Upload
microsoft-technet-france
View
5.144
Download
1
Embed Size (px)
DESCRIPTION
Nous vous présenterons le travail mené ces dernières années sur les crises de sécurité, plus particulièrement sur le cœur de la sécurité et de l’identité : Active Directory Lors de cette session, nous discuterons : - Des constats par rapport au contexte actuel ; - Des scénarios de remédiation Active Directory et de ce qu’ils impliquent pour votre organisation - Des approches proactives à appliquer pour minimiser le risque de compromission - Des solutions que Microsoft peut vous apporter pour vous protéger Cette session aborde les points techniques de la remédiation tout en restant accessible par un public non spécialisé. Speakers : Didier Pilon (Microsoft France), Florent Reynal de Saint Michel (Microsoft France), Mohammed Bakkali (Microsoft France)
Citation preview
Entreprise / IT / Serveurs / Réseaux / Sécurité
On a volé les clefs de mon SI !
Crises de sécuritéFlorent REYNAL DE SAINT [email protected]
Senior Consultant
Mohammed [email protected]
Senior Consultant
Didier [email protected]
Principal PFE PMC (Premier Mission Critical)
Partager les retours d’expériences relatifs aux crises de sécurité
Présenter les méthodologies de remédiation éprouvées
Mettre en place des solutions proactives
Objectifs
AGENDA
La remédiation dans la crise de sécurité
Solutions Proactives de Microsoft
Paysage actuel de la cybercriminalité
PAYSAGE ACTUEL DE LA CYBER SÉCURITÉ
N’importe où...
A chaque connexion Internet
Y compris…Toute personne dans le monde…
Vous avez un accès instantané à …
Mouvements idéologiques
Crime organisé
Etats
Les menaces sont nombreuses, changeantes…
The virus erased data on three-quarters of Aramco’s corporate PCs — documents, spreadsheets, e-mails, files — replacing all of it with an image of a burning
American flag.
Changement de la stratégie de sécurité
D’une sécurité périmétrique
A une sécurité en profondeur
Security Strategy
Forte Tension Liée Aux Nouveaux Besoins Entre l’innovation innovation et les exigences en cyber sécurité
Innovation Business
Cloud Big Data
SocialMobile
Exigences en Cyber Security
Gestion de l’identité Gestion des configurations
Gestion des menaces Réponses fortes
Technologie correctement conçuePeut aider le business à aller vers la réussite
• Attaquants• Emergence d’adversaires déterminés et organisés • Les outils et automatismes d’attaques ont drastiquement progressés• Industrialisation des attaques• Les organisations, personnels et données sont précisément ciblés
(prise de contrôles, exfiltration de données…)
• Défenseurs• Environnements non protégés par défaut contre les vols d’identifiants. • Les mécanismes de défense traitent toutes les ressources à
l’identique• Les craintes concernant l’image et la réputation freinent la
collaboration et le partage de connaissance
La tendance
Access: Utilisateurs et postes de travail
Power: Contrôleur de domaine
Data: Serveurs et applications
L’attaque Pass the Hash
1. L’attaquant adresse un grand nombre de postes 2. Un utilisateur admin de sa machine est compromis. Vol des hashscredentials
3. L’attaquant utilise ces identifiants pour se déplacer latéralement ou augmenter ses privilèges
4. L’attaquant récupère un compte administrateur du domaine
5. L’attaquant accède à tous les systèmes et toutes les données
Intrusion typiqueConstats
La compromission date d’un an ou plus
Découverte par hasard ou par notification externe
Le DRP traditionnel n’est pas adapté (incapacité à identifier une sauvegarde opérationnelle antérieure à l’intrusion)
Difficulté à gérer la confidentialité de la situation
Principales causes
Mises à jour de sécurité non appliquées pour tous les logiciels
Mauvaises pratiques: Utilisation/droits des comptes (forts
privilèges, service, locaux, moindres privilèges, ...)
Pas de segmentation réseau Processus d’administration Non mise en place de l’audit/traçabilité Non separation et rotation des rôles Mot de passe du compte
administrateur local
Non gestion de l’obsolescence des systèmes et des applications (rappel: fin de vie de Windows XP (avril 2014)
Remédiation
Restaurer la confiance dans le SI
Réhausser le niveau de sécurité
Être toujours en alerte!!!
Identifier les processus à améliorer
ALLO DIDIER!!!!!!!!!!!
LA REMEDIATION DANS LA CRISE DE SÉCURITÉ
ACTIVE DIRECTORY
Computer Computer
Computer
Postes VIP
Computer Computer
Computer
Postes Utilisateur
Computer Computer
Computer
PostesAdministration
User User
User
Comptesutilisateur
Serveurs de messagerie
User User
User
Comptes Admin
User User
User
Comptes VIP
User User
User
Comptes de service
Comptes serveur
RelationsD#approbation
Organization
Serveurs d#application
Equipements réseau
?
Boites aux lettres
Mailbox
SauvegardesFichiers et dossiers
Masters & packages- Controlleur de domaine- Serveur(s)- Poste(s) de travail
Files & folders
Intégrité des données
Certificate
PKI
Bases de données
Configuration des services
Intégrité des binaires
Matériels& Virtualisation
Comptesmachines
ComputerComputer
Computer
Serveurs infrastructure - serverus Antivirus - Servers de sauvegarde - Surveillance (SCOM) - SCCM - Serveurs de fichiers - Serveurs d#impression - ...
Périmètre
Les Best Practices
• Best Practices for Securing Active Directoryhttp://www.microsoft.com/en-us/download/details.aspx?id=38785&WT.mc_id=rss_alldownloads_all
• Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft Techniqueshttp://download.microsoft.com/download/7/7/A/77ABC5BD-8320-41AF-863C-6ECFB10CB4B9/Mitigating%20Pass-the-Hash%20(PtH)%20Attacks%20and%20Other%20Credential%20Theft%20Techniques_English.pdf
• Sécuriser l’Active Directory– Les scénarios
– Les points à prendre en compte• Durée de l’Interruption de service• Les serveurs applicatifs
Action de remédiation
Scénarios Complexité/Coût
Sécurité
Reconstruction from scratch
+++ +++
Remédiation “offline” ++ ++
Remédiation “online” + +
Actions de remédiation• Sécuriser l’Active Directory – Cinématique de la remédiation “offline”
PivotOutN
et
DNS-SERVER
CorpNet
PROD-DC du domaine1
PROD-DC du domaine2
PROD-DC du domaineX
PivotInNet
:...
1 poste d;adminstration par domaine (X)
2 stations <Legacy?par domaine (2X)
Un DC-PIVOT-OUTpar domaine (X)
Un DC-PIVOT-INpar domaine (X)
IsolatedNet
Firewall
Un PROD-DC simulépar domaine (X)
Pivot DMZ
Serveurs SPARE (X)
1. (J-7) Promotion des DC-PIVOT-IN
2. Actions “forensics” sur les DC-PIVOT-IN
3. (J) Réplication vers DC-PIVOT-IN
5. Actions “forensics” sur les DC-PIVOT-IN
6. Actions de remediation + hardening
7. Promotion des DC-PIVOT-OUT
8. Tests
9. Promotion des DC de production
4. Arrêt de la production
SOLUTIONS PROACTIVES
Apports de Microsoft Services
• Partez du principe que vous êtes la cible• Minimisez les risques d’intrusion initiale• Minimisez les conséquences d’une intrusion• Protégez ce qui a de la valeur (données, applications)• Supervisez• La technique n’est pas la panacée. Vérifiez vos
processus de conformité et de contrôle• Adaptez votre effort en fonction de ce que vous
protégez• Vous n’êtes pas attaqué ? Cherchez mieux !
Les principes de bases
Protégez vos identifiants1. Vol d’identifiants
S’assurer que les comptes privilégiés ne sont pas exposés au vol
2. Ré-utilisation des identifiants
Réduire le périmètre d’action des comptes exposés aux risques (internet)
1. Réduire l’exposition
2. Réduire l’usage
Grande exposition / RisqueHauts privilèges ou valeur
Réduction des vols d’identifiants
Access: Utilisateurs et poste de travail
Power: Contrôleurs de domaines
Data: Serveurs etApplications
1. Elévation de privilège (Partitionnement)2. Déplacement latéral – Comptes locaux3. Déplacement latéral – Comptes de domaine
Garder à l’esprit que l’attaquant peut toujours cibler des ordinateurs ou utilisateurs unitairement. Cependant ces mitigations rendront beaucoup plus dur de:
Voler des identifiants à haut privilège Utiliser les identifiants volés
Logon
Logon
Logon
4. Risques liés aux applications et systèmes
Vue d’architecture Forêt d’administration
Enhanced Security Admin Environment (ESAE)
Domaines de Production
Domaines et Forêt
Alerte de sécurité
Serveurs et Systèmes Management
Comptes et ordinateurs sécurisés
Gestion dynamique des accès
App et Données Privileged AccountWorkstation
Administration des Serveurs, du Cloud, et des applications
Assistance utilisateur et Support
Mitigations des déplacements
latéraux
Helpdesk et Stations
Sécurisation des Applications &
Services
L’accompagnement Microsoft Services
Active Directory Security Gouvernance
ADSG
Eta
ts d
es
lieux Sécurisation des serveurs AD
Environnement d’administration
Supervision
Gestion des identités et accès
Préparer la situation de crise
Segmentation des serveurs et postes
Off
res
Port
efe
uille
de s
ous-
off
res
Différentes offres de protection, de l’infrastructure à la donnée en passant par l’applicatif. Un exemple d’offre unifiée et intégrée : ADSG.
ADSAR
ADMAR
ESAE
L’accompagnement Microsoft ServicesTrois exemples d’excellence française
ADSAR
Réaliser un audit 3 vues technique / processus / architecture donnant un
état des lieux de votre AD
ADMARPhase 1 Etablissement et sauvegarde d’un référentiel des paramètres de sécurité de l’environnementPhase 2 Vérification à tout moment des déviations par rapport au référentiel en productionPhase 3 Simulation d’une cyber attaque en lab et documentation détaillée du plan de recouvrement step by step
ESAE
Mettre en place une forêt d’administration
Protéger l’administrateur dans un bunker
Depuis votre smartphone sur :http://notes.mstechdays.fr
De nombreux lots à gagner toute les heures !!!Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les Techdays !
Donnez votre avis !
© 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a
commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.