Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parYolande Raoul Modifié depuis plus de 10 années
1
Gestion de crise Un retour dexpériences
2
Agenda Pourquoi cette session? Le risque informatique Préparation à la crise Gestion de la crise Actions à mener
3
Pourquoi cette session? Car la crise peut arriver Car les coûts induits peuvent être lourds Car se préparer va tout changer: Pour ne pas paniquer Pour éviter les improvisations Pour réduire le temps de perturbation Enfin, la préparation à gérer une crise est une composante essentielle de la sécurité en profondeur
4
Le risque informatique Lanalyse du risque
5
Causes dincidents de sécurité
6
Analyse de risques Identifier les ressources critiques: Serveurs de messagerie Comptabilité/Facturation/CRM Serveurs de fichiers sensibles (appels doffre, spécifications, code source, plans…) Tous les postes clients Serveurs Intranet/Extranet/Internet Postes dadministration Serveurs de backup …
7
Etude dimpact Les impacts sont multiples: Perte de données Vol dinformation Indisponibilité Vol didentité Chiffrer les conséquences dune attaque réussie Prendre en compte les lois régissant votre domaine dactivité (santé, légal, etc.…)
8
Analyse des menaces A chaque incident chiffré, on attribue un facteur de probabilité de réussite dune attaque. On en déduit une liste ordonnée des menaces les plus graves et les plus probables pesant sur le système dinformation
9
Règles de réaction Déterminent le seuil de crise de sécurité Découlent directement de limpact potentiel ou avéré sur lactivité de lentreprise Régissent et justifient les décisions prises
10
Se préparer à gérer une crise
11
Les bonnes pratiques Mettre en place la redondance Documenter et tester les procédures de sauvegarde et restauration Implémenter le contrôle du changement Définir les procédures durgence et leur conditions de déclenchement
12
Durcir les machines critiques en fonction de leur rôle, appliquer les patrons de sécurité: Serveurs, Contrôleurs de domaine, Autorité de Certification, Postes clients, … Adapter la configuration et les procédures Mots de passe forts Mises à jour de sécurité Moindre privilège Audit des comptes
13
Créer un environnement de test Créer les machines virtuelles représentatives du parc: Contrôleur de domaine Serveur de messagerie Serveur Intranet/Internet Postes de travail … A moindre coût, permet dévaluer très rapidement limpact dune action corrective
14
Former une équipe de crise Apte à communiquer avec le management Apte à analyser le profil de lattaque Se former à lutilisation des outils: filemon, netmon, mps reports, … Apte à protéger: Préparer des scripts pour modifier la configuration du routeur, la configuration des serveurs etc.… Fermeture de routeurs segmentant les réseaux sains des réseaux compromis (au moyens de scripts préétablis)
15
Former une équipe de crise Apte à implémenter un plan de riposte: Avec une image Windows PE (Win PE) contenant les outils classiques de troubleshooting et danalyse ainsi que les pilotes les plus courants dans lentreprise (NIC) Au moyen de scripts: Pour modifier les comptes AD (expiration de mots de passe) Pour créer des fichiers bloquants lattaque Pour créer/supprimer des entrées de la base de registre Pour configurer les routeurs/firewalls/serveurs en mode Secure Avec les GPOs et SRPs Avec une image du système récente (slipstreamed)
16
Etre prêt à communiquer Préparer une personne de la communication/relation presse A ne jamais donner de date de résolution A ne communiquer que les faits avérés Créer/Maintenir la liste des contacts: Du management Des opérationnels Des interlocuteurs extérieurs: Microsoft PSS Security, Anti-virus,Consultants
17
Prêt à protéger Scripts de configuration de routeurs/pare-feu Pour couper le lien Internet Ségréguer les réseaux sains/infectés Isoler les serveurs obsolètes Méthode de déploiement minute de mises à jour de securité
18
Etre attentifs Soyez joignables et à lécoute Communiquez: Une adresse email (alerte@macompagnie.com) alerte@macompagnie.com Un formulaire Web (http://securite) Un numéro dalerte (facile à retenir) Observez: Le trafic réseau Les alertes remontées par lanti-virus Les évènements Windows Vos sondes anti-intrusion Le volume de soumission de demandes de support
19
Qualifier lalerte Corréler Ne rien affirmer à partir dune seule source Traiter tout incident rapporté! Permet de rien laisser passer Valorise la personne remontant le problème Documenter Pour accélérer le traitement des incidents ultérieurs similaires
20
Gestion de la crise
21
Collecter, Mobiliser Collecter des informations Process Explorer( www.sysinternals.com) NetMon (ftp://ftp.microsoft.com/PSS/Tools/Netmon/Netmon2.zip) FileMon/RegMon( www.sysinternals.com ) MPSReport ( http://www.microsoft.com/downloads/details.aspx?FamilyId=CEBF3C7C-7CA5-408F-88B7-F9C79B7306C0&displaylang=en) Requérir de laide Fournisseur danti-virus Microsoft PSS Security Société de conseil spécialisée
22
Protéger, immédiatement Serveurs obsolètes Serveurs de fichiers critiques en mode lecture seule Serveur de messagerie isolés dInternet Fermeture de la connexion vers Internet: Pour éviter la fuite dinformation Pour couper le canal de contrôle Pour ne pas devenir le relais dune attaque Fermeture de routeurs …
23
Communiquer Se synchroniser régulièrement avec les différentes équipes impliquées: Points davancement régulier Partage dinformation Sassurer que tous sont sur la même page Informer le management: Quun incident se produit Quil sera amené à prendre des décisions Du plan daction Informer les tiers impliqués SalariésClientsPartenaires…
24
Analyser Les informations collectées Traces réseaux Echantillons de malware (virus, rootkit, bot, …) Evènements Différences avec la ligne de référence Fichiers créés Services Clés de registre… Moyens de persistence Avec laide de tiers: PSS Security, Fournisseur anti-virus
25
Identifier le profil de lattaque Mises à jour non déployées Mots de passe faibles EMail… Attaque automatique ou manuelle
26
Etablir la riposte #1 Protéger: Déploiement immédiat de mises à jour: De sécurité Des signatures anti-virus, filtres, … Expiration de mots de passe Création de Sofware Restriction Policies (KB324036) 324036 ACLs dans la base de registre Créer un fichier vide avec des ACLs bloquant limplantation du malware
27
Etablir la riposte #2 Nettoyer Créer un script, en relation avec votre fournisseur danti- virus et/ou PSS Security pour supprimer les traces visibles du malware Utiliser une image Win PE pour intervenir sur la machine sans souffrir de limpact du malware (http://www.microsoft.com/licensing/programs/sa/benefits/winpe.msp x) http://www.microsoft.com/licensing/programs/sa/benefits/winpe.msp xhttp://www.microsoft.com/licensing/programs/sa/benefits/winpe.msp xReconstruire Utiliser une image Windows avec les dernières mises à jour intégrées (« slipstreamed »). (http://www.microsoft.com/technet/security/topics/patchmanagement/ hfdeploy.mspx#EEAA) http://www.microsoft.com/technet/security/topics/patchmanagement/ hfdeploy.mspx#EEAAhttp://www.microsoft.com/technet/security/topics/patchmanagement/ hfdeploy.mspx#EEAA
28
Tester la riposte Utiliser lenvironnement de test virtuel! Permet de détecter les problèmes: De scripts (privilèges insuffisants, chargement de ruches, …) Dincompatibilité applicative De déploiement
29
Implémenter la riposte Désactiver Automatic System Restore (KB310405) Déployer la riposte sur un échantillon de systèmes Surveiller déventuelles réinfections Si tout va bien, déployer largement!
30
Apprendre! Chaque crise est loccasion dapprendre: Sur les points faibles de linfrastructure Sur les points faibles des procédures de gestion de crise Réaliser un post-mortem complet: Avec évaluation des coûts induits Justifiant les actions correctrices sil y a lieu
31
Retour sur les points daction
32
Plan daction #1 Réaliser une analyse des menaces Etablir des canaux de communication avec les salariés, clients, partenaires Mettre en place un système de documentation des alertes et leurs résolutions Préparer une personne de la communication aux spécificités des incidents de sécurité Créer/Maintenir la liste des contacts
33
Plan daction #2 Tester les backups! régulièrement!! Créer un environnement de test virtuel Créer une image Windows PE (Win PE) contenant les outils classiques de troubleshooting et danalyse ainsi que les drivers les plus communément rencontrés dans lentreprise (NIC) Créer/Tester des scripts: Pour modifier les comptes AD (expiration de mots de passe) Pour créer des fichiers bloquants lattaque Pour créer/supprimer des entrées de la base de registre Pour configurer les routeurs/firewalls/serveurs en mode Secure Créer/Tester des SRPs, et plus généralement des GPOs Créer/Tester une image du système récente (slipstreamed) Se former à lutilisation des outils de diagnostic (filemon, netmon, process explorer, …)
34
Trucs et astuces Rebooter avant linstallation de mises à jour de sécurité permet de distinguer les problèmes dus au reboot et les problèmes dus aux mises à jour Installer la recovery console sur Windows afin déviter de rechercher un CD de Windows Si vous dépendez de liens bas débit, pré positionnez les outils, mises à jours de sécurité, … sur les sites distants.
35
Questions?
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.