OSSIR Bretagne - Retour d'expérience sur la SSI au sein d'un grand groupe
L’observatoire de la sécurité du groupe a été mis en place à la suite de la propagation d’un ver informatique au sein du réseau dont l’infection de 50 000 PC a couté la bagatelle de 3 millions d’euros. Le schéma de sécurité globale du groupe intègre la sécurité informatique, et la sécurité des biens et des personnes.
La surveillance de la sécurité représente 70% de l’activité de l’observatoire : météo du SI, surveillance des flux des services de communications, Détection d’intrusion, Détection et analyse de malware, Surveillance de la disponibilité des services sur Internet, ce ne sont pas les défis techniques qui manquent.
L’anticipation des besoins représente 30% de l’activité, comme par exemple les problèmes d’obsolescence du matériel, les nouvelles menaces liées aux technologies employées, maintenir son expertise en SSI. L’observatoire est un Tiers de confiance pour l’ensemble du groupe.
L’audit systématique et régulier de l’ensemble des applications exposées ainsi que le monitoring de l’ensemble du groupe au travers d’un SIEM qui a permis de découvrir un grand nombre de problèmes jusque là ignorés.
Bien entendu, Remédiation, patch management & veille ne servent à rien sans un budget adéquat et adapté.
Coté supervision, l’objectif est de contrôler les écarts de conformité à la PSSI, tunnels au travers des proxy web, contournement du filtrages d’urls, etc… Ainsi la mise en place d’un applicatif permettant de répondre à un incident en moins de 20 minutes après détection du problème par le SIEM est un facteur clef de la réussite et de la bonne réaction. Ainsi le SIEM de l’observatoire traite 20Mbits de flux de logs entrants !!! 120 alertes de sécurité sont analysées par jour. L’absence de faux positifs est une priorité majeure lors de la remontée d’incident auprès des équipes projet concernés, ce afin d’éviter toute perte de crédibilité.
Pour devenir un CSIRT, il a fallu que l’Observatoire devienne le point de contact unique en cas d’incident en interne comme en externe, assurer la surveillance et la veille adéquate, Offrir des services réactifs en réponse sur incident etc…
Les années à venir serons riches en challenges pour l’Observatoire: mise en place d’une démarche SMSI, le suivis de la cybercriminalité et de l’hacktivisme, la DLP, Typosquatting.
Présentation d’un Phishing basé sur un typosquatting assez astucieux :
La première phase de l’attaque consiste à demander une connexion à l’utilisateur avec un clavier visuel. Puis une phase d’attente de 45s est demandée à l’utilisateur, pendant laquelle une opération requérant la saisie d’un code reçu par SMS est lancée. Code qui est demandé à l’utilisateur après la phase d’attente de 45 secondes.
Présentation d’un Malware Trap par l’analyse du trafic DNS interne:
L’efficacité des anti-virus étant variable, tout comme le patch management, il n’est pas très évident de contrôler l’environnement et la défense périmétrique s’en retrouve relativement perméable. A partir de l’ensemble des informations à disposition de l’Observatoire (logs internet, requêtes DNS…), et par croisement de l’information, le malware est donc via dns redirigé vers un piège à malware, permettant l’analyse de son comportement, mais aussi d’empêcher sa mise à jour et de loguer l’ip source des requêtes pour savoir quels sont les machines infectées et procéder à leur désinfection.
