C&ESAR 2014 - J3
Détection de signaux faibles
Bon après l’APT on à l’AVT, Advanced Volatile Threat, un malware tout en mémoire (rien de neuf sous le soleil…). C’est un programme volatile transférer par des malwares classiques. C’est un dropper tout en mémoire. D’après l’orateur, ce type de code rend complexe l’analyse parce que le malware est beaucoup moins stable dans le temps: c&c chiffré, communication pair à pair, signature numérique des exécutables (je croyais que ça s’installait pas sur le disque ?) et détection de sandbox. La question est donc comment détecter un malware de ce type: par les threat intelligence (ça tombe bien l’orateur en vend, j’attends le mot clef OSINT). Avec ce type de malwares il faut faire de l’incubation longue. La threat intelligence (d’après l’orateur) consiste à pousser des signatures spécifiques sur les sondes pour détecter les 1ères infections. Les threat intelligence (comprendre signatures) sont mises à jour en temps réel et sont poussé par l’opérateur sur l’ensemble des sondes. Il faut aussi prendre en compte la dimension stratégique de ces opération et effectuer de la contre-intelligence. Chez l’orateur ils ont un laboratoire d’épidémiologie et de « signal intelligence » (ça commence à faire beaucoup de buzzwords…).La kill chain est issue de la collaboration entre la réponse sur incident pour la capture de l’échantillon (volatility ?) ou sa récupération auprès de la communauté malware analysis. En suite l’échantillon est mis en incubation dans une super sandbox et les traces réseau générées sont analysées et transformées en règles de détection (la fameuse threat intelligence F-Dynamics. L’orateur saute allègrement de l’attaque ciblée au DDoS). C’est sur la partie DDoS que l’aspect signaux faibles apparait, en gros il s’agit de détecter les signatures qui sont les prémices du lancement de l’attaque. L’orateur présente des graph bien filtrés (de débit réseau ?) dont les premiers pics de communication correspondant à la phase d’exécution du dropper, le second à la mise à jour du malware en mémoire. (apparemment il y a une cellule « spectrométrie » chargé de la découverte de ces signaux faibles, ça consiste en quoi la spectrométrie en informatique ???).
Détecter & Réagir face aux cyberattaques
Un retour d’expérience sur un exercice (erm…) dans lequel une red team digne d’une bande de script kiddies à mené des attaques massives sur les défenseurs dont les vulnérabilités techniques présentes reflètent un niveau de maturité technique déplorable. L’objectif de l’exercice était donc de tester la chaine de monitoring et de remonté d’information vers le soc. (pleins de tableaux, plein de chiffres pas d’analyse réelle…).
Posture de sécurité dynamique
Comment reconfigurer ses éléments de détection par rapport à ce qu’on observe à l’extérieur et par rapport aux évolutions du système surveillé. Chaque décade, des ensembles de solutions techniques viennent s’ajouter et compléter les capacités d’analyse, ce qui s’accompagne par une augmentation des coûts en IT et en personnel et donc des coûts de la sécurité. Lorsque les équipes de veilles identifient une menace potentielle, ils vont reconfigurer les équipements en conséquence pour se prémunir ou mieux détecter l’attaque. Cette capacité de réaction s’accompagne d’une organisation des équipes SOC/NOC. Plus l’incident de sécurité est grave, plus il va mettre en oeuvre des personnes intervenant sur l’ensemble des composants impactés. Ce besoin d’expertise technique dépasse rapidement les capacités de réponse des équipes (trop de machines/services à reconfigurer). Pour être capable de réagir, il faut d’abord pouvoir percevoir les menaces externes. Mais cette connaissance des menaces externes proviens de communautés très fermés (CERTs, Communauté sécu/malware analysts, etc..) mal reconnues par le top management, et par des éditeurs et des acteurs mieux reconnus. L’ensemble de cette connaissance se traduit de façon utilisable sous forme d’IOC, d’échantillons de malwares et de vulnérabilités, ou de modes opératoires d’attaquant (TTP). Cette connaissance des menaces extérieures doit être par la suite mise en perspective par rapport à la structure interne. (Connais ton ennemi et connais-toi toi-même ; eussiez-vous cent guerres à soutenir, cent fois vous serez victorieux – Sun Tzu). Le SIEM viens apporter une forme de console de pilotage permettant d’embrasser l’ensemble du système protégé avec différents niveaux de granularité, et d’y attacher les actions de réponse sur incident. A partir de là, on peut envisager des mécanismes de réponse automatisés ou semi-automatisés (maj de sondes, reconfiguration de firewalls, etc..) lorsque c’est possible. Cette dernière est un axe de développement nécessaire pour traiter le volume d’équipement à reconfigurer pour pouvoir répondre aux évolutions des menaces. Il est aussi nécessaire de structurer et de formaliser l’information collectée à l’extérieur pour l’intégrer dans des mécanismes automatiques. De nombreux défis restent à relever: prise de décision, communication et mise en oeuvre des actions.(très bonne présentation, beaucoup de constats bien posés, peu de technique et pas de solution présenté ou mise en avant, pourtant c’est pas les screenshots d’outils qui manquent dans la présentation).
S’inspirer d’autres domaines pour améliorer sa performance de traitement d’incident
Il est fréquent en réponse sur incident de confondre vitesse et précipitation, pour prendre de bonnes décisions il faut avoir une bonne connaissance de la situation. Il est donc parfois préférable d’avancer doucement lorsque nos connaissances du système sont partielles voir parcellaires. Il faut aussi s’aménager de la marge pour pouvoir réagir à l’imprévu. L’entrainement permet d’habituer les équipes au stress de l’attaque et leur permettre de gagner de la marge de manœuvre et de prendre du recul. Pour éviter la panique ou la saturation, il est préférable de segmenter l’information en fonction des capacités des équipes à les traiter. La bonne information au bon niveau. Sinon on risque de créer une panique par saturation d’information qui se révèlera contre-productive.