Lundi 9h du matin, les bureaux de la DSI/RSSI sont pris d’assaut par une poignée de VIP, de secrétaires alarmées et vous croisez le responsable des postes de travail : livide. La semaine commence bien : postes verrouillés par des ransomwares, console de gestion des antivirus écarlate, et trafic sortant qui a explosé tout le weekend.

Comme l’énonce si bien le sacro-saint Guide : Pas de Panique !

Qu’il s’agisse d’une « simple » attaque virale à l’aveugle, de worms, d’une poignée de trojans ou d’une APT (Advanced Persistent Threat) généralement ciblée, l’heure n’est pas à la contre-attaque brutale consistant à jeter le bébé avec l’eau du bain et oublier les principes de bon sens dans la gestion des incidents de production; mais de s’organiser en conséquence pour comprendre, qualifier, agir, et communiquer convenablement afin de pouvoir finir la semaine avec sérénité, et sans ulcère.

1ère étape : organisation d’une work/task-force

L’organisation expresse d’une équipe de travail multi compétences est primordiale : serveurs, middleware, réseau, sécurité, applications… L’analyse et la collecte d’information vont demander une charge de travail conséquente, même en cas d’outillage de gestion de journaux modernes (ou alors vous avez un SIEM (Security Information and Event Management) miraculeux, ou avez passé du temps à «customiser » votre solution jusqu’à la transformer en Skynet miniature). Il faut donc que des gens compétents prennent du temps pour travailler sur le sujet, une simple lecture de logs en diagonale entre deux mails ne suffira généralement jamais à isoler le problème.

N’hésitez surtout pas à prendre les rennes et à planifier des points réguliers avec les différents experts de chaque équipe : les ingénieurs en charge vont déjà devoir abattre une énorme quantité de travail pour corréler les évènements passés et présents entre plusieurs domaines. Ils vont donc avoir besoin de temps et d’espace sans être conviés en salle de crise toutes les 15 minutes par des décideurs stressés, stressants, et généralement peu compréhensifs.

2e étape : le tour des outils disponibles, et le plan d’action initial

Avant de solliciter un constructeur X ou Y qui promet monts et merveilles dans la détection / remédiation / magie noire pour tout ce qui est APT, zero-day, virus et autres malwares, il est utile de faire un inventaire de ce qui est déjà disponible, mais pas forcément activé : IPS en mode détection (ou pas en coupure), anti-virus de poste disposant d’un module HIPS non activé, pare-feu « Next Gen » sans politique de détection applicative ou analyse de vulnérabilités en mode bloquant, pare-feu désactivés sur les serveurs, etc.

Beaucoup d’entreprises disposent déjà de briques de sécurité efficaces, souvent sous-exploitées, voire pas du tout. C’est le moment d’en faire bon usage ! Une rapide analyse par chaque équipe ou expert dans sa catégorie (réseau, sécurité, applicatifs, middleware…) vous donnera une meilleure vue des outils disponibles, et permettra de mieux connaitre les options, donc de mieux coordonner les actions à suivre.

Une liste de mesures, indicateurs, ou autres métriques doit pouvoir être mise en place afin de catégoriser l’attaque et sa dangerosité, puis permettre de tenir un journal de bord sur l’état de l’infection, de la remédiation, et donner suffisamment d’informations pour communiquer correctement et agir comme il se doit.

Postes, serveurs, appliances touchées, versions d’OS vulnérables, versions de produits vulnérables, une cartographie des conditions d’infection et de propagation des malwares sera indispensable.

L’habituel « contenir, isoler, traiter » en réponse aux attaques virales peut et doit être complété : il faut absolument aller au-delà, car les menaces ne sont plus de stupides worms affichant des messages amusants ou des virus qui « cassent tout » bêtement.

Nous sommes dans l’ère de l’APT, des AET (Advanced Evasive Techniques), du chiffrement quasi systématique des flux de malwares, des backdoors industrialisées, et des botnets morts-vivants censés être hors services mais pourtant toujours virulents. Le vol d’informations confidentielles financières ou juridiques, de propriétés intellectuelles (formules de produits, code source…) est devenu monnaie courante.

3e étape : la remédiation

La remédiation ne se fera pas forcément en « one-shot » à la fin de l’analyse, et sera plutôt un processus continuel durant la gestion de crise : beaucoup de malwares une fois en place changent de vecteur de propagation, de méthode de callback, afin d’éviter les blocages « simples » (blacklist d’IP ou de domaine des serveurs de Command/Control, bloquage de ports TCP/UDP en sortie, filtrage au niveau du proxy Web, etc.).

En effet, si les rapports réguliers remontent que les hackers utilisent exclusivement un exploit-kit de type Blackhole, ne partez surtout pas gagnant en activant les signatures IPS ou applicatives connues pour cet exploit-kit seulement : restez vigilant ! Il serait dommage que les attaquants soient un peu malins et changent de méthode et de kit… et que vous vous retrouviez à la case départ une semaine plus tard, à devoir éradiquer Yang Pack, Neutrino, ou encore White Lotus pendant que le ou les attaquants ricanent très loin en voyant des machines leur échapper, puis retomber entre leurs mains.

De fait, ne partez pas du principe que les menaces sont automatisées et qu’aucune intelligence ne se cache derrière une attaque de malware : ce n’est pas parce que votre entreprise ne renferme pas de secret d’état ou la formule du prochain shampooing antipelliculaire révolutionnaire que vous n’êtes pas une cible privilégiée ! Votre réseau, vos postes de travail, vos serveurs ont de la valeur, et sont autant de cibles utiles et réutilisables pour nombre d’attaques DDOS, de campagnes de spam, minage de crypto-monnaies, et autres activités rémunératrices pour les attaquants…

4e étape : faites entrer l’accusé !… Alors oui, mais non

Que ce soit la recherche du patient zéro, quel décisionnaire a imposé une modification de la PSSI, qui a effectué une modification des règles ou de l’architecture sécurité, oublié de paramétrer la mise à jour des bases de signature antivirales, ou tout simplement de placer l’IPS comme il faut (voire de tout bêtement l’activer), la recherche de la cause première de l’incident ne doit pas servir à trouver un coupable, mais à trouver une solution pérenne et durable au dysfonctionnement.

Processus mal documenté, mal ou non validé, revue de configuration bâclée ou encore contournement d’un processus en place par ignorance ou de façon volontaire : tout doit être fait pour que cet incident-là ne se reproduise plus ! Ne pas oublier de documenter et de bien mettre à jour la base documentaire de l’entreprise notamment.

5e étape : plan de communication

C’est souvent le parent pauvre des incidents de sécurité : ne pas hésiter à communiquer. Envers les utilisateurs, les clients, et les partenaires. Rien de pire que la rumeur pour ternir une réputation durement et longuement construite ! Le bouche à oreille fonctionne extrêmement bien en entreprise, il convient donc de ne pas laisser les utilisateurs dans le flou au milieu des rumeurs de malwares, trojans, et autres joyeusetés des « pirates des Internets », sources intarissables de fantasmes paranoïaques pour beaucoup d’utilisateurs non techniques.

De même envers partenaires et clients, ne pas hésiter à communiquer : une équipe IT prévenue sera plus vigilante, et plus à même d’empêcher ou interrompre la diffusion d’un malware.

Bref, gardez votre calme, ne vous laissez pas aveugler par l’urgence et agissez de façon méthodique pour arriver à des résultats concrets et viables sur le long terme.

 

=========
Bruno Chéry est consultant Sécurité Réseaux, Nomios