Entreprise / IT / Serveurs / Réseaux / Sécurité

On a volé les clefs de mon SI !

Crises de sécuritéFlorent REYNAL DE SAINT MICHELFlorent.Reynal@microsoft.com

Senior Consultant

Mohammed BAKKALIMohammed.Bakkali@microsoft.com

Senior Consultant

Didier PILONDidier.Pilon@Microsoft.com

Principal PFE PMC (Premier Mission Critical)

Partager les retours d’expériences relatifs aux crises de sécurité

Présenter les méthodologies de remédiation éprouvées

Mettre en place des solutions proactives

Objectifs

AGENDA

La remédiation dans la crise de sécurité

Solutions Proactives de Microsoft

Paysage actuel de la cybercriminalité

PAYSAGE ACTUEL DE LA CYBER SÉCURITÉ

N’importe où...

A chaque connexion Internet

Y compris…Toute personne dans le monde…

Vous avez un accès instantané à …

Mouvements idéologiques

Crime organisé

Etats

Les menaces sont nombreuses, changeantes…

The virus erased data on three-quarters of Aramco’s corporate PCs — documents, spreadsheets, e-mails, files — replacing all of it with an image of a burning

American flag.

Changement de la stratégie de sécurité

D’une sécurité périmétrique

A une sécurité en profondeur

Security Strategy

Forte Tension Liée Aux Nouveaux Besoins Entre l’innovation innovation et les exigences en cyber sécurité

Innovation Business

Cloud Big Data

SocialMobile

Exigences en Cyber Security

Gestion de l’identité Gestion des configurations

Gestion des menaces Réponses fortes

Technologie correctement conçuePeut aider le business à aller vers la réussite

• Attaquants• Emergence d’adversaires déterminés et organisés • Les outils et automatismes d’attaques ont drastiquement progressés• Industrialisation des attaques• Les organisations, personnels et données sont précisément ciblés

(prise de contrôles, exfiltration de données…)

• Défenseurs• Environnements non protégés par défaut contre les vols d’identifiants. • Les mécanismes de défense traitent toutes les ressources à

l’identique• Les craintes concernant l’image et la réputation freinent la

collaboration et le partage de connaissance

La tendance

Access: Utilisateurs et postes de travail

Power: Contrôleur de domaine

Data: Serveurs et applications

L’attaque Pass the Hash

1. L’attaquant adresse un grand nombre de postes 2. Un utilisateur admin de sa machine est compromis. Vol des hashscredentials

3. L’attaquant utilise ces identifiants pour se déplacer latéralement ou augmenter ses privilèges

4. L’attaquant récupère un compte administrateur du domaine

5. L’attaquant accède à tous les systèmes et toutes les données

Intrusion typiqueConstats

La compromission date d’un an ou plus

Découverte par hasard ou par notification externe

Le DRP traditionnel n’est pas adapté (incapacité à identifier une sauvegarde opérationnelle antérieure à l’intrusion)

Difficulté à gérer la confidentialité de la situation

Principales causes

Mises à jour de sécurité non appliquées pour tous les logiciels

Mauvaises pratiques: Utilisation/droits des comptes (forts

privilèges, service, locaux, moindres privilèges, ...)

Pas de segmentation réseau Processus d’administration Non mise en place de l’audit/traçabilité Non separation et rotation des rôles Mot de passe du compte

administrateur local

Non gestion de l’obsolescence des systèmes et des applications (rappel: fin de vie de Windows XP (avril 2014)

Remédiation

Restaurer la confiance dans le SI

Réhausser le niveau de sécurité

Être toujours en alerte!!!

Identifier les processus à améliorer

ALLO DIDIER!!!!!!!!!!!

LA REMEDIATION DANS LA CRISE DE SÉCURITÉ

ACTIVE DIRECTORY

Computer Computer

Computer

Postes VIP

Computer Computer

Computer

Postes Utilisateur

Computer Computer

Computer

PostesAdministration

User User

User

Comptesutilisateur

Serveurs de messagerie

User User

User

Comptes Admin

User User

User

Comptes VIP

User User

User

Comptes de service

Comptes serveur

RelationsD#approbation

Organization

Serveurs d#application

Equipements réseau

?

Boites aux lettres

Mailbox

SauvegardesFichiers et dossiers

Masters & packages- Controlleur de domaine- Serveur(s)- Poste(s) de travail

Files & folders

Intégrité des données

Certificate

PKI

Bases de données

Configuration des services

Intégrité des binaires

Matériels& Virtualisation

Comptesmachines

ComputerComputer

Computer

Serveurs infrastructure - serverus Antivirus - Servers de sauvegarde - Surveillance (SCOM) - SCCM - Serveurs de fichiers - Serveurs d#impression - ...

Périmètre

Les Best Practices

• Best Practices for Securing Active Directoryhttp://www.microsoft.com/en-us/download/details.aspx?id=38785&WT.mc_id=rss_alldownloads_all

• Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft Techniqueshttp://download.microsoft.com/download/7/7/A/77ABC5BD-8320-41AF-863C-6ECFB10CB4B9/Mitigating%20Pass-the-Hash%20(PtH)%20Attacks%20and%20Other%20Credential%20Theft%20Techniques_English.pdf

• Sécuriser l’Active Directory– Les scénarios

– Les points à prendre en compte• Durée de l’Interruption de service• Les serveurs applicatifs

Action de remédiation

Scénarios Complexité/Coût

Sécurité

Reconstruction from scratch

+++ +++

Remédiation “offline” ++ ++

Remédiation “online” + +

Actions de remédiation• Sécuriser l’Active Directory – Cinématique de la remédiation “offline”

PivotOutN

et

DNS-SERVER

CorpNet

PROD-DC du domaine1

PROD-DC du domaine2

PROD-DC du domaineX

PivotInNet

:...

1 poste d;adminstration par domaine (X)

2 stations <Legacy?par domaine (2X)

Un DC-PIVOT-OUTpar domaine (X)

Un DC-PIVOT-INpar domaine (X)

IsolatedNet

Firewall

Un PROD-DC simulépar domaine (X)

Pivot DMZ

Serveurs SPARE (X)

1. (J-7) Promotion des DC-PIVOT-IN

2. Actions “forensics” sur les DC-PIVOT-IN

3. (J) Réplication vers DC-PIVOT-IN

5. Actions “forensics” sur les DC-PIVOT-IN

6. Actions de remediation + hardening

7. Promotion des DC-PIVOT-OUT

8. Tests

9. Promotion des DC de production

4. Arrêt de la production

SOLUTIONS PROACTIVES

Apports de Microsoft Services

• Partez du principe que vous êtes la cible• Minimisez les risques d’intrusion initiale• Minimisez les conséquences d’une intrusion• Protégez ce qui a de la valeur (données, applications)• Supervisez• La technique n’est pas la panacée. Vérifiez vos

processus de conformité et de contrôle• Adaptez votre effort en fonction de ce que vous

protégez• Vous n’êtes pas attaqué ? Cherchez mieux !

Les principes de bases

Protégez vos identifiants1. Vol d’identifiants

S’assurer que les comptes privilégiés ne sont pas exposés au vol

2. Ré-utilisation des identifiants

Réduire le périmètre d’action des comptes exposés aux risques (internet)

1. Réduire l’exposition

2. Réduire l’usage

Grande exposition / RisqueHauts privilèges ou valeur

Réduction des vols d’identifiants

Access: Utilisateurs et poste de travail

Power: Contrôleurs de domaines

Data: Serveurs etApplications

1. Elévation de privilège (Partitionnement)2. Déplacement latéral – Comptes locaux3. Déplacement latéral – Comptes de domaine

Garder à l’esprit que l’attaquant peut toujours cibler des ordinateurs ou utilisateurs unitairement. Cependant ces mitigations rendront beaucoup plus dur de:

Voler des identifiants à haut privilège Utiliser les identifiants volés

Logon

Logon

Logon

4. Risques liés aux applications et systèmes

Vue d’architecture Forêt d’administration

Enhanced Security Admin Environment (ESAE)

Domaines de Production

Domaines et Forêt

Alerte de sécurité

Serveurs et Systèmes Management

Comptes et ordinateurs sécurisés

Gestion dynamique des accès

App et Données Privileged AccountWorkstation

Administration des Serveurs, du Cloud, et des applications

Assistance utilisateur et Support

Mitigations des déplacements

latéraux

Helpdesk et Stations

Sécurisation des Applications &

Services

L’accompagnement Microsoft Services

Active Directory Security Gouvernance

ADSG

Eta

ts d

es

lieux Sécurisation des serveurs AD

Environnement d’administration

Supervision

Gestion des identités et accès

Préparer la situation de crise

Segmentation des serveurs et postes

Off

res

Port

efe

uille

de s

ous-

off

res

Différentes offres de protection, de l’infrastructure à la donnée en passant par l’applicatif. Un exemple d’offre unifiée et intégrée : ADSG.

ADSAR

ADMAR

ESAE

L’accompagnement Microsoft ServicesTrois exemples d’excellence française

ADSAR

Réaliser un audit 3 vues technique / processus / architecture donnant un

état des lieux de votre AD

ADMARPhase 1 Etablissement et sauvegarde d’un référentiel des paramètres de sécurité de l’environnementPhase 2 Vérification à tout moment des déviations par rapport au référentiel en productionPhase 3 Simulation d’une cyber attaque en lab et documentation détaillée du plan de recouvrement step by step

ESAE

Mettre en place une forêt d’administration

Protéger l’administrateur dans un bunker

Depuis votre smartphone sur :http://notes.mstechdays.fr

De nombreux lots à gagner toute les heures !!!Claviers, souris et jeux Microsoft…

Merci de nous aider à améliorer les Techdays !

Donnez votre avis !

© 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a

commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.