Gestion des incidents Les incidents de sécurité

Gestion des incidents Les incidents de sécurité 1

OpenSphere / Incidents de Sécurité / Gestion des incidents : les incidents de sécurité Retour sur quelques cas d incidents de sécurité récents Les incidents de sécurité à la Réunion Cas pratiques d incidents de sécurité découverts par OpenSphere 2

OpenSphere / Incidents de Sécurité / Quelques cas d incidents de sécurité récents Mai 2014 - DHL expose 700 000 fiches clients sur internet Accessibles depuis un simple navigateur web avec un moteur de recherche Probablement une erreur humaine Juin 2014 Un pirate demande une rançon à «Dominos pizza» Un hacker récupère les données des clients de l entreprise Une rançon est demandée pour ne pas diffuser les données Noms, prénoms, adresses postales, emails et mots de passe sont exposés Le hacker a exploité une faille de sécurité du site web 3

OpenSphere / Incidents de Sécurité / Incidents de sécurité Juin 2014 Rançon demandée aux utilisateurs d une application mobile piégée ESET a identifié le premier «ransomware» qui chiffre les données des téléphones Android et demande une rançon à son propriétaire Exploitation réservée à des agresseurs expérimentés 4

INCIDENTS DE SÉCURITÉ : LA RÉUNION 5-22

OpenSphere / Incidents de Sécurité / Incidents de sécurité : La Réunion Août 2014 : Une entreprise locale expose les données de ses clients sur internet Accès aux données depuis un simple navigateur web via un moteur de recherche Fiches d imposition, cartes d identité, fiches de salaire, étaient accessibles Un article détaillant la faille a été publié dans un journal papier local avant la correction de l incident Probablement une erreur humaine, la correction a nécessité quelques jours Juin 2014 Piratage du site web d une radio locale Faille de sécurité sur le site web de la radio Le hacker a modifié la première page du site 6

OpenSphere / Incidents de Sécurité / Incidents de sécurité : La Réunion 2014 Un des collaborateurs d une entreprise locale a été piégé par email OpenSphere a pu analyser cet incident L expéditeur du mail frauduleux a imité le nom et prénom du chef d entreprise, demandant à un collaborateur de : «finaliser un virement pour réaliser une OPA strictement confidentielle» Le pirate avait une grande connaissance du fonctionnement de l entreprise et de son système d information Il s agissait d un ou plusieurs agresseurs expérimentés Plusieurs machines utilisées par les pirates ont été identifiées en Lituanie, à Chypre, aux Pays-Bas, aux Etats-Unis et en Allemagne Le virement de plusieurs centaines de milliers d euros a été arrêté peu avant sa validation 7

OpenSphere / Incidents de Sécurité / Incidents de sécurité : La Réunion Un article complet sur ce type d incident a été détaillé dans le JIR Src : JIR du 18/07/2014 8

OpenSphere / Incidents de Sécurité / Mise en relation des incidents de sécurité : International / Réunion International Erreur humaine : Fiches clients sur internet (DHL) Faille de sécurité : Site web d une pizzeria piraté Faille de sécurité avancée : Piégeage via une application mobile Réunion Erreur humaine : fiches clients sur internet Faille de sécurité : Site web d une radio piraté Faille de sécurité avancée : Piégeage via un mail ciblé La Réunion n est pas épargnée par les incidents de sécurité

OpenSphere / Incidents de Sécurité / Incidents de sécurité : La Réunion Autres cas relevés localement, par OpenSphere Suite à un incident sur le serveur d un de nos clients à la Réunion, OpenSphere a réalisé un audit de la machine Découverte d un script malveillant Toutes les données du serveur étaient envoyées régulièrement vers une machine localisée au Brésil Suite à l audit des serveurs de plusieurs clients OpenSphere a découvert des programmes malveillants permettant de miner de la monnaie virtuelle (Bitcoin) Le programme utilise les ressources CPU de la machine L attaque de masse «Snake» a aussi touché la Réunion Campagne d attaque de type phishing visant principalement la France Un PDF piégé a été envoyé par mail aux personnes attaquées (extension.scr) 10

OpenSphere / Incidents de Sécurité / Incidents de sécurité : La Réunion Plusieurs sites web piratés et administrés à la Réunion ont été découverts Src : Veille Sécurité Opensphere 11

OpenSphere / Incidents de Sécurité / Incidents de sécurité : exploitation des données par les agresseurs Où sont les pirates? Plusieurs pirates informatiques ont été arrêtés à la Réunion en 2014 Ils utilisaient un logiciel spécialisé dans le piratage informatique (Black Shade) Pour les agresseurs, toutes les données ont une valeur marchande Exemples de tarifs (début 2014) Pour 4 à 8$ : un numéro de carte de crédit avec CVV Pour 20$ : environ 1000 ordinateurs infectés et contrôlés par un attaquant Pour moins de 300$ : un compte bancaire possédant entre 70 000$ et 150 000$ (Src : http://robertsiciliano.com/blog/2014/01/27/stolen-identities-are-cheap-on-the-darknet/ ) La gestion des incidents est une nécessité 12

Jean-Marc GREMY, Cissp jmgremy@cabestan-consultants.com Tous droits réservés Cabestan Consultants 2014 1

Jean-Marc GREMY, fondateur et consultant Militaire de formation (Marine Nationale) Expériences réussies comme client final : Groupe Synthélabo (Sanofi- Aventis) et Alcatel (ABS) Création et développement d entreprises dont Cyber Networks (BT Services) Vice-Président du Clusif, animateur d un Groupe de Travail Cabinet de conseil et d étude indépendant Conseil en entreprise : Gestion des risques, Dév. PSSI, Continuité... Formation/sensibilisation : CISSP en Europe, conférencier au centre de formation de l ANSSI (2010/2011) Tous droits réservés Cabestan Consultants 2014 2

Evénements ou incidents? Vos incidents et ceux des «autres» Un cas d exemple Gérer les incidents dans le contexte des environnements contraints par une réglementation : PCI-DSS Mettre en œuvre un Security Operation Center Sources et références : - Sociétés et faits cités à partir de la presse Internet française et internationale - Références faites aux sociétés et associations lors de l utilisation des leurs données ou de leurs visuels Tous droits réservés Cabestan Consultants 2014 3

4

ISO 27000 (Systèmes de management de la sécurité de l'information) Evénement lié à la sécurité de l'information occurrence identifiée de l'état d'un système, d'un service ou d'un réseau indiquant une faille possible dans la politique de sécurité de l'information ou un échec des mesures de sécurité ou encore une situation inconnue jusqu'alors et pouvant relever de la sécurité ITIL (Exploitation des Services) Evénement (de production) Changement d état significatif pour la gestion d un service informatique ou de tout autre élément de configuration. Le terme «événement» est aussi employé pour désigner une alerte ou une notification créée par un service informatique, un élément de configuration ou un outil de surveillance. Tous droits réservés Cabestan Consultants 2014 5

ISO 27000 (Systèmes de management de la sécurité de l'information) Incident lié à la sécurité de l'information un ou plusieurs événements liés à la sécurité de l'information indésirables ou inattendus présentant une probabilité forte de compromettre les opérations liées à l'activité de l'organisation et de menacer la sécurité de l'information Risque : possibilité qu'une menace exploite une vulnérabilité d'un actif ou d'un groupe d'actifs et nuise donc à l'organisation ITIL (Exploitation des Services) Incident (de production) Interruption non planifiée d un service informatique ou une réduction de la qualité d un service informatique. La défaillance d un élément de configuration qui n a pas encore eu d impact sur le service est aussi un incident. Problème : Cause d un ou de plusieurs incidents. Cette cause n est pas forcément connue au moment de l enregistrement d un problème, et le processus de Gestion des Problèmes est alors chargé des nouvelles investigations. Tous droits réservés Cabestan Consultants 2014 6

ISO 27000 (Systèmes de management de la sécurité de l'information) Gestion des incidents liés à la sécurité de l'information processus pour détecter, rapporter, apprécier, intervenir, résoudre et tirer les enseignements des incidents liés à la sécurité de l'information ITIL (Exploitation des Services) Gestion des incidents (de production) processus en charge de la gestion du cycle de vie de tous les incidents. la Gestion des Incidents s assure que l'exploitation normale des services soit rétablit le plus rapidement possible et que l impact sur le business soit réduit au minimum. Tous droits réservés Cabestan Consultants 2014 7

Préparer l organisation aux événements réagir dans un cadre connu Maitriser leurs impacts sur les opérations assurer la production «métiers» Garantir la recevabilité d une preuve dans les procédures judiciaires Améliorer la prévention des incidents sensibilisation des personnels Tous droits réservés Cabestan Consultants 2014 8

9

Tous droits réservés Cabestan Consultants 2014 10

Tous droits réservés Cabestan Consultants 2014 11 Source Clusif : Etude MIPS 2014

Source Clusif : Etude MIPS 2014 Tous droits réservés Cabestan Consultants 2014 12

Gérer les incidents dans le contexte des environnements contraints par une réglementation : PCI-DSS 13

Exigence 12.9 : Mettre en œuvre un plan de réponse aux incidents. Être prêt à réagir immédiatement à toute intrusion dans le système 12.9.1 Élaborer le plan de réponse aux incidents à mettre en place en cas d'intrusion dans le système 12.9.2 Tester le plan au moins une fois par an 12.9.3 Désigner le personnel spécifique disponible 24 heures sur 24 et sept jours sur sept pour répondre aux alertes 12.9.4 Organiser la formation appropriée du personnel en charge de la réponse aux violations de la sécurité 12.9.5 Inclure des alertes des systèmes de détection et de prévention des intrusions, et de contrôle de l intégrité des fichiers 12.9.6 Définir un processus de modification et de développement du plan de réponse aux incidents en fonction des leçons apprises, et tenir compte de l'évolution du secteur Tous droits réservés Cabestan Consultants 2014 14

Exemple d Incident de sécurité dans le cadre de PCI Détection d un équipement pirate sans fil Vol ou tentative de vol d un équipement Alerte d un équipement laissant penser qu une attaque réseau est en cours Evolution anormale de la taille des logs Evolution anormale de l utilisation de la bande passante Alerte suite à la modification non prévue d un fichier système ou de logs Tentatives de connexion refusées sur plusieurs équipements dans un laps de temps assez court Attaques DOS ou DDOS... Tous droits réservés Cabestan Consultants 2014 15

La réaction dépendra de la nature de l incident Sévérité 1 : Détection d une activité potentiellement malveillante ex. connexion non autorisé, scan de ports, détection de virus, pic inattendu d activité, authentification biométrique échouée... Sévérité 2 : Une tentative avérée d'obtenir des informations ou un accès non autorisé est détectée ex. tentative de téléchargement des fichiers de mot de passe sécurisé, tentative d'accéder aux zones restreintes, infection par un virus sur un système non-critique, analyse de vulnérabilité non autorisée ex. un deuxième incident de niveau 1 dans un intervalle de temps réduit Tous droits réservés Cabestan Consultants 2014 16

Sévérité 3 : Une tentative sérieuse ou violation possible de la sécurité ex. une attaque sur plusieurs fronts, une tentative de déni de services, une infection par un virus d'un système critique ou le réseau, une attaque de débordement de pile, l'accès non autorisé aux données ou systèmes sensibles ou critiques avec succès, une serrure rompue, vol de documents.. ex. un deuxième incident de niveau 2 Sévérité 4 : Une violation réelle de la sécurité ex. une atteinte aux données PAN/CHD est avérée, des systèmes ont été dégradés, des équipements de sécurité sont compromis... ex. une succession d incident de niveau 3 Tous droits réservés Cabestan Consultants 2014 17

18

Appréciation des risques (SI et Métiers) Prise en compte des contraintes légales Définir la politique de sécurité Concevoir les architectures de sécurité Opérateur de la sécurité Auditer et améliorer la sécurité des SI Mettre en œuvre les moyens techniques Gérer les moyens techniques Gérer la crise (dt le PCA/PRA) Observer les événements de sécurité Gérer les incidents de sécurité S.O.C Tous droits réservés Cabestan Consultants 2014 19

Exécuter Surveiller Répondre Communiquer la mise en œuvre des règles de sécurité les procédures liées à la sécurité du SI les indicateurs de sécurité les événements de sécurité aux incidents majeurs et investiguer les violations des règles SSI sur l activité des composants sur l état des menaces Participer à la Gestion de Crise Tous droits réservés Cabestan Consultants 2014 20

Mettre en œuvre les activité de gestion de la sécurité 1. mettre en production des composants de sécurité 2. appliquer les IMAC* sur les configurations et les paramètres de sécurité des composants de sécurité 3. surveiller les variables et les paramètres de sécurité des composants de sécurité 4. surveiller les variables de sécurité des composants informatiques sensibles 5. identifier et notifier les incidents de sécurité 6. confiner, résoudre et clore les incidents de sécurité 7. escalader le traitement des incidents de sécurité 8. enquêter sur les incidents de sécurité 9. proposer les améliorations SSI 10. fournir les tableaux de bord de la SSI 11. assurer les transitions de personnes au SOC * Install, Move, Add and Change des services ITIL Tous droits réservés Cabestan Consultants 2014 21

Restez à l écoute de votre environnement Anticiper les changements de situation Ne négliger pas les événements affectant votre sécurité Ne prenez pas de mauvais chemins : «Ce qui compte ne peut pas toujours être compté, et ce qui peut être compté ne compte pas forcément.» - Albert Einstein Tous droits réservés Cabestan Consultants 2014 22

8, rue Maurice Ravel 91380 Chilly-Mazarin France Cell. +33 (0) 6 60 64 59 45 jmgremy@cabestan-consultants.com If WE think technology can solve OUR security problems, then WE don't understand the problems and WE don't understand the technology - Bruce Schneier, Secrets and Lies Tous droits réservés Cabestan Consultants 2014 23

Le processus de gestion des incidents Xavier Debayle, Consultant Sécurité ( CISSP & ISO27001 Lead Implementor ) 18 Septembre 2014

OpenSphere // La gestion des incidents SOMMAIRE I. La vision normative II. III. Les étapes de la gestion des incidents I. La préparation II. La détection et le signalement III. L analyse, l endiguement, l éradication et la remise en route IV. L amélioration continue Conclusion 2

OpenSphere // La gestion des incidents Incidents... De quoi parlons-nous? Les incidents de sécurité sont classiquement... Piratage d un serveur Virus DDoS Phishing Defacement... auxquels on peut ajouter Ransomware Vol de PC portable Social Engineering Installation d un logiciel non autorisé ou l usage inapproprié de l informatique Incident concernant les habilitations Déni de service Messagerie par saturation du relais public de messagerie... 3

OpenSphere // La gestion des incidents La vision normative ISO27001 : Le SMSI Process pour atteindre et maintenir un niveau de sécurité La norme dit qu il faut gérer les incidents mais rester évasif sur la manière ISO27001:2005 : 4.4.2 - Mise en œuvre et fonctionnement du SMSI «L organisme doit mettre en œuvre les procédures et les autres mesures permettant de détecter rapidement et de répondre tout aussi rapidement aux incidents de sécurité» ISO27002 : Les mesures de sécurité ISO27002:2013 recommande dans le chapitre 16 la mise en place de mesures de sécurité spécifiquement pour le traitement des incidents de sécurité 4

OpenSphere // La gestion des incidents La vision normative ISO27035:2011 : Norme spécifique pour la gestion des incidents Anciennement ISO18044:2004 Volumineux : 80 pages Document en cours de révision (sortie prévue en 2016) Séparation en 3 parties : ISO27035-1:2016 Les principes du management des incidents ISO27035-2:2016 Guide pour prévoir et se préparer à la réponse à incidents ISO27035-3:2016 Guide pour la gestion des CSIRT (CERT) ITIL version 2011 La gestion des incidents fait partie du chapitre «Service Support» CobiT La gestion des incidents fait partie du chapitre «Livraison et Support» Mais aussi dans CMMI et beaucoup d autres... 5

OpenSphere // La gestion des incidents La préparation AVANT l incident 6

OpenSphere // La gestion des incidents Avant l incident / Employés Préparer les employés Les employés doivent être sensibilisés à signaler toute anomalie Ils doivent être formés à retenir et notifier : L heure exacte de l évènement Observations/Conditions : noter un maximum d informations Contacts internes/externes si besoin ISO27002:2005: 13.1.1 - Signalement des évènements liés à la sécurité de l info - Création d une procédure formelle de signalement - Un contact doit être connu de tous - Le signalement doit être une obligation pour tous (employés, sous-traitants...) ISO27002:2005 : 13.1.2 - Signalement des failles de sécurité - Attention, il ne faut pas tenter d apporter la preuve de la faille! 7

OpenSphere // La gestion des incidents Avant l incident / Cellule de crise Préparer la cellule de crise Chaque personne de la cellule doit connaître : Les procédures La stratégie de l entreprise (couper vs. laisser un service piraté) Le SI pour évaluer les impacts / les effets de bord / les faux-positifs Les contacts spécifiques (experts judiciaire, sous-traitants, sites d alertes...) Préparer les procédures de réponse à incident Priorisez les procédures en fonction : Des incidents classiques dans une entreprise lambda Des vulnérabilités connues dans l entreprise suite à une analyse de risque De l historique des précédents incidents dans l entreprise ISO27002:2005 : 13.2.1 - Responsabilités et procédures - L objectif est d avoir une réponse rapide et efficace en cas d incident - Les procédures doivent inclure une identification de la cause de l incident - Les procédures peuvent prévoir un signalement à l autorité compétente 8

OpenSphere // La gestion des incidents Avant l incident / La technique Systèmes de surveillance En fonction des moyens et des compétences dans l entreprise : NIDS HIDS Checksum scanner SIEM (ex. HPArcSight, Splunk, Symantec Security Information Manager...) Systèmes d alertes classiques (ex. alarmes, vidéo-surveillance...)... Outils d investigation En fonction des moyens et des compétences dans l entreprise : Logs centralisés Outils pour faire des images bits à bits Outils d investigation forensics... 9

OpenSphere // La gestion des incidents La détection et le signalement 10

OpenSphere // La gestion des incidents La détection et le signalement Les canaux d alerte Les employés Selon la culture d entreprise, la remontée d informations peut se faire via : Email à la hiérarchique ou à l informatique Un formulaire sur l intranet Un ticket d intervention au helpdesk Oralement / par téléphone (Préférez les moyens de communication qui laissent une trace) Automatique Alert Messaging : Lecture des logs / Tableau de bord (via le format IDMEF) Email / SMS La veille technologique Article dans la presse / CVE 11

OpenSphere // La gestion des incidents Difficulté de détection 12

OpenSphere // La gestion des incidents L analyse et les actions 13

OpenSphere // La gestion des incidents Analyse par la cellule de crise La Cellule doit : Confirmer l incident (exclusion des faux-positifs) (ex. le site ne marche pas) Identifier la nature de l incident (est-ce un piratage, un plantage, un DDoS?) Evaluer l étendue de l incident (combien de serveurs sont plantés, piratés?) Informer le management (faut-il l impliquer?...) Communiquer auprès des personnes impactées Créer un plan de lutte en adaptant la procédure en fonction des spécificités de l incident 14

OpenSphere // La gestion des incidents Action / Endiguement de l incident L endiguement consiste à : Isoler l incident : Ex. Couper un flux sur le firewall, déconnecter un poste infecté Récolter les preuves... Eventuellement recevables devant un tribunal? Admissibilité (audit trail / la preuve de la preuve) Valeur probante ISO27002:2005 : 13.2.3 - Collecte de preuves - Nécessite des compétences pointues s il y a volonté d aller en justice... Et à cette étape d analyse, rien n est sûr. Tracer minutieusement toutes les actions réalisées afin : de permettre une remise en fonctionnement rapide d isoler les modifications dues à l incident des modifications d endiguement Mieux cerner l incident (périmètre, causes, conséquences...) et ajuster l éradication 15

OpenSphere // La gestion des incidents Action / Eradication L éradication consiste à Nettoyer les conséquences de l incident : Ex. Supprimer le virus Ex. Supprimer le compte administrateur du pirate Trouver le «fait générateur» (les causes profondes) de l incident Difficile! Nécessite souvent une analyse post-mortem (forensics) Pas toujours intuitif et pourtant INDISPENSABLE pour éviter toute récidive Patcher/Supprimer le vecteur d incident 16

OpenSphere // La gestion des incidents Action / Remise en route Pour la remise en route du service, il convient de : S assurer que : tout fonctionne correctement (pages, flux, services)...... de façon sécurisée => 2 étapes importantes lorsque l on restore une vieille sauvegarde Rester très vigilant car si l attaque était ciblée, l attaquant peut tenter de revenir à la charge : Même attaque lorsque le déploiement prend du temps Autre attaque 17

OpenSphere // La gestion des incidents L amélioration continue 18

OpenSphere // La gestion des incidents Amélioration de la réponse 1/ Améliorer le service touché par l incident L incident était-il prévisible? Evitable? Faut-il mettre en place une mesure pour ne plus que ça se reproduise? 2/ Améliorer la réponse à incident Comment améliorer l efficacité de la cellule de crise? Faut-il mettre à jour les procédures? Qu est-ce qui n a pas bien marché? 3/ Analyse de haut niveau sur l ensemble des incidents ISO27002:2005 : 13.2.2 - Exploitation des incidents déjà survenus - L objectif est de surveiller les différents types d incidents en termes de volume et de coûts associés - Un réexamen des incidents à posteriori peut faire apparaître la nécessité d améliorer les mesures existantes 19

OpenSphere // La gestion des incidents Planifier, Déployer, Contrôler, Ajuster Préparer Outils Procédures Contacts Améliorer Analyse critique Ajustements Détecter Humaine Automatique Agir Endiguement Eradication Remise en route Analyser Identification Communication Planification 20

OpenSphere // La gestion des incidents Conclusion La gestion des incidents, c est comme la cuisine : C est une question de dosage : Il faut avoir du flaire pour anticiper les incidents et prévoir une réponse adéquate Parfois, ça rate : On réagit mal à un incident... Mais il faut apprendre de ses erreurs... Subir des incidents est normal...... mais ne pas savoir réagir correctement est une faute 21

OpenSphere // La gestion des incidents Comment OpenSphere peut vous accompagner Préparation à la gestion des incidents Aide à la préparation à la gestion des incidents : Anticiper les incidents à venir Rédaction des procédures Formation de la cellule de veille Mise en place des canaux de remontés d alerte pour les employés Installation des systèmes d alerte (ex. NIDS) La coordination de la réponse à incident fait partie du rôle du RSSI par délégation Surveillance du Système d Information grâce à l offre SECaaS Après un incident OpenSphere peut réaliser de l investigation forensics afin de : Comprendre la véritable nature d un incident (me suis-je fait pirater?) Mettre en place les contre-mesures Faire le bilan d un incident 22

OpenSphere // La gestion des incidents Avez-vous des questions? 23

VOS CONTACTS : Stéphane JAILLET Willy ROBERT Xavier DEBAYLE Jean-Nicolas GEREONE GSM : +262 (0) 692 697 697 TEL : +262 (0) 262 525 727 OPENSPHERE RÉUNION IMMEUBLE ALTÉA - 41, RUE DE LA PÉPINIÈRE 97438 STE MARIE