ANSSI PROCEDURES DE REPORTING DES INCIDENTS AVEC LE CIRT RÔLES DES PARTIES PRENANTES 15/02/2014. SEMINAIRE DE Joly Hôtel

Transcription

1 ANSSI PROCEDURES DE REPORTING DES INCIDENTS AVEC LE CIRT RÔLES DES PARTIES PRENANTES 15/02/2014 SEMINAIRE DE Joly Hôtel aristide.zoungrana at arcep.bf

2 AGENDA 2 Définitions Les incidents rencontrés par les parties prenantes Recommandations pour la gestion des incidents par les parties prenantes Rappel du cycle de vie de la sécurité informatique Moyens de prévention Moyens de détection Exemples de gestion des incidents : Contenu abusif Code malicieux Attaques sur la disponibilité

3 DEFINITIONS 3 Tout évènement potentiel ou avéré, indésirable et/ou inattendu, impactant ou présentant une probabilité forte la sécurité de dans ses critères de Disponibilité, de Confidentialité et/ou de Preuve Ne pas confondre incident informatique et incident lié à la sécurité de l'information

4 LES INCIDENTS RENCONTRES 4 Contenu abusif Spam, harcèlement électronique, pornographie Code malicieux Scanning, sniffing Exploitation des vulnérabilités, tentatives de

5 LES INCIDENTS RENCONTRES 5 Intrusion Disponibilité DoS, DDoS, Sabotage Accès, modification non autorisés aux informations Fraude Droit Autres

6 RECOMMANDATIONS POUR LA GESTION DES INCIDENTS 6 Actions demandées par le CIRT/BF aux parties prenantes Se préparer à la réponse à un incident les incidents Le CIRT/BF vous accompagnera également dans la suite de la procédure: Analyse Confinement, endiguement Eradication Recouvrement

7 7 RECOMMANDATIONS POUR LA GESTION DES INCIDENTS au minimum:, Désigner parmi cette équipe un point de contact avec le CIRT/BF [Déjà fait] Repartir les rôles et les responsabilités Former cette équipe (Connaissance de base suffisante?) informationnels) de la structure et des possibles incidents de sécurité sur ces actifs Informer les utilisateurs de leur obligation de reporter les incidents (employés et sous-traitants) Echange de connaissances avec les parties prenantes du CIRT/BF

8 RECOMMANDATIONS POUR LA GESTION DES INCIDENTS 8 la Les comportements inhabituels nous guident : Impossibilité de se connecter à la machine Fichier(s) disparu(s) Système de fichiers endommagé Signature de binaires modifiée Connexions ou activités inhabituelles Services ouverts non autorisés Création ou destruction de nouveaux comptes Création de fichiers, y compris de fichiers cachés Etc.

9 RECOMMANDATIONS POUR LA GESTION DES INCIDENTS 9 (Suite) Et installer aussi des logiciels de surveillance automatisée de vos infrastructures, une surveillance humaine devant être couplée pour une efficacité Des hôtes : analyse des logs produits par les équipements: Chkrootkit, Md5sum Du réseau : capture et analyse du trafic réseau: Snort.. Combiner les deux techniques pour une efficacité Ne pas oublier de synchroniser toutes les horloges des équipements informatiques (via Network Time Protocol NTP Prendre au sérieux les messages provenant du CIRT/BF est potentiellement fort.. Ou pour les conseils habituels du CIRT/BF..

10 RECOMMANDATIONS POUR LA GESTION DES INCIDENTS 10 (Suite) détecté? Voici ici un résumé minimaliste des actions à prendre: Toute action doit être conforme à la politique de sécurité et aux procédures définies par la partie prenante Ne pas oublier les aspects dépôt de plainte au besoin Prévenir le responsable sécurité De préférence par téléphone ou de vive voix Faire remplir par exemple une fiche (papier ou numérique)

11 RECOMMANDATIONS POUR LA GESTION DES INCIDENTS 11 (Suite) Déconnecter la machine du réseau Masquer vu du pirate, ce que vous ferez sur la machine comme investigation future.. Maintenir la machine sous-tension si absence de force

12 RECOMMANDATIONS POUR LA GESTION DES INCIDENTS 12 (Suite) Faire au besoin une copie physique (de bas niveau) du disque dur Sert aussi pour les dépôts de plainte On ne travaillera que sur les copies à la suite Faire une première évaluation, pas de conclusions hâtives Pour des manipulations très délicates, faire appel à des professionnels expérimentés Vérifier et croiser les sources Entretien/interview Dans les logs des autres équipements (systèmes, réseaux) environnants Les copier et les dater Vérifier que ce n'est pas une erreur de configuration ou une erreur humaine sans conséquence

13 RECOMMANDATIONS POUR LA GESTION DES INCIDENTS 13 (Suite) Si incident supposé ou avéré, envoyer les informations de base au CIRT/BF pour Ne pas contacter directement le (supposé!) pirate Risque de lui divulguer ce que vous savez de lui réseau de parties prenantes et de partenaires Les CIRTs

14 RECOMMANDATIONS POUR LA GESTION DES INCIDENTS 14 incidents eux-mêmes, il est recommander entre autres au niveau de CIRT/BF Erreurs à éviter à ce stade de la gestion des incidents par les parties prenantes: Ne pas déclarer les incidents Se faire polluer par des incidents qui ne sont pas liés à la sécurité de l'information objectifs «vos

15 TRANSMETTRE AU CIRT 15 La structure : Nom Le point de contact : nom, téléphone, mail Adresse(s) IP source, port, protocole Adresse(s) IP de destination, port, protocole Fonction système concernée: DNS, Web, poste de travail.. Les antivirus installés: nom, version, patchs installés Les logs au besoin Impact potentiel sur la structure Tentative de résolution

16 CANAUX DE COMMUNICATION AVEC LE CIRT/BF 16 Le CIRT reçoit un incident rapporté par une de ses parties prenantes via : Courriel ( ) : incidents[at]cirt.bf Formulaire web : Téléphone : /61/62 Fax : Pour des communications ne contenant pas des informations sensibles, le CIRT utilise des courriels non chiffrés Pour les communications sécurisées, les courriels chiffrés avec PGP (Pretty Good Privacy) ou le téléphone sont utilisés

17 CANAUX DE COMMUNICATION AVEC LE CIRT/BF 17

18 RAPPEL CYCLE DE VIE DE LA SECURITE INFORMATIQUE 18 Prévention Gestion des incidents Détection

19 LES MOYENS DE PREVENTION 19 Bonne configuration du réseau et des applications Firewall

20 LES MOYENS DE DETECTION 20 Systèmes ) Anti-virus, Anti-spam, Anti-spyware fichiers Journaux de sécurité Annonces de nouvelles vulnérabilités par le CIRT, les Personnes internes ou externes

21 POUR DU CONTENU ABUSIF 21 Exemples Spam, pourriel, polluriel Communication électronique non sollicitée, en premier lieu via le courrier électronique. Il s'agit en général d'envois en grande quantité effectués à des fins publicitaires Interventions ou messages non-conformes sur les forums, livres d'or, groupes de discussion Phishing leur système attaqués via cette méthode par exemple) Harcèlement électronique Publication de contenu «odieux» Discrédits cyber Pornographie infantile, glorification de la violence

22 POUR DU CONTENU ABUSIF 22 Quelques moyens de prévention / détection Logiciel firewall de filtrage mail/url Modération, Captcha, Greylisting, Que faire face à un doute persistent sur un contenu abusif via mail? Par simple lecture mail par exemple Vous informez le CIRT pour analyse et réaction au besoin

23 POUR DU CONTENU ABUSIF 23 par celui du CIRT Transférer simplement le message au CIRT Afficher la source du message ou du mail -tête du mail Et le corps du mail que vous suspectez nouveau mail à Les étapes précédentes peuvent aussi être satisfaites en transférant le contenu abusif en transformant le contenu/mail abusif en tant que fichier joint Préserver les traces de ce mail dans votre client mail

24 POUR DU CONTENU ABUSIF 24 Affichage des en-têtes avec votre logiciel MS Outlook Express : Menu "Fichier Propriétés Détails" ; Mozilla Thunderbird : Menu «Affichage Code source du message Enregistrer sous» Etc.

25 POUR DU CONTENU ABUSIF 25 From - Fri Feb 07 11:59: X-Mozilla-Status: 0001 X-Mozilla-Status2: X-Mozilla-Keys: Message-ID: <52F4CAB @arce.bf> Date: Fri, 07 Feb :59: From: «Dupont DUPOND" <dupont.dupond@toto.bf> Organization: DUPONT PIRATAGE User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:24.0) Gecko/ Thunderbird/ MIME-Version: 1.0 To: moussa-ali@masociete.bf Subject: Re: =?UTF-8?B?RGVybmnDqHJlIFN0YXRpc3RpcXVlcyBOb21zIGRlIGRvbWFpbmU=?= References: <01b101ceca69$c601b2e0$520518a0$@bf> < @toto1.bf> < @toto2.bf> <52F3755C @toto3.bf> <000c01cf234d$31e07000$95a15000$@bf> <52F4CAA @arcep.bf> In-Reply-To: 52F4CAA @masociete.bf

26 POUR DU CODE MALICIEUX 26 Logiciel intentionnellement introduit dans un système normalement nécessaire pour activer ce code Virus, Vers Malware Trojan Spyware Rootkit.. Sql/Url Injection E-dialer

27 POUR DU CODE MALICIEUX 27 Quelques moyens de prévention / détection Sensibilisation des utilisateurs Les bulletins du CIRT/BF Que faire si on suspecte un code malicieux dont on a pas la solution? Copier le malware sur une clé USB préalablement «vaccinée», à moins que le Ou transférer le malware si dans un mail en tant que fichier joint (précaution à prendre pour éviter les propagations!) Vérifier les accès réseaux Identifier les systèmes affectés Envoyer le malware pour analyse au CIRT dans un sandbox/sandnet Exécution dans une machine virtuelle, désassemblage / débogage du

28 28 Scanning Sniffing (écoute des données transitant au niveau réseau) Tentatives de connexion Quelques moyens de prévention /détection Mise à contribution du firewall ou des proxies Que Envoyer les logs (ou la partie concernée) pour analyse, confirmation par le CIRT, et proposition de solution(s)

29 29 Pour cela, on fait des sauvegardes régulières et surtout on enregistre les logs sur une autre machine (avec Syslog

30 POUR DES ATTAQUES SUR LA DISPONIBILITE 30 bombardé avec une grande quantité de paquets. Objectifs: créer de la lenteur ou cracher un système Exemples DoS DDoS Sabotage Bombes mails (trop de mails)

31 POUR DES ATTAQUES SUR LA DISPONIBILITE 31 Moyens de prévention /détection Equipement informatique bien dimensionné pour gérer ces cas (utilisation de serveurs miroirs, de secours, ou de CDN (Content Delivery Les bonnes configuration et les mise-à-jour fréquentes La gestion/limitation de la bande passante par service/protocole La supervision et la gestion des alertes Les bulletins du CIRT/BF

32 POUR DES ATTAQUES SUR LA DISPONIBILITE 32 Envoyer tous les logs (ou la partie concernée) pour analyse et proposition de solution(s) à la partie prenante

33 POUR TOUT AUTRE INCIDENT 33 Prendre contact avec le CIRT/BF qui vous accompagnera dans la gestion de cet incident

34 RECOMMANDATIONS 34 Mise en place de gestion des incidents libre Informer le CIRT pour une attaque importante, même si on a trouver soi-même la solution, car ca peut-être entrainer à communiquer fréquemment avec le CIRT aura déclarer son premier incident lié à la sécurité de

35 Merci pour votre attention! 35 QUESTIONS, REPONSES, APPORTS? Toute entreprise/structure doit désormais considérer que sa sécurité sera compromise (si cellebrèche sans que personne ne le sache). et Par Aristide R. ZOUNGRANA aristide.zoungrana at arcep.bf