Petit article pour savoir si votre organisation est prête à répondre à un cybercrise.
N’oubliez pas que chaque seconde de perdu en mise en place lors d’un incident est du temps perdu à jamais.
Retrouver cet article sur Github : https://github.com/Blue-Atom-10101/-PROCESS-Be-Prepare-for-Cybercrisis
Il est important de comprendre qu’il n’y a pas de définition fixe d’une crise d’origine cyber.
Chaque organisme définira ce qui pour elle est une crise, en général il faut un fort impact sur la production pour se mettre en situation de crise.
Plusieurs normes liées à la gestion de crise et incident de sécurité:
Une des premières choses à faire et de correctement se préparer à une crise cyber.
Pour cela, nous allons voir plusieurs points d’attention à préparer en amont.
Il est important d’avoir la liste de vos ressources disponibles en cas de crise, aussi bien matériels que personnels.
Si votre infrastructure est compromise, il est nécessaire de prévoir un canal d’échange sécurisé non lié à votre infrastructure.
Un bon exemple du risque d’utiliser une infrastructure compromise pour votre cellule de crise: LDLC
_Il est possible de louer des salles dédiées pour les échanges sur des durées courtes._
Un des points cruciaux, souvent appelé à la fin de la remédiation est l’assurance.
La première chose a savoir est si vous êtes couverts pour les crises d’origines cybers, et si oui, à quelle hauteur.
Un autre point important à faire valider avec son assurance est de délimiter ce qui est pris en charge.
Bien souvent, l’assureur ne prendra en charge que les frais pour un retour à la normale et non les frais d’améliorations, charges particulières (heures supplémentaires du personnel, rachat de matériel, etc.)
Enfin, voyez avec votre assurance s’il a des partenaires dédiés pour les réponses dédiées aux crises cybers.
Il s’agit d’un point crucial, certaines assurances peuvent ne pas s’activer si vos prestataires ne sont pas partenaires avec votre assurance.
Afin de répondre efficacement, il est nécessaire d’avoir les outils à dispositions (clef USB, sur un poste dédié hors réseau).
Voici une liste non exhaustive d’outils pouvant vous aider.
Avoir à disposition des bloqueurs en écriture est un plus.
Distribution Linux live italienne gérée par Giovanni « Nanni » Bassetti. Le projet a débuté en 2008 en tant qu’environnement favorisant la criminalistique numérique et la réponse aux incidents, avec plusieurs outils connexes préinstallés.
Tsurugi Linux is a DFIR open source project that is and will be totally free, independent, without involving any commercial brand
Our main goal is share knowledge and « give back to the community »
Ce script permet d’automatiser la collecte d’informations en utilisant des outils comme winpmem et consort.
Source: https://github.com/Johnng007/Live-Forensicator
Ce script vous permet de voir les connexions mais avec l’indication du timestamps.
Un must have !
Source: https://github.com/gtworek/PSBits/tree/master/NetstatWithTimestamps
L’outil gratuit Redline de Mandiant permet une analyse rapide de la RAM en intégrant des indicateurs de compromissions (IOC) réalisées à l’aide de l’outil gratuit IOC Editor du même éditeur.
Source: https://fireeye.market/apps/211364
Vélociraptor est un outil beaucoup trop sous-estimé.
Il permet, entre autres, de récupérer des informations sur les postes tels que la consommation cpu, RAM mais aussi réalisé des investigations depuis son interface afin de vérifier le contenu des prefetchs, event log, extraire la RAM, etc.
Source : https://velociraptor.velocidex.com
Un point souvent découvert lors d’une crise est l’incapacité à traduire un besoin métier en processus informatique.
Par exemple, s’il faut reconstruire en urgence le service de facturation, savez-vous qu’elles sont les prérequis à vos logiciels, où sont installés vos serveurs, dans quel ordre ils doivent être remontés, ports utilisés ?
Il est important de réaliser cette partie a minima sur les activités-clefs de votre entreprise.
Prenons le cas d’une usine, il est toujours possible de livrer les composants via chariots trainés par un humain alors que gérer les robots nécessitera forcément un serveur, sa base de données, son réseau d’administration.
Comme annoncé au début, une réponse à crise d’origine cyber ne va pas mobiliser exclusivement les équipes informatiques.
Il y aura au moins deux cellules qui donneront des ordres, la cellule de direction et la cellule Opérationnelle.
Cette cellule décidera des axes stratégiques prioritaires pour la réponse.
C’est elle qui dira à la cellule Opérationnelle ce qui doit être restauré en premier, elle qui décidera de la communication qui sera faite aussi bien en interne qu’en externe.
Elle aura aussi pour mission de répondre aux inquiétudes des différents services et gérer les impacts de la crise.
Exemples:
S’il existe un CODIR, le mieux est que la cellule de direction soit constitué des mêmes personnels que le CODIR.
Ils se connaissent, ont l’habitude de travailler ensemble.
C’est cette cellule qui décidera, en fonction des remontées de l’équipe Opérationnelle, de définir la fin de l’organisation en cellule de crise.
Cette décision ne veux pas dire que tout est résolu mais que l’entreprise reprend un rythme « normal ».
En effet, il n’est pas possible de fonctionner en « crise » sur une durée étendue, aussi bien pour le personnel (qui subit une forte pression) que pour le bien de l’entreprise (les frais s’accumulent vite en gestion de crise).
Cette cellule devra gérer deux fronts.
La reconstruction d’une nouvelle infra interne pour la réponse à incidents ainsi que la remise en route d’une infrastructure pour la reprise d’activité, décidée par la cellule de direction.
Cette cellule sera composée de personnels experts et techniques.
Les experts pourront être chargés d’investiguer sur les postes pour trouver l’origine de l’attaque ou encore remonter la nouvelle infrastructure alors que les personnels moins aguerris techniquement pourront être amenés à préparer des postes pour les membres des autres cellules.
La cellule Opérationnelle aura pour mission de trouver le point d’entrée de l’attaquant.
Il ne s’agit pas ici de trouver s’il s’agit de Josiane de la comptabilité où Robert du service communication mais de savoir comment l’attaquant est entré dans le réseau afin de colmater cette faille pour éviter que la nouvelle infrastructure ne soit assujettie à la même vulnérabilité.
Maintenant que nous savons comment l’attaquant à opérer au sein d’infrastructure nous avons potentiellement une date d’apparition de la menace.
Cette information est très importante car elle permet de déterminer quelles sauvegardes est compromise et lesquels sont, a priori, fiables.
Si nous connaissons le vecteur d’attaque ainsi que la date de compromission initiale, il devient possible de générer des indicateurs de compromission afin de vérifier que les sauvegardes restaurées soient saines.
En parallèle de l’investigation, il est crucial de reconstruire une infrastructure en vase clos pour les membres des différents services.
Très souvent, après une attaque, la cible se rends compte que son durcissement était insuffisant.
Il faudra alors que l’équipe opérationnelle mette en œuvre le nouveau durcissement.
Les sauvegardes permettent un retour potentiellement plus rapide à la normale.
Attention, la gestion des sauvegardes n’est pas une mesure de protection à proprement parler, en revanche une politique de sauvegarde défaillante peut entrainer la fin de votre entreprise.
Que vous sauvegardez tout en interne, sur le cloud, sur bande, etc. il est crucial que chaque sauvegarde soit chiffrée et les clefs disponibles via un moyen externe au système informatique de votre entreprise.
Règle de base et le minimal attendu pour une infrastructure, la règle des 3-2-1 stipules que vous devez :
Le principe est d’avoir votre donnée sur le serveur et deux sauvegardes.
Ceci a pour but d’éviter qu’une panne rende inopérantes vos sauvegardes.
Ici, il ne faut pas comprendre deux supports comme forcément deux formats physiques différents (disque dur et bande LTO) mais comme avoir sa sauvegarde sur deux points différents et non liés.
Ainsi, il est possible d’avoir deux copies de la sauvegarde sur disques durs si les deux ne sont pas stockés dans le même datacenter, non liés via le même RAID logiciel, etc.
L’idée derrière cette requête est d’avoir une sauvegarde stockée en dehors de votre bâtiment qui contient la donnée principale afin de se prémunir des risques tel que les incendies (ex: OVH).
Bien que ce ne soit pas une solution recommandée, une sauvegarde dans le cloud, à défaut d’un coffre-fort, est une solution.
Cette règle est à appliquer a minima sur les ressources critiques de votre entreprise.
Identique à la règle du 3-2-1 elle ajoute deux conditions :
Il est ici question d’avoir une sauvegarde qui n’est pas reliée à votre réseau et de toute infrastructure informatique.
Le but est d’éviter que si un attaquant a compromis votre réseau, il puisse intervenir sur cette sauvegarde.
Ce point semble logique, mais il convient de tester régulièrement les sauvegardes réalisées et de vérifier qu’elle soit restaurable sans erreur.
Il sera dommageable qu’une fois restauré, on découvre qu’un fichier du serveur de base de données soit enfaité endommager.
Savez-vous qui doit être alertés, quelle durée maximale pour l’avertir et qui se charge de la faire ?
Ces points là dépendent de votre entreprise, des normes que celle-ci doit respecter et de sa localisation.
Quelques exemples :
Garder en tête que vous n’êtes pas seuls.
En cas de compromission de votre système d’information, vous pouvez devenir une menace pour vos partenaires interconnectés à votre réseau.
De la même manière, peut-être que l’attaquant vient du réseau d’un de vos partenaires et que vous, en étant plus mature ou plus chanceux, vous l’avez détecté alors que votre partenaire non.
Dans tous les cas, communiquer auprès de vos partenaires est une bonne chose.
Une fois la fin de crise décidée, il convient de supprimer tous les documents de prise de décision qui pourraient comporter des informations confidentielles.
Dans le cas de ransomwares, il peut être intéressant de conserver sur un média déconnecté les fichiers chiffrés au cas où un jour les clefs de chiffrement fuitent.
À la sortie d’ crise, les personnels ont tendance à se relâcher après avoir subi une grosse pression.
Il est donc primordial de superviser aussi bien votre nouvelle infrastructure que le personnel.
Les prestataires vous ayant accompagné vont surement vous proposer de rester en contacts, de vous vendre les solutions « prêté » pour la résolution de la crise, etc.
Prenez bien le temps de la réflexion.