une attaque. • On en déduit une liste ordonnée des menaces les plus graves et les plus probables pesant sur le système d’information

  9. Règles de réaction • Déterminent le seuil de ‘crise de sécurité’ • Découlent directement de l’impact potentiel ou avéré sur l’activité de l’entreprise • Régissent et justifient les décisions prises

  10. Se préparer à gérer une crise

  11. Les bonnes pratiques • Mettre en place la redondance • Documenter et tester les procédures de sauvegarde et restauration • Implémenter le contrôle du changement • Définir les procédures d’urgence et leur conditions de déclenchement

  12. Durcir les machines critiques • en fonction de leur rôle, appliquer les patrons de sécurité: • Serveurs, • Contrôleurs de domaine, • Autorité de Certification, • Postes clients, • … • Adapter la configuration et les procédures • Mots de passe forts • Mises à jour de sécurité • Moindre privilège • Audit des comptes

  13. Créer un environnement de test • Créer les machines virtuelles représentatives du parc: • Contrôleur de domaine • Serveur de messagerie • Serveur Intranet/Internet • Postes de travail • … • A moindre coût, permet d’évaluer très rapidement l’impact d’une action corrective

  14. Former une équipe de crise • Apte à communiquer avec le management • Apte à analyser le profil de l’attaque • Se former à l’utilisation des outils: filemon, netmon, mps reports, … • Apte à protéger: • Préparer des scripts pour modifier la configuration du routeur, la configuration des serveurs etc.… • Fermeture de routeurs segmentant les réseaux sains des réseaux compromis (au moyens de scripts préétablis)

  15. Former une équipe de crise • Apte à implémenter un plan de riposte: • Avec une image Windows PE (Win PE) contenant les outils classiques de troubleshooting et d’analyse ainsi que les pilotes les plus courants dans l’entreprise (NIC) • Au moyen de scripts: • Pour modifier les comptes AD (expiration de mots de passe) • Pour créer des fichiers bloquants l’attaque • Pour créer/supprimer des entrées de la base de registre • Pour configurer les routeurs/firewalls/serveurs en mode ‘Secure’ • Avec les GPOs et SRPs • Avec une image du système récente (slipstreamed)

  16. Etre prêt à communiquer • Préparer une personne de la communication/relation presse • A ne jamais donner de date de résolution • A ne communiquer que les faits avérés • Créer/Maintenir la liste des contacts: • Du management • Des opérationnels • Des interlocuteurs extérieurs: • Microsoft PSS Security, • Anti-virus, • Consultants

  17. Prêt à protéger • Scripts de configuration de routeurs/pare-feu • Pour couper le lien Internet • Ségréguer les réseaux sains/infectés • Isoler les serveurs obsolètes • Méthode de déploiement ‘minute’ de mises à jour de securité

  18. Etre attentifs • Soyez joignables et à l’écoute • Communiquez: • Une adresse email (alerte@macompagnie.com) • Un formulaire Web (http://securite) • Un numéro d’alerte (facile à retenir) • Observez: • Le trafic réseau • Les alertes remontées par l’anti-virus • Les évènements Windows • Vos sondes anti-intrusion • Le volume de soumission de demandes de support

  19. Qualifier l’alerte • Corréler • Ne rien affirmer à partir d’une seule source • Traiter tout incident rapporté! • Permet de rien laisser passer • Valorise la personne remontant le problème • Documenter • Pour accélérer le traitement des incidents ultérieurs similaires

  20. Gestion de la crise

  21. Collecter, Mobiliser • Collecter des informations • Process Explorer (www.sysinternals.com) • NetMon (ftp://ftp.microsoft.com/PSS/Tools/Netmon/Netmon2.zip) • FileMon/RegMon (www.sysinternals.com) • MPSReport (http://www.microsoft.com/downloads/details.aspx?FamilyId=CEBF3C7C-7CA5-408F-88B7-F9C79B7306C0&displaylang=en) • Requérir de l’aide • Fournisseur d’anti-virus • Microsoft PSS Security • Société de conseil spécialisée

  22. Protéger, immédiatement • Serveurs obsolètes • Serveurs de fichiers critiques en mode lecture seule • Serveur de messagerie isolés d’Internet • Fermeture de la connexion vers Internet: • Pour éviter la fuite d’information • Pour couper le canal de contrôle • Pour ne pas devenir le relais d’une attaque • Fermeture de routeurs • …

  23. Communiquer • Se synchroniser régulièrement avec les différentes équipes impliquées: • Points d’avancement régulier • Partage d’information • S’assurer que tous sont sur la même page • Informer le management: • Qu’un incident se produit • Qu’il sera amené à prendre des décisions • Du plan d’action • Informer les tiers impliqués • Salariés • Clients • Partenaires • …

  24. Analyser • Les informations collectées • Traces réseaux • Echantillons de malware (virus, rootkit, bot, …) • Evènements • Différences avec la ligne de référence • Fichiers créés • Services • Clés de registre… • Moyens de persistence • Avec l’aide de tiers: • PSS Security, Fournisseur anti-virus

  25. Identifier le profil de l’attaque • Mises à jour non déployées • Mots de passe faibles • EMail • … • Attaque automatique ou manuelle

  26. Etablir la riposte #1 • Protéger: • Déploiement immédiat de mises à jour: • De sécurité • Des signatures anti-virus, filtres, … • Expiration de mots de passe • Création de Sofware Restriction Policies (KB324036) • ACLs dans la base de registre • Créer un fichier ‘vide’ avec des ACLs bloquant l’implantation du malware

  27. Etablir la riposte #2 • Nettoyer • Créer un script, en relation avec votre fournisseur d’anti-virus et/ou PSS Security pour supprimer les traces ‘visibles’ du malware • Utiliser une image Win PE pour intervenir sur la machine sans ‘souffrir’ de l’impact du malware (http://www.microsoft.com/licensing/programs/sa/benefits/winpe.mspx) • Reconstruire • Utiliser une image Windows avec les dernières mises à jour intégrées (« slipstreamed »). (http://www.microsoft.com/technet/security/topics/patchmanagement/hfdeploy.mspx#EEAA)

  28. Tester la riposte • Utiliser l’environnement de test virtuel! • Permet de détecter les problèmes: • De scripts (privilèges insuffisants, chargement de ruches, …) • D’incompatibilité applicative • De déploiement

  29. Implémenter la riposte • Désactiver Automatic System Restore (KB310405) • Déployer la riposte sur un échantillon de systèmes • Surveiller d’éventuelles réinfections • Si tout va bien, déployer largement!

  30. Apprendre! • Chaque crise est l’occasion d’apprendre: • Sur les points faibles de l’infrastructure • Sur les points faibles des procédures de gestion de crise • Réaliser un post-mortem complet: • Avec évaluation des coûts induits • Justifiant les actions correctrices s’il y a lieu

  31. Retour sur les points d’action

  32. Plan d’action #1 • Réaliser une analyse des menaces • Etablir des canaux de communication avec les salariés, clients, partenaires • Mettre en place un système de documentation des alertes et leurs résolutions • Préparer une personne de la communication aux spécificités des incidents de sécurité • Créer/Maintenir la liste des contacts

  33. Plan d’action #2 • Tester les backups! régulièrement!! • Créer un environnement de test virtuel • Créer une image Windows PE (Win PE) contenant les outils classiques de troubleshooting et d’analyse ainsi que les drivers les plus communément rencontrés dans l’entreprise (NIC) • Créer/Tester des scripts: • Pour modifier les comptes AD (expiration de mots de passe) • Pour créer des fichiers bloquants l’attaque • Pour créer/supprimer des entrées de la base de registre • Pour configurer les routeurs/firewalls/serveurs en mode ‘Secure’ • Créer/Tester des SRPs, et plus généralement des GPOs • Créer/Tester une image du système récente (slipstreamed) • Se former à l’utilisation des outils de diagnostic (filemon, netmon, process explorer, …)

  34. Trucs et astuces • Rebooter avant l’installation de mises à jour de sécurité permet de distinguer les problèmes dus au reboot et les problèmes dus aux mises à jour • Installer la recovery console sur Windows afin d’éviter de rechercher un CD de Windows • Si vous dépendez de liens bas débit, pré positionnez les outils, mises à jours de sécurité, … sur les sites distants.

  35. Questions?

More Related