Video Screencast Help
Security Community Blog

Cyber Readiness Challenge - Paris - Parole à la défense

Created: 25 Mar 2013 • Updated: 25 Mar 2013
Herve Doreau's picture
+1 1 Vote
Login to vote

 

Article 7/7 de la série d’article sur les 5 phases d’une attaque présenté lors du Cyber Readiness Challenge de Paris, le 27 Mars 2013.

 

Parole à la défense

 

Les méthodes de défenses présentées ici ne visent pas l’exhaustivité, mais plutôt de resituer chaque offre Symantec dans ce contexte de défense adaptée à chacune des cinq phases d’une attaque.

 

La reconnaissance

Pour rappel, la phase de reconnaissance consiste à apprendre le plus d’information possible sur la cible, que ce soit au niveau des systèmes ou des humains.

Pour la reconnaissance humaine, il n’y a pas de technique miracle. Cela passe essentiellement par de l’éducation, de la sensibilisation aux risques…

Par contre, en ce qui concerne la reconnaissance des systèmes, l’axe de travail est de 4 types :

·      Durcir les méthodes d’authentification à la fois via l’utilisation systématique de certificats SSL pour forcer l’authentification des serveurs et protéger la connexion via un tunnel chiffré, mais aussi des méthodes d’authentification forte des utilisateurs via l’utilisation de systèmes d’authentification à deux facteurs.

·      S’assurer de la conformité des serveurs exposés à l’extérieur. S’assurer de la présence des patchs, du respect absolu des règles de sécurité, effectuer des tests de vulnérabilité, etc…

·      Protéger les services et les processus clés du serveur. Seuls les services indispensables au fonctionnement du serveur doivent être disponibles pour n’afficher à l’extérieur que le minimum d’information nécessaire.

·      Surveiller en permanence l’activité sur les services exposés à l’extérieur pour repérer toute tentative de reconnaissance.

 

L’incursion

En ce qui concerne l’intrusion, les solutions appliquées pour durcir la reconnaissance reste valables et utiles.

Mais en plus, il va falloir mettre en œuvre toutes les solutions de protection anti-malware et anti-intrusion au niveau des postes de travail, des serveurs, des passerelles de messageries et des passerelles web.

 

Une politique de mise à jour logiciel et de mise à jour de patch est indispensable. Une politique de mise à jour ne se limite pas à la mise à jours des patchs Microsoft. Il est obligatoire de mettre à jour l’ensemble des composants logiciels présents sur les postes de travail et les serveurs. N’oubliez pas que dans beaucoup des attaques récentes – le dernier exemple en date étant les attaques sur les banques Sud Coréenne – le vecteur d’initialisation est un simple mail ciblé avec un fichier PDF et l’exploitation d’une vulnérabilité Acrobat.

 

La découverte

Pour rappel, la phase de découverte est le moment de l’attaque où les attaquants, une fois à l’intérieur du système d’information, vont commencer à découvrir les systèmes et les informations sensibles.

Se protéger contre la découverte est un élément essentiel de la protection globale contre une attaque. C’est la phase la plus longue pour l’attaquant. Si elle est trop longue, trop difficile, il peut abandonner…

Les moyens de défense utilisés sont très similaires à ceux utilisés lors de la phase de reconnaissance. A une exception majeure, vous ne le faites plus uniquement sur la partie visible, en externe, de votre système d’information, vous l’étendez à l’ensemble de votre système d’information.

La surveillance et la corrélation des événements, la détection des vulnérabilités systèmes et applicatives, l’application globale, à l’ensemble des systèmes, de vos politiques de sécurité. Quand on parle de l’ensemble des systèmes, ceci inclus l’ensemble des systèmes industriels. Dernièrement, lors d’un événement CyberGame interne où le but du jeu était de simuler l’attaque d’une usine pilotée par des systèmes industriels, nous avons découvert une vulnérabilité où l’équipement pilotant la chaîne de production avait par défaut le mot de passe 12345678, qui ne pouvait pas être changé et était envoyé en clair sur le réseau… que de bonheur pour l’attaquant dans ce cas là.

Mais il faut se protéger aussi contre la découverte des informations sensibles. Vos données sensibles, celles qui causeront du tort à l’entreprise si elles sont accédées, il faut utiliser le chiffrement pour les protéger.

 

La capture

Pour empêcher la capture, vous allez essentiellement travailler autour de la protection de l’information. Protéger l’information via du chiffrement, mais aussi s’assurer que l’information est accessible uniquement pour les personnes et les systèmes autorisés. D’où l’utilisation de solution de prévention d’intrusions pour verrouiller l’accès aux données – le fichier de stockage de la base de données est accessible uniquement par le moteur de base de données, les solutions de DLP pour s’assurer du bon usage des données, …

 

L’exfiltration

De manière similaire à la capture, vous allez prévenir l’exfiltration en bloquant les processus capable d’ouvrir des tunnels – prévention d’intrusion, en mettant en place des outils de prévention de la fuite d’information et chiffrer vos données… Mais aussi la supervision de la sécurité.

Traditionnellement, les entreprises investissent massivement dans les outils de sécurité pour prévenir l’intrusion. Malheureusement, la prévention de l’intrusion ne peut être prévenue avec un bon niveau de certitude, en particulier si la reconnaissance des systèmes et personnes est relativement aisée. Afin de limiter la surface d’attaque et le risque que les attaques atteignent leurs cibles, il est recommander de remonter l’ensemble des niveaux de protection contre l’ensemble des moyens nécessaires à un attaquant pour mener à bien son attaque.

 

En conclusion, si je dois donner deux recommandations immédiates pour limiter le risque de cyber attaques, mettez en place une politique de supervision efficace de la sécurité, allant de la surveillance des vulnérabilités, au suivi et à la corrélation des évènements des sécurités jusqu’à la mise en place de cellules de réponses organisées en cas d’attaque.

 

La deuxième recommandation étant de repenser la sécurité des serveurs. Un serveur est un environnement spécifique, avec des contraintes bien différentes d’un poste de travail, avec des services définis, des contraintes de redémarrage plus intransigeantes. Le verrouillage du système et des informations pour limiter l’usage du serveur à son usage défini va grandement réduire la surface d’attaque.

 

 

Retrouvez l’ensemble des 7 articles issus de l’événement Cyber Readiness Challenge à Paris, le 27 Mars 2013.

Les cinq phases d’une attaque

La reconnaissance

L’incursion

La découverte

La capture

L’exfiltration

Parole à la défense

La présentation correspondante est ici.