On a volé les clefs de mon SI !
 

On a volé les clefs de mon SI !

on

  • 5,053 views

Nous vous présenterons le travail mené ces dernières années sur les crises de sécurité, plus particulièrement sur le cœur de la sécurité et de l’identité : Active Directory Lors de cette ...

Nous vous présenterons le travail mené ces dernières années sur les crises de sécurité, plus particulièrement sur le cœur de la sécurité et de l’identité : Active Directory Lors de cette session, nous discuterons : - Des constats par rapport au contexte actuel ; - Des scénarios de remédiation Active Directory et de ce qu’ils impliquent pour votre organisation - Des approches proactives à appliquer pour minimiser le risque de compromission - Des solutions que Microsoft peut vous apporter pour vous protéger Cette session aborde les points techniques de la remédiation tout en restant accessible par un public non spécialisé.

Speakers : Didier Pilon (Microsoft France), Florent Reynal de Saint Michel (Microsoft France), Mohammed Bakkali (Microsoft France)

Statistics

Views

Total Views
5,053
Views on SlideShare
5,053
Embed Views
0

Actions

Likes
0
Downloads
68
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

On a volé les clefs de mon SI ! On a volé les clefs de mon SI ! Presentation Transcript

  • On a volé les clefs de mon SI ! Crises de sécurité Florent REYNAL DE SAINT MICHEL Florent.Reynal@microsoft.com Senior Consultant Mohammed BAKKALI Mohammed.Bakkali@microsoft.com Senior Consultant Didier PILON Didier.Pilon@Microsoft.com Principal PFE PMC (Premier Mission Critical) Entreprise / IT / Serveurs / Réseaux / Sécurité
  • Objectifs  Partager les retours d’expériences relatifs aux crises de sécurité  Présenter les méthodologies de remédiation éprouvées  Mettre en place des solutions proactives
  • AGENDA Paysage actuel de la cybercriminalité La remédiation dans la crise de sécurité Solutions Proactives de Microsoft
  • PAYSAGE ACTUEL DE LA CYBER SÉCURITÉ
  • A chaque connexion Internet Vous avez un accès instantané à … Y compris… Toute personne dans le monde… Mouvements idéologiques Etats Crime organisé N’importe où...
  • Les menaces sont nombreuses, changeantes… The virus erased data on three-quarters of Aramco’s corporate PCs — documents, spreadsheets, e-mails, files — replacing all of it with an image of a burning American flag.
  • Changement de la stratégie de sécurité D’une sécurité périmétrique A une sécurité en profondeur
  • Forte Tension Liée Aux Nouveaux Besoins Technologie innovation et les exigences en Entre l’innovation correctement conçue cyber sécurité Peut aider le business à aller vers la réussite Innovation Business
  • La tendance • Attaquants • • • • Emergence d’adversaires déterminés et organisés Les outils et automatismes d’attaques ont drastiquement progressés Industrialisation des attaques Les organisations, personnels et données sont précisément ciblés (prise de contrôles, exfiltration de données…) • Défenseurs • Environnements non protégés par défaut contre les vols d’identifiants. • Les mécanismes de défense traitent toutes les ressources à l’identique • Les craintes concernant l’image et la réputation freinent la collaboration et le partage de connaissance
  • L’attaque Pass the Hash Power: Contrôleur de domaine 1. L’attaquant adresse un grand nombre de postes 2. Un utilisateur admin de sa machine est compromis. Vol des hashscredentials Data: Serveurs et applications Access: Utilisateurs et postes de travail 3. L’attaquant utilise ces identifiants pour se déplacer latéralement ou augmenter ses privilèges 4. L’attaquant récupère un compte administrateur du domaine 5. L’attaquant accède à tous les systèmes et toutes les données
  • Intrusion typique Constats Principales causes La compromission date d’un an ou plus Mises à jour de sécurité non appliquées pour tous les logiciels Découverte par hasard ou par notification externe Le DRP traditionnel n’est pas adapté (incapacité à identifier une sauvegarde opérationnelle antérieure à l’intrusion) Difficulté à gérer la confidentialité de la situation Mauvaises pratiques:  Utilisation/droits des comptes (forts privilèges, service, locaux, moindres privilèges, ...)  Pas de segmentation réseau  Processus d’administration  Non mise en place de l’audit/traçabilité  Non separation et rotation des rôles  Mot de passe du compte administrateur local Non gestion de l’obsolescence des systèmes et des applications (rappel: fin de vie de Windows XP (avril 2014)
  • Remédiation ALLO DIDIER!!!!!!!!!!!
  • LA REMEDIATION DANS LA CRISE DE SÉCURITÉ
  • Périmètre Configuration des services Serveurs de messagerie Intégrité des données Serveurs infrastructure - serverus Antivirus - Servers de sauvegarde - Surveillance (SCOM) - SCCM - Serveurs de fichiers - Serveurs d impression - ... Intégrité des binaires Boites aux lettres Mai lbox Comptes VIP Comptes utilisateur User Postes Administration User User Sauvegardes Fichi ers et do ssi ers User Comptes de service Comptes Admin User Co mputer Co mputer User User Co mputer Relations D approbation ACTIVE DIRECTORY Comptes machines Certifi cate Masters & packages User User User PKI User User Comptes serveur Files & fol ders - Controlleur de domaine - Serveur(s) - Poste(s) de travail Matériels & Virtualisation Organizati on Bases de données Co mputer Co mputer Co mputer Postes Utilisateur Serveurs d application Equipements réseau Postes VIP Co mputer Co mputer Co mputer Co mputer Co mputer Co mputer ?
  • Les Best Practices • Best Practices for Securing Active Directory http://www.microsoft.com/enus/download/details.aspx?id=38785&WT.mc_id=rss_alldownloads_all • Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft Techniques http://download.microsoft.com/download/7/7/A/77ABC5BD-8320-41AF-863C6ECFB10CB4B9/Mitigating%20Pass-theHash%20(PtH)%20Attacks%20and%20Other%20Credential%20Theft%20Techniques_English.pdf
  • Action de remédiation • Sécuriser l’Active Directory – Les scénarios Scénarios Complexité/Coût Sécurité Reconstruction from scratch +++ +++ Remédiation “offline” ++ ++ Remédiation “online” + + – Les points à prendre en compte • Durée de l’Interruption de service • Les serveurs applicatifs
  • Actions de remédiation • Sécuriser l’Active Directory – Cinématique de la remédiation “offline” 1. PROD-DC du domaine1 CorpNet PROD-DC du domaine2 PivotOutNet Firewall ... 3. (J) Réplication vers DC-PIVOT-IN Arrêt de la production 5. Un DC-PIVOT-OUT par domaine (X) IsolatedNet Actions “forensics” sur les DCPIVOT-IN 4. 1 poste d adminstration par domaine (X) (J-7) Promotion des DC-PIVOT-IN 2. Un PROD-DC simulé par domaine (X) Actions “forensics” sur les DCPIVOT-IN Actions de remediation + hardening DNS-SERVER 6. PivotInNet 7. 8. PROD-DC du domaineX Un DC-PIVOT-IN par domaine (X) Serveurs SPARE (X) 2 stations Legacy par domaine (2X) Pivot DMZ Promotion des DC-PIVOT-OUT Tests 9. Promotion des DC de production
  • SOLUTIONS PROACTIVES Apports de Microsoft Services
  • Les principes de bases Partez du principe que vous êtes la cible Minimisez les risques d’intrusion initiale Minimisez les conséquences d’une intrusion Protégez ce qui a de la valeur (données, applications) Supervisez La technique n’est pas la panacée. Vérifiez vos processus de conformité et de contrôle • Adaptez votre effort en fonction de ce que vous protégez • Vous n’êtes pas attaqué ? Cherchez mieux ! • • • • • •
  • Protégez vos identifiants 2. Ré-utilisation des 1. Vol d’identifiants S’assurer que les comptes privilégiés ne sont pas exposés au vol 1. Réduire l’exposition Hauts privilèges ou valeur identifiants Réduire le périmètre d’action des comptes exposés aux risques (internet) 2. Réduire l’usage Grande exposition / Risque
  • Réduction des vols d’identifiants Logon Contrôleurs de domaines Logon Power: 1. Elévation de privilège (Partitionnement) 2. Déplacement latéral – Comptes locaux 3. Déplacement latéral – Comptes de domaine 4. Risques liés aux applications et systèmes Data: Serveurs et Applications Access: Utilisateurs et poste de travail Garder à l’esprit que l’attaquant peut toujours cibler des ordinateurs ou utilisateurs unitairement. Cependant ces mitigations rendront beaucoup plus dur de:  Voler des identifiants à haut privilège  Utiliser les identifiants volés
  • Vue d’architecture Forêt d’administration Enhanced Security Admin Environment (ESAE) Domaines de Production Alerte de sécurité Domaines et Forêt Comptes et ordinateurs sécurisés Serveurs et Systèmes Management Sécurisation des Applications & Services Mitigations des déplacements latéraux App et Données Helpdesk et Stations Assistance utilisateur et Support Privileged Account Workstation Administration des Serveurs, du Cloud, et des applications Gestion dynamique des accès
  • L’accompagnement Microsoft Services Offres Différentes offres de protection, de l’infrastructure à la donnée en passant par l’applicatif. Un exemple d’offre unifiée et intégrée : ADSG. ADSG Portefeuille de sous-offres ADSAR ESAE ADMAR
  • L’accompagnement Microsoft Services Trois exemples d’excellence française ADSAR ESAE Réaliser un audit 3 vues technique / processus / architecture donnant un état des lieux de votre AD Mettre en place une forêt d’administration Protéger l’administrateur dans un bunker ADMAR Phase 1 Etablissement et sauvegarde d’un référentiel des paramètres de sécurité de l’environnement Phase 2 Vérification à tout moment des déviations par rapport au référentiel en production Phase 3 Simulation d’une cyber attaque en lab et documentation détaillée du plan de recouvrement step by step
  • Donnez votre avis ! Depuis votre smartphone sur : http://notes.mstechdays.fr De nombreux lots à gagner toute les heures !!! Claviers, souris et jeux Microsoft… Merci de nous aider à améliorer les Techdays !