Gestion des incidents Jean-Marc Robert Génie logiciel et des TI
Incidents Un incident de sécurité est une violation, ou l imminence d une violation, d une politique de sécurité p.ex., une politique de bon usage. Exemples: Dénis de service Codes malveillants Accès non autorisés Usages inappropriés Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 2
Gestion des incidents Besoins Répondre systématiquement afin de s assurer que les démarches appropriées soient effectuées. Aider le personnel à récupérer le plus rapidement et le plus efficacement possible d un incident. Améliorer continuellement le processus de gestion des incidents. Traiter adéquatement des aspects judiciaires. Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 3
Politique pour la gestion des incidents Définir le type d incidents couvert. Définir les structures organisationnelles et les responsabilités des divers intervenants. Prioriser les incidents. Définir les critères de performance. Sans oublier la structure présentée lors du Cours #02 Politique de sécurité Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 4
Processus de gestion des incidents Préparation Détection et Analyse Confinement Éradication et Recouvrement Analyse Post-incident Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 5
Préparation Trousse de secours Provenant de NIST SP 800-61 Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 6
Préparation Trousse de secours Provenant de NIST SP 800-61 Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 7
Préparation Trousse de secours Provenant de NIST SP 800-61 Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 8
Détection et Analyse Défis Incidents peuvent être détectés par différents moyens plus ou moins précis ou fiables. IDS Anti-virus Analyse de fichiers journaux Le volume d alarmes est souvent élevé et malheureusement elles sont souvent fausses. Expertise requise est grande et diversifiée. Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 9
Déterminer la nature de l incident Dénis de service Codes malveillants Accès non autorisés Usages inappropriés ou une combinaison de ces incidents. Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 10
Détecter l incident Précurseurs : signe qu un incident peut éventuellement survenir dans le futur. Balayage d un réseau. Balayage d une machine. Nombreuses tentatives infructueuses d authentification. Nouvelles vulnérabilités logicielles découvertes. Etc. Indicateurs : signe qu un incident s est produit ou qu il se produit actuellement. Serveur Web tombe en panne. Les usagers se plaignent de la lenteur de leur système ou d un service. L administrateur voit un changement dans les flots de trafic. L IDS rapporte une tentative de débordement de tableau contre un service. Un changement de configuration est observé sur un système. Etc. Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 11
Sources d événements précurseurs Système de détection/prévention d intrusions Réseaux, Hôtes et Applications Anti-virus, Anti-spam, Anti-spyware Système de vérification de l intégrité des fichiers Fichiers journaux Systèmes d exploitation et Applications Équipements réseau (p.ex., pare-feu, routeurs) Annonces de nouvelles vulnérabilités CERT, listes de distribution (vendeurs, indépendants) Personnes Internes, externes Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 12
Afin de nous aider Déterminer les caractéristiques de l activité réseau et des systèmes. Bande passante, nombre de flots, etc. Évaluer les comportements normaux Utiliser une infrastructure centralisée de gestion des fichiers journaux. Rétention des fichiers Effectuer une corrélation des divers événements survenus. S assurer de la synchronisation des horloges. Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 13
Afin de nous aider Utiliser un renifleur de réseau. Filtrer les informations. Établir une base connaissance. Personnel expérimenté Listes de To do Google! S.O.S! Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 14
Dès que l incident est observé Documenter les événements observés. Documenter les actions prises. Idéalement : 2 personnes Une personne intervient. Une personne enregistre toutes les observations / actions Log book (pages numérotées, pages reliées, encre, etc.) Horodatage Poursuites judiciaires éventuelles. Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 15
Priorisé l incident Provenant de NIST SP 800-61 Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 16
Priorisé l incident Pointage = (Effet actuel + Effet futur) * 2.5 + Criticité * 5.0 Pointage 00.00 00.99 01.00 02.49 02.50 03.74 03.75 04.99 05.00 07.49 07.50 10.00 Évaluation Aucun Minimal Bas Moyen Haut Critique Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 17
Les attentes face aux incidents Provenant de NIST SP 800-61 Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 18
Notification de l incident CIO Responsable sécurité Autres équipes de l organisation Propriétaires des actifs concernés Ressources humaines Communication Département légal CanCert Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 19
Confinement décision Prise de décision rapide mais éclairée Arrêter le système Déconnexion du réseau (filaire, sans-fil, modem) Désactiver certaines fonctionnalités du système La décision à prendre devrait déjà être établie dans la politique d incident. Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 20
Confinement stratégie Dommage potentiel aux actifs Vol d actifs Besoin de conserver les preuves Disponibilité du système Temps et ressources nécessaires Efficacité de la solution Durée de la solution Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 21
Cueillette des preuves Poursuites judiciaires éventuelles Processus stricts Log book double vérification Intégrité des preuves mais pas toujours nécessaires P.ex., vers ou virus informatiques «génériques» Attention : Si vous attendez afin de recueillir plus de preuves, il est possible que des tiers soient attaqués par votre faute. Poursuite éventuelle! Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 22
Forensics Cours #06 Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 23
Identification de l attaquant L adresse IP! mais attention, ce n est pas votre rôle! Votre rôle premier est de minimiser l impact de l incident sur vos objectifs d affaires. Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 24
Éradication et Recouvrement Changer les mots de passe. Utiliser les sauvegardes non-infectées. Remplacer les fichiers contaminés. Installer les patches logicielles appropriées. Mettre à jour les règles des pare-feu. Reconstruire les systèmes à partir de zéro! Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 25
Analyse Post-incident Leçons apprises Comment avons-nous réagi? Avions-nous toutes les ressources nécessaires (humaines et technologiques)? Comment éviter de tels incidents dans le futur? Etc. Colliger des mesures d évaluation Nombre d incidents Temps pour résoudre chaque incident Coût associé à chaque incident Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 26
Analyse Post-incident Rétention des évidences Poursuite Politiques internes Coût Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 27
Checklist! Provenant de NIST SP 800-61 Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 28
Checklist! Provenant de NIST SP 800-61 Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 29
Incidents : méthodologies différentes Dénis de service Codes malveillants Accès non autorisés Usages inappropriés Incidents multiples Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 30
Références Principale: Karen Scarfone, Tim Grance et Kelly Masone, Computer Security Incident Handling Guide, NIST SP 800-61, mars 2008. Secondaire: Georgia Killcrece, Klaus-Peter Kossakowski, Robin Ruefle et Mark Zajicek, State of the Practice of Computer Security Incident Response Teams (CSIRTs), CMU/SEI-2003-TR-001, octobre 2003. Jean-Marc Robert, ETS MTI 719 - Gestion des incidents v1.0 31