Réponse sur incident : Processus de gestion et analyses techniques



Documents pareils
Gestion des Incidents SSI

Computer Emergency Response Team. Industrie Services Tertiaire. David TRESGOTS. 13 juin 2012 Forum Cert-IST Industrie Services Tertiaire

Menaces du Cyber Espace

Faits techniques et retour d'expérience d'une cellule d'expertise dans la lutte contre le code malveillant. EdelWeb / Groupe ON-X

ANSSI PROCEDURES DE REPORTING DES INCIDENTS AVEC LE CIRT RÔLES DES PARTIES PRENANTES 15/02/2014. SEMINAIRE DE Joly Hôtel

CHAPITRE 3 : INTERVENTIONS SUR INCIDENTS

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

SECURINETS CLUB DE LA SECURITE INFORMATIQUE INSAT. SECURIDAY 2012 Pro Edition [Investigation :Digital Forensics]

Attention, menace : le Trojan Bancaire Trojan.Carberp!

Acquisition des données

Club des Responsables d Infrastructures et de la Production

Mise à jour de sécurité

1 La visualisation des logs au CNES

LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Gestion des incidents de sécurité. Une approche MSSP

Windows Server 2012 R2 Administration

Trusteer Pour la prévention de la fraude bancaire en ligne

Projet Sécurité des SI

«Sécurisation des données hébergées dans les SGBD»

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

UserLock Quoi de neuf dans UserLock? Version 8.5

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

escan Entreprise Edititon Specialist Computer Distribution

Sécurité des réseaux Les attaques

PHISHING/PHARMING. Les Nouvelles Techniques qui portent atteinte à l intégrité des S.I

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

Introduction aux antivirus et présentation de ClamAV

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Dr.Web Les Fonctionnalités

Table des matières Nouveau Plan d adressage... 3

RSA ADAPTIVE AUTHENTICATION

Une nouvelle approche globale de la sécurité des réseaux d entreprises

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

Lutter contre les virus et les attaques... 15

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

Virtualisation & Sécurité

BANQUE NEUFLIZE OBC LES BONNES PRATIQUES INTERNET ET MESSAGERIE

AUDIT CONSEIL CERT FORMATION

COMMENT PROTÉGER LE FLUX SORTANT?

Jean-Pierre Lovinfosse. En finir. avec les virus. Groupe Eyrolles,2004 ISBN

Etat de l art des malwares

Traitement des Données Personnelles 2012

sécurisation des systèmes d information BE READY FOR WHAT S NEXT. Kaspersky Open Space Security

Protection des protocoles

SÉCURITÉ, BANQUE ET ENTREPRISES. Prévention des risques de fraudes

Le module SISR1. Les notions abordées sont présentées en entête de chaque séquence proposée. Les outils sont laissés au libre choix des professeurs.

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Attaques ciblées : quelles évolutions dans la gestion de la crise?


Qu est-ce que le «cloud computing»?

DNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS

PLAN DE REPRISE D ACTIVITE INFORMATIQUE

Les vols via les mobiles

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

Table des matières Page 1

ISEC. Codes malveillants

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

L E S M E S S A G E S S P A M & P H I S H I N G

Travaux pratiques. avec. WordPress. Karine Warbesson

s é c u r i t é Conférence animée par Christophe Blanchot

Gestion des mises à jour logicielles

RÈGLE N 1 : SAUVEGARDEZ VOS DONNÉES

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS

La sécurité IT - Une précaution vitale pour votre entreprise

Le Cert-IST Déjà 10 ans!

«Obad.a» : le malware Android le plus perfectionné à ce jour

Botnets, les fantômes de l internet. 6 Novembre Iheb Khemissi - iheb.khemissi@gmail.com Joris Brémond - joris.bremond@gmail.

Formation en Sécurité Informatique

Démarrer et quitter... 13

Connaître les Menaces d Insécurité du Système d Information

Meilleures pratiques de l authentification:

L'infonuagique, les opportunités et les risques v.1

La sécurité des systèmes d information

Une nouvelle approche globale de la sécurité des réseaux d entreprises

IDEC. Windows Server. Installation, configuration, gestion et dépannage

Mobilité, quand tout ordinateur peut devenir cheval de Troie

Symantec MessageLabs Web Security.cloud

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

Guide d utilisation. Version document 0.8. Trouver toute la documentation sur :

DNS : types d attaques et. techniques de. sécurisation. Le DNS (Domain Name System), un élément essentiel de l infrastructure Internet

Guide d administration de Microsoft Exchange ActiveSync

CA Automation Suite for Data Centers

Les attaques APT Advanced Persistent Threats

Sécurité sur le web : protégez vos données dans le cloud

PARAGON - Sauvegarde système

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

Gestion des incidents

Désinfecte les réseaux lorsqu ils s embrasent

Virtualiser ou ne pas virtualiser?

Can we trust smartphones?

Mise en œuvre d une solution de virtualisation

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

CA ARCserve Backup. Avantages. Vue d'ensemble. Pourquoi choisir CA

Vulnérabilités et sécurisation des applications Web

le paradoxe de l Opérateur mondial

Transcription:

Réponse sur incident : Processus de gestion et analyses techniques Forum 2010 Philippe BOURGEOIS et David TRESGOTS Cert-IST Sommaire Processus type de gestion d incident Présentation du processus en 6 phases Analyse de chaque phase Analyse technique Analyse de logs Analyse de malwares Analyse d un incidents de type phishing page 2 1

Processus de gestion d incidentd Vue d ensemble du processus Phase 1 : Préparation à l arrivée d un incident Phase 2 : Identification / qualification de l incident Phase 3 : Limiter l extension possible de l incident Phase 4 : Investigation et suppression de la vulnérabilité Phase 5 : Restaurer un système sain Phase 6 : Post-incident Archiver & Tirer les leçons de l incident Gestion d incident Investigation sur incident page 4 2

Phase 1 : Préparation avant l incident Préparation d un plan de réponse sur incident Inclure le traitement des incidents dans la politique sécurité de l entreprise Définir des personnes impliquées Experts techniques, Architectes du S.I., Manager, Juristes Définir des procédures pour structurer et guider la gestion d incident Préserver les traces Documenter les actions Mettre en place les infrastructures nécessaires Backup, Plan de reprise Gestion des traces Quelques éléments importants dans la gestion d incident Isoler l équipe de traitement d incident, définir clairement les rôles, limiter le stress Effectuer des réunions fréquentes : points d avancement, ajustement du plan d actions page 5 Phase 2 : Identification / qualification de l incident Il n est pas toujours sûr qu un incident (de sécurité) a eu lieu A défaut : renforcer la surveillance et attendre confirmation Pour confirmer l incident Interview minutieuse (écouter et laisser s exprimer) Vérifier les anomalies signalées (demander des éléments matériels) Rechercher d autres traces suspectes (attention à ne pas effacer les traces ou à ne pas brouiller les pistes) Si l incident est confirmé Déclencher le processus de réponse sur incident Fixer les objectifs et les priorités Préserver les données (indices) Ex : copie intégrale de disque, limiter l accès au système, etc page 6 3

Phase 3 : Limiter l extension possible de l incident Retirer ou sauvegarder certaines données critiques Protéger les machines saines ou isoler les machines infectées. Exemple : Evaluer si d autres machines proches présentent les mêmes symptômes Supprimer les partages entre machines, Changer les mots de passe sur les machines périphériques Interdire (par filtre réseau) certaines communications Faut-il arrêter la machine? / Faut-il la débrancher du réseau? Cette décision doit être analysée au cas par cas sur chaque incident. Dans tous les cas, une collecte de données doit être réalisée avant l arrêt. page 7 Phase 4 : Investigation et suppression de la vulnérabilité Comprendre la nature du problème (investigation du problème) : Le niveau de compréhension à atteindre dépend des objectifs fixés Trouver la cause de l incident (vulnérabilité du système ou faiblesse à pallier) Savoir ce qui a été fait sur le système, l étendue exacte du sinistre (impact effectif de l incident) Poursuivre judiciairement Les moyens à mettre en œuvre sont d autant plus lourds que l objectif est ambitieux C est le cœur de l investigation. Trouver une solution au problème page 8 4

Phase 4 : Investigation et suppression de la vulnérabilité (suite) Démarche générale d investigation Collecter le maximum d information sur l incident Elaborer un scénario expliquant ces informations Evaluer la vraisemblance de ce scénario (collecter les indices) (analyser/corréler les indices) (vérifier et démonter) page 9 Phase 5 : Restaurer un système sain (et non vulnérable) Ré-installer complètement le système : Reformater ou changer les disques (pour conserver des pièces à conviction) Ré-installer le système à partir des supports constructeurs Renforcer le niveau de sécurité (niveaux de patch, palliatif de la vulnérabilité identifiée) Changer tous les mots de passe Ne reconnecter la machine au réseau que lorsqu elle est prête Utilisation de sauvegardes ou de données provenant de la machine infectée : A utiliser toujours en dernier recours Démontrer que les données sont saines Utiliser le moins de données possibles et en les validant une à une page 10 5

Phase 6 : Post-incident - Tirer les leçons de l incident Maintenir une surveillance sur le système qui a été attaqué L incident peut se reproduire Rédiger un rapport global décrivant l incident synthèse que l on pourra ré-utiliser identifier les améliorations à apporter : à la procédure de gestion d incident au système d information lui-même identifier les outils manquants Identifier les problèmes globaux à traiter au niveau organisation Communiquer (O/N) : utilisateurs, partenaires, autres (presse) page 11 Réponse sur incident : Analyses techniques David TRESGOTS Cert-IST 6

Sommaire Réponse sur incident : Analyses techniques 1. Analyse de logs 2. Analyse de malwares 3. Analyse d un incidents de type phishing page 13 1. Analyse de logs Techniques d analyse Outils de visualisation page 14 7

Analyse de logs Les problèmes techniques Le format des fichiers à traiter Il faut souvent développer de nouveaux «parsers» Le volume des données à traiter Excel ne sait tracer que 65000 points! Le stockage en base de données est vite indispensable Les problèmes de fond Les données peuvent être corrompues/falsifiées Très courant pour un incident interne de type «malveillance» Des vérifications de vraisemblance sont indispensables Quoi chercher dans les logs? Les logs «métiers» sont souvent plus parlants Le log du «permit» est plus important que le «deny» Il est indispensable de prendre du recul, vérifier si l anomalie suspecte n est pas en fait habituelle page 15 Visualisation des données Microsoft-ts 80 70 60 50 40 30 20 10 0 27/04/2009 04/05/2009 11/05/2009 18/05/2009 25/05/2009 01/06/2009 08/06/2009 15/06/2009 22/06/2009 29/06/2009 06/07/2009 13/07/2009 20/07/2009 27/07/2009 03/08/2009 10/08/2009 17/08/2009 24/08/2009 31/08/2009 07/09/2009 14/09/2009 21/09/2009 28/09/2009 05/10/2009 12/10/2009 Events distribution (evt before April are not shown bcse of EXCEL limits) 40000 35000 30000 25000 Evt # 20000 15000 10000 5000 0 02/04/2008 22/04/2008 12/05/2008 01/06/2008 21/06/2008 11/07/2008 31/07/2008 20/08/2008 09/09/2008 page 16 8

2. Analyse de malwares Un besoin croissant Problématiques de ce type d analyse Approches Techniques page 17 Pourquoi ce besoin d analyse? Les attaques ciblées via des malwares visant certains SI sont en nette augmentation. Des kits de création de malwares avec des fonctionnalités avancées sont disponibles sur Internet Chiffrement, shell, shell inversé, création de comptes, etc Les signatures anti-virus ne les détectent pas immédiatement, voire pas du tout. Certaines formes génériques sont détectées, mais pas toutes (souches polymorphes, auto-chiffrante, etc). page 18 9

Problématiques de ce type d analyse L analyse de malware est un processus chronophage Cette activité doit être bornée dans le temps. Il faut trouver un bon compromis objectifs d analyse/temps d analyse -> adapter l analyse en fonction des objectifs Elle requiert souvent : un niveau d expertise élevé (développeur) parfois de gros moyens techniques (environnement dédié) (ex. machine virtuelle dédiée, ou réseau virtualisé, outil de virtualisation applicative) Nécessite des outils adaptés (debugger, outils de reverse engineering, etc.) Les techniques utilisées sont de plus en plus complexes. Les malwares intègrent des contre-mesures complexes pour éviter toute analyse Certains se désactivent, voire s autodétruisent dans certains environnements Le binaire seul n est pas suffisant L information contextuelle est importante (poste compromis, environnement, logs d équipements filtrants, logs DNS, etc.) page 19 Différents approches techniques (1/3) Analyse statique A priori simple sur le papier Nécessite des outils simples (parser, désassembleurs, anti-virus, éditeur hexadécimal, etc.) Mais parfois complexe dans l interprétation Difficultés liées au binaire (OS impactés, format du binaire) Est-ce un exécutable, une DLL, un service, un processus? Difficultés liées aux protections du malware Routines d obfuscation, utilisation de Packers, etc. Injection de code Masquage des points d entrées des appels de fonctions Camouflage de codes dans les zones DATA Etc. Peut nécessiter un désassemblage / débogage du code (selon le temps imparti) Pour analyser des points particuliers Nécessite des compétences pointues Les ramifications du code sont souvent très nombreuses pour rendre toute rétro-analyse difficile. Permet : De mieux comprendre le fonctionnement du binaire D identifier des chaînes de caractères utilisées (compte / mot de passe utilisés, etc.) D isoler des shells embarqués, ou des code d exploitation, etc. De comprendre le déroulement du code et les actions menées page 20 10

Différents approches techniques (2/3) Analyse dynamique (dite comportementale ou «runtime») Nécessite un environnement dédié et confiné (sandbox / sandnet) Ex. connexion Internet, réseaux virtualisés, serveurs DNS, serveurs DHCP, loggers, IPS, base de données, etc... Mise en place de moyen de journalisation et de capture réseau Ne nécessite pas la compréhension des techniques utilisées par le code malveillant Il n est pas utile de comprendre les protections, packers, ou les techniques d obfuscation utilisées. Dangereuse car le malware est exécuté Fonctionne sur le modèle d analyse par clichés (état du système avant et après exécution du code) Nécessite des outils spécifiques permettant de comparer les états de la base de registres, des systèmes de fichiers, des processus, etc. (Regshot, RegMon, TDIMon, PSlist, ProcView, Fport, ) Effort d analyse important pour interpréter les résultats Permet : D être dans une situation proche d une attaque réelle D identifier les actions du binaire (dépôt d autres malwares, d outils, etc.) De détecter : La Création / Modification / Effacement de fichiers Les altération de la base de registre La Création de comptes (privilégiés / non privilégiés) D accéder aux processus, De détecter le détournement de processus existant De capturer les tentatives de connexions réseau (requêtes DNS, connexions HTTP/HTTPS, etc.) page 21 Différents approches techniques (3/3) Analyse hybride Statique + dynamique du code Débogage et désassemblage des binaires avec exécution pas à pas Permet : De comprendre le fonctionnement du binaire en profondeur Une analyse pointue (haut niveau d expertise en développement) De suivre le graphe d exécution du binaire Extrêmement consommatrice de temps page 22 11

3. Analyse d un d incident de Phishing Augmentation de ce type d attaque Processus d analyse page 23 Augmentation de ce type d attaques La professionnalisation des attaques de phishing et leur «industrialisation» sous forme de kits «prêt à l emploi» engendre une recrudescence d incidents. Un marché parallèle de revente d informations (N CB, identifiants, etc.) s est créé dans le milieu underground. Les «kits de phishing» sont devenus : Faciles d accès pour des pirates en herbe Construits pour être déployés rapidement et pour permettre de récupérer rapidement les informations volées (de façon plus ou moins triviales). Composés du code d'un site contrefait (banques, FAI, etc.), avec des graphismes et logos adaptés aux sites ciblés Accompagnés d une campagne d emails destinés à abuser les utilisateurs page 24 12

Processus d analyse d un incident de phishing Partie technique Récupérer les emails de spams conduisant vers le site contrefaisant Analyser les entêtes (header) pour «essayer» de déterminer les sources Pas forcément fiable pour les campagnes sophistiquées Identifier l hébergeur, le responsable du site Récupération des données volées si elles sont accessibles Partie non-technique Il faut s adapter au spécificités et au contexte de l incident de phishing Chaque cas a ses spécificités ; Métier visé (bancaire, FAI, autres), localisation géographique du site contrefaisant, présence de kits, etc.) Prise de contact avec l hébergeur, le responsable du site (ex. cellules abuse) Attention! le responsable du site hébergeant un phishing, peut être lui-même une victime (c est souvent le cas). Demande de mesure conservatoire des données utilisées dans le phishing ; des données collectées, kits utilisés, etc. (nécessaire si une plainte est envisagée) Dépend de la compétence du service concerné (pas toujours possible lorsque le phishing est hébergé à l étranger) Peut permettre de récupérer légalement les données volées aux victimes crédules du phishing. Faire fermer le site Le succès d une fermeture est fortement dépendant du relationnel et de l esprit de coopération des parties impliquées (parfois difficile avec certains pays). La coopération entre Certs peut être déterminante dans l aboutissement de la fermeture d un site de phishing page 25 Q & R? Fin de la présentation page 26 13

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back