CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS

Transcription

1 CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS CINQ RECOMMANDATIONS ESSENTIELLES 1

2 CINQ RECOMMANDATIONS ESSENTIELLES CINQ RECOMMANDATIONS ESSENTIELLES BASÉES SUR UNE ANALYSE DES INCIDENTS OBSERVÉS En 2014, le Groupe NTT est intervenu sur de nombreux types d incidents dont l analyse a permis de dégager un faisceau d observations et de recommandations. Ses analystes ont également comparé ces résultats aux attaques dont les médias se sont fait l écho. Leurs conclusions ont ainsi permis d identifier un certain nombre de lacunes dans les fonctionnalités basiques et avancées de détection, d investigation et de réduction des risques de nombreuses entreprises. Au vu de ces constatations, nous recommandons aux entreprises de faire le bilan de l efficacité des cinq points de contrôle que nous développons dans ce chapitre. Il s agit en substance de contrôles de base à mettre en œuvre dans le cadre d une infrastructure réseau et de sécurité d entreprise, domaine dans lequel l analyse du Groupe NTT révèle des difficultés persistantes dans de nombreuses structures. POINT DE CONTRÔLE N 1 : SEGMENTATION DU RÉSEAU Nombre de violations examinées se sont produites sur un segment du réseau, avant de se propager à l ensemble du réseau interne au fur et à mesure que l attaque progressait. Ainsi, les attaquants se déplacent latéralement dans l infrastructure infiltrée afin de repérer des systèmes à forte valeur stratégique, des cibles d opportunités ou des systèmes leur permettant d asseoir leur présence au sein de l environnement. Comme l a observé le Groupe NTT, nombre d entreprises disposent encore d infrastructures réseau internes à plat c est-à-dire non hiérarchisées. 2

3 Or, ces réseaux ne permettent pas de définir clairement les différentes zones fonctionnelles de l environnement. En clair, certaines zones du réseau peuvent avoir des exigences spécifiques en matière de données ou d accès, lesquelles ne sont pas reconnues ou satisfaites. Pour y remédier, une segmentation du réseau interne permettra de passer au crible les flux de données entre différents segments. Les agents d un centre d appels n ont par exemple pas besoin d accéder aux environnements de développement. Dès lors, des listes de contrôle d accès (ACL) et une séparation des fonctions entre environnements permettront d en restreindre l accès. Outre la segmentation de réseaux via des listes de contrôle d accès aux routeurs et des réseaux locaux virtuels (VLAN), les entreprises devront implémenter des contrôles de détection et de prévention au moyen de pare-feux et de systèmes IDS/IPS. Ce faisant, elles renforceront leurs capacités à déployer des fonctionnalités de détection et de défense capables d identifier le trafic réseau potentiellement malveillant, notamment les tentatives de contournement des contrôles de segmentation. Outre la segmentation de leur réseau, les entreprises doivent également veiller à exécuter leurs fonctions d administration des systèmes depuis des sous-réseaux spécifiques et des réseaux séparés. Cette architecture offre davantage de granularité dans le contrôle des activités d administration, tout en définissant le segment de réseau à partir duquel ces tâches peuvent être effectuées. Enfin, ces contrôles peuvent considérablement freiner la progression des attaques en rendant l infiltration des réseaux plus lente, plus visible et plus complexe surtout si les attaquants sont forcés de répéter l ensemble du processus (reconnaissance, attaque et compromission) lors de chaque tentative d infiltration. Une bonne séparation des réseaux, des données et des processus facilite l atteinte des objectifs de sécurité et de conformité. Ceci passe notamment par une documentation appropriée des contrôles, de la topologie réseau et des chemins de transmission des données. 3

4 Principales considérations et recommandations pour la segmentation du réseau : Identifiez les segments clés contenant les données, processus et systèmes critiques Définissez des zones de sécurité pour segmenter de fait les domaines critiques en fonction du caractère sensible et des besoins d accès aux données Séparez et contrôlez les accès depuis et vers les zones d administration des systèmes Veillez à ce que les contrôles de segmentation répondent aux objectifs définis, à mesure que l environnement réseau change et se développe POINT DE CONTRÔLE N 2 : DÉTECTION ET PRÉVENTION ANTIMALWARE Les malwares servent souvent de porte d entrée aux cybercriminels pour infiltrer les réseaux et exploiter les vulnérabilités techniques et humaines. Or, d après les observations du Groupe «En 2014, le taux de détection des NTT au cours de ces dernières années, virus s est élevé à 46 %, comme les solutions antivirus sur l hôte le révèle le dernier rapport GTIR n interceptent au mieux que la moitié des du Groupe NTT.» virus. Selon l édition 2014 de son rapport GTIR, le taux de détection des virus s établissait plus précisément autour de 46 %. De même, nombre d interventions sur incidents ont détecté la présence de malwares sur des systèmes dotés d antivirus obsolètes voire dépourvus de tout logiciel de ce type. Les malwares sont même capables de désactiver les solutions antivirus afin de prolonger leur propre durée de vie. En clair, une protection anti-malware exclusivement basée sur l hôte ne suffit pas. Pour repérer une éventuelle attaque par malware, les entreprises doivent également faire appel à des technologies d analyse des communications réseaux et s. 4

5 Principales recommandations pour le déploiement de mesures de détection/ prévention antimalware : Définissez une stratégie de neutralisation des malwares en prenant soin d y intégrer des contrôles sur plusieurs points de détection et de visibilité Investissez dans des fonctions de détection et de mise en quarantaine sur l hôte et sur le réseau Rassemblez les journaux des consoles de produits anti-malware et veillez à leur intégration dans votre solution de suivi des journaux SIEM/MSSP Mettez en place des politiques et procédures de gestion des incidents par malware Assurez-vous que les contrôles anti-malware fonctionnent comme prévu et, le cas échéant, effectuez les ajustements nécessaires Il est important de bien comprendre que même pour parvenir à un faible taux de détection de 50 %, il est indispensable d installer les anti-virus à la fois sur les serveurs et sur les terminaux, de les mettre régulièrement à jour et d effectuer constamment des analyses anti-virus. Tant sur le réseau que sur l hôte, l efficacité des solutions antivirus passe par un suivi de tous les instants. POINT DE CONTRÔLE N 3 : GESTION DES CORRECTIFS ET DES CONFIGURATIONS La plupart des violations examinées ont mis en lumière des systèmes non corrigés ou mal configurés. Dans de nombreux cas, les compromissions étaient directement liées aux vulnérabilités d applications tierces non corrigées, par lesquelles les attaquants s infiltrent sur leurs systèmes ou réseaux. Bien souvent, les kits d exploits sont conçus sur le principe selon lequel les pirates peuvent automatiser les exploits en moins de temps qu il n en faut aux entreprises pour patcher des vulnérabilités nouvellement découvertes. Dans son dernier rapport GTIR, le Group NTT rappelle que, dans les entreprises dépourvues de système de gestion des vulnérabilités, il faut environ 200 jours pour corriger une vulnérabilité de niveau 4.0 ou plus sur l échelle CVSS. 5

6 De fait, les vulnérabilités anciennes et non corrigées constituent une porte d entrée idéale pour les pirates. En 2014, 76 % des vulnérabilités identifiées sur les systèmes clients par les services d analyse et de gestion des vulnérabilités NTT étaient antérieures à 2013, c est-à-dire vieilles de deux ans ou plus. Pire encore, près de 9 % de ces vulnérabilités avaient plus de 10 ans. IDENTIFIER LES VULNÉRABILITÉS PAR ANNÉE D APPARITION % 2% 4% 6% 8% 10% 12% 14% Légende : Bien que de nombreuses vulnérabilités datent de 2014, certaines sont nettement plus anciennes et remontent même à La gestion des configurations et des correctifs n est pas un concept nouveau. Pourtant, l analyse qualitative des vulnérabilités identifiées révèle les fortes lacunes des entreprises dans ce domaine. Nombre d entreprises se focalisent encore sur l implémentation de correctifs sur les serveurs critiques et frontaux. Or, aujourd hui, la plupart des attaques visent les applications. Pour mieux gérer les configurations, les correctifs et réduire ainsi les pertes potentielles, les entreprises devraient : 6

7 Documenter les configurations et changer les politiques et procédures de contrôle Documenter les politiques et procédures de gestion des correctifs pour les systèmes d exploitation, équipements réseau et applications tierces Déployer des solutions permettant d accélérer les processus de gestion des configurations et des correctifs, et documenter les activités concernées Veiller à ce que l entreprise dispose d une bonne visibilité, mais aussi d une bonne compréhension de l état des vulnérabilités de toutes les technologies de l environnement Implémenter des processus correctifs d urgence particulièrement lorsque certains équipements de l entreprise présentent des vulnérabilités activement exploitées Développer des plans de test et valider les contrôles et processus dont l exécution s effectue comme prévu La gestion des configurations et des correctifs peut représenter une opération fastidieuse et complexe, notamment dans des environnements hautement distribués, hétérogènes et composés de terminaux utilisateurs très divers. Un programme actif et dynamique de gestion des correctifs peut supprimer les vulnérabilités courantes des serveurs et des systèmes utilisateurs, réduisant ainsi l efficacité des kits d exploits nouveaux et anciens. POINT DE CONTRÔLE N 4 : LA SURVEILLANCE Une partie des violations analysées en 2014 par le Groupe NTT étaient déjà actives depuis un certain temps. Certaines de ces violations ont même été détectées plusieurs mois après le déclenchement de l attaque, alors que des données avaient déjà été exfiltrées. Après s être introduit sur le réseau d une entreprise, les hackers avancent progressivement leurs pions en étendant leur contrôle à l ensemble de l environnement infiltré, le tout sans se faire repérer. Pourtant, les systèmes antimalware et IDS détectent parfois certaines de ces violations, sans qu aucune action ne soit engagée. 7

8 Bien souvent, ces violations compromettent de multiples systèmes répartis à travers le réseau interne de l entreprise. Les systèmes attaqués sont souvent directement en prise avec les communications liées aux attaques (téléchargement de malware, exfiltration de données) sur de longues durées. Il peut s agir de communications non autorisées entre serveurs internes, ou avec des serveurs de commande et de contrôle (C&C) internes et externes. Pour être véritablement efficace, la surveillance doit porter non seulement sur les journaux et alertes systèmes, mais aussi sur l analyse comportementale dans l environnement de base de l entreprise. Ce type d analyse a pour but de détecter des activités anormales, comme par exemple : Échange soudain de gros volumes d informations entre systèmes n ayant jamais communiqué auparavant Communication inhabituelle entre de multiples systèmes distribués et quelques systèmes centralisés Communication inhabituelle de systèmes internes jusqu alors inactifs avec des systèmes externes une situation plus évidente et pourtant souvent non détectée par les entreprises Pour rentabiliser au maximum votre dispositif de surveillance, le Groupe NTT préconise ces quelques recommandations : Parvenez à une bonne compréhension de votre environnement, en tenant compte du fait que tous les journaux ne se valent pas. Les experts en sécurité peuvent aider votre entreprise à identifier les journaux, équipements et systèmes à même de vous fournir le plus d informations, notamment contextuelles Les dispositifs de surveillance les plus fiables sont généralement le fruit de longues années de maturation, et font l objet d une planification et d améliorations permanentes. Définissez vos plans stratégiques et tactiques de surveillance, puis appliquez-les Votre plan de surveillance détermine votre capacité à non seulement identifier les symptômes d une violation, mais aussi à respecter vos obligations de conformité. Étendez le rayon d action de votre dispositif de surveillance à de nombreux scénarios d utilisation 8

9 À l image de nombreux types de contrôle de sécurité, la surveillance n atteint le maximum de son efficacité que par une approche multiniveau. Journalisez la couche réseau et la couche applicative Journalisez les systèmes IDS/IPS, pare-feu et WAF frontaux, sans oublier les services d annuaire, les antivirus, la surveillance des fichiers, les applications Web, les proxys et les DLP Surveillez les équipements critiques à la source, plutôt que d essayer d identifier les activités malveillantes au moment où celles-ci atteignent d autres équipements POINT DE CONTRÔLE N 5 : INTERVENTION RAPIDE SUR LES INCIDENTS En 2014, 74 % des entreprises ayant fait appel aux services d intervention sur incident du Groupe NTT ne disposaient d aucun plan d intervention. Or, un tel plan n est efficace que s il permet à l entreprise de répondre à un incident de manière concrète et coordonnée. Au moment d analyser les incidents, le Groupe NTT a relevé un certain nombre de questions récurrentes dans les entreprises victimes : Les alertes ont-elles signalé une violation? L entreprise a-t-elle bien été la cible d une attaque? À qui incombe la responsabilité d intervenir dans l entreprise? Quelle est la priorité n 1 de l entreprise : conserver des preuves de l attaque, restaurer ses systèmes, protéger ses données voire une autre priorité? Sur quels systèmes et/ou données devrait-on intervenir en priorité? Qui sont les fournisseurs externes de l entreprise (FAI, etc.), et quelles sont leurs coordonnées (y compris leur numéro de téléphone direct)? Autant de questions auxquelles un plan d intervention mature doit apporter des réponses lors des phases de développement, de coordination, d analyse et de test. 9

10 En pleine attaque, il est déjà suffisamment difficile de suivre un plan d intervention structuré. Tout accroc dans son application risque d augmenter encore la durée de l incident et les pertes associées. Mais lorsque l entreprise tente d improviser un plan d intervention au cœur de la tempête, c est là que les choses se compliquent sérieusement. Pour éviter cette situation, le plan prévoira les mesures suivantes avant le déclenchement même des attaques : Mettez en place une équipe d intervention sur incidents, et précisez les rôles et responsabilités de chacun Répertoriez les coordonnées des fournisseurs et partenaires externes concernés (support technique FAI, etc.) et précisez leur rôle dans le processus Déterminez les compétences requises qui font défaut au sein de l entreprise, et la manière de les acquérir et de les exploiter Définissez des processus de communication efficaces lors des incidents Définissez les critères permettant de déclarer le début et la fin d un incident Votre propre plan d intervention sera certes beaucoup plus complet que les quelques grandes lignes développées ici, mais son implémentation ne doit pas moins être efficace et ses procédures communiquées clairement à tous les acteurs concernés. Malheureusement, l analyse d incidents survenus en 2014 montre que même les entreprises les plus matures en termes de sécurité ont tendance à faire l impasse sur ces concepts de base. CONCLUSION Toutes les attaques ne résultent pas forcément de lacunes dans les dispositifs de sécurité de base que nous évoquons dans ce chapitre. Toutefois, si elles avaient mis en place des contrôles réellement efficaces dans les domaines mis en cause, les entreprises victimes auraient été plus résilientes et mieux préparées à y répondre. Un déploiement efficace des cinq points de contrôle évoqués ici peut avoir un impact positif immédiat sur la sécurité d une entreprise. Pour télécharger le rapport GTIR, rendez-vous sur 10