Tech Days 2013 – Lutter contre les attaques ciblées avec quelques mesures simples et efficaces

Très bonne session générale sur la sécurité : plus de la méthodologie que de la technique, mais des solutions pleines de bon sens, comme le titre le laissait penser.

L’ISO 27034 est une évolution depuis le SDL, méthodologie Microsoft de gestion de la sécurité.

Recommandation de forte isolation entre les différents modules du SI, pour éviter le mode oeuf, avec une sécurité périmetrique forte mais rien une fois cette barrière passée. Donc, créer des réseaux virtuels étanches, etc.

Autre recommandation, cette fois-ci sur les personnes en charge de la sécurité : séparation des rôles administrateurs et auditeurs, et rotation des rôles sur plusieurs personnes, de façon qu’un administrateur menacé ne puisse pas couvrir ses actes pendant des années.

Attention à ne pas avoir un administrateur local avec le même mot de passe sur toutes les machines, souvent créées d’après une image. Ca peut valoir le coup de désactiver carrément cet utilisateur. Attention aussi aux utilisateurs des services Windows avec trop de droits : il est possible de faire un dump du mot de passe de démarrage des services.

Il y a aussi l’attaque Pass The Hash, dont on a déjà parlé dans cette session, dans laquelle on utilise un dump du condensat obtenu si l’administrateur se logue sur une machine compromise. Windows Credential Editor permet de mettre en oeuvre ce genre d’attaque de manière très simple. Voir http://aka.ms/PtH pour plus de détails.

Se méfier de la propagation du malware dans les cas où l’anti malware ne voit pas ceux compilés sur mesure pour le PC compromis.

Approches court terme : protection – détection – confinement – réaction – récupération

Trois urgences, en cas d’infection :

  • MAJ de tous les logiciels, de manière rapide (30 j)
  • Moindre privilège, et moins d’administrateurs (dans l’idéal, deux seulement), formés à ne faire que de la vraie admin avec ce user, et à ne surtout pas l’utiliser pour les activités courantes. Pour réduire les problèmes liés aux admins (dans l’ordre de paranoïa Sourire) :
    • Utiliser des comptes de service gérés, sans mot de passe.
    • Scrambler ou désactiver l’admin local.
    • Administrateur du domaine jamais connecté à une machine autre que l’AD (peut être forcé par policy).
    • Forêt AD à part pour les admins, qui bossent ensuite en IPSec.
    • Bloquer les accès distants par l’admin local.
    • Bloquer les accès de machines utilisateur à machines utilisateurs par défaut (pour limiter la propagation).
  • Liste blanches d’applications, avec AppLocker

Et les actions supplémentaires :

  • Surveiller l’antivirus, en détectant les machines sur lesquelles il a été désactivé.
  • Bloquer les accès d’une machine au niveau réseau.
  • Sauvegarde distante, et hors ligne pour que personne, même un administrateur, ne puisse les détruire.
  • Security Compliance Manager.
  • Contrôler les disques amovibles.
  • Déployer des leurres pour détection.
  • Et certainement un des conseils les plus censés : avant de se ruer sur les dernières appliances de sécurité, utiliser déjà tous les outils à disposition, et ils sont extrêmement nombreux sous Windows, la grande majorité des entreprises n’utilisant que 10% des méthodes de sécurisation que Windows permet.

Méthodologie ADSAR publiée par Microsoft pour la gestion des attaques.

La session étant très riche, je vous encourage fortement à la regarder en entier lorsque les webcasts seront sortis, car il y a plein de choses que je n’ai pas eu le temps de noter.

About JP Gouigoux

Jean-Philippe Gouigoux est Architecte Logiciel, MVP Connected Systems Developer. Il intervient régulièrement à l'Université de Bretagne Sud ainsi qu'à l'Agile Tour. Plus de détails sur la page "Curriculum Vitae" de ce blog.
This entry was posted in Retours and tagged . Bookmark the permalink.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Captcha Captcha Reload