19 octobre 2017

Toutes les entreprises se protègent contre les attaques éventuelles mais savent très bien qu’elles seront attaquées un jour ou l’autre.

Nomios a donc décidé cette année lors de l’atelier des assises de se concentrer sur la détection et la remédiation des attaques.

Le principe exposé est que l’utilisation d’outils complémentaires et interconnectés permet de multiplier les angles de vues sur l’infrastructure et donc de repérer et remédier plus rapidement.

Après une démonstration de la visibilité sous attaque, nous avons eu la change d’accueillir le témoignage de Simon Bangue d’Arkema.

Les outils utilisés

Nous avons choisi trois technologies différentes agissant à différents niveaux :

Le réseau, sonde Vectra Networks

Vectra Networks est un outil d’intelligence artificielle monitorant les flux réseaux et les modifications de leur comportement.

L’installation s’avère simple (une adresse IP et un port span) et l’exploitation minimum.

Les algorithmes d’intelligence artificielle sont effectifs très rapidement et s’enrichissent automatiquement en fonction du trafic, ce qui limite fortement les faux positifs et permet de remonter uniquement des informations pertinentes.

Nous avons utilisé l’outil dans l’atelier comme porte d’entrée de l’administrateur, pointant uniquement les évènements malicieux en cours et à analyser.

Un NAC nouvelle génération, ForeScout CounterACT

Compatible avec tous les OS existants, cette solution est déployable sans impact sur les infrastructures car sans agent.

Elle apporte une visibilité temps réel sur l’ensemble des terminaux connectés et grâce à des politiques de sécurité centralisées permet de gérer la conformité et les droits d’accès.

Agnostique et compatible avec tous les constructeurs réseaux, ForeScout CounterACT permet d’intervenir entre autres sur les réseaux et les firewalls et d’isoler les éléments infectés.

Nous avons utilisé cet outil sur notre plateforme pour obtenir les détails sur les postes infectés et pour cloisonner l’attaque.

Un SIEM : SPLUNK

L’outil de consolidation et de corrélation de tous les logs du SI. La capacité de corrélation, de filtrage et de représentation d’un SIEM permet d’effectuer en un seul outil une analyse très avancée de la recherche de l’origine de l’attaque.

Nous avons sur notre environnement concentré les logs Système, DNS, mail, proxy mais aussi sécurité (Vectra, ForeScout Firewall).

Ludovic, ingénieur sécurité chez Nomios, a créé une application splunk permettant de représenter l’ensemble des logs en une seule vue. Particulièrement les logs Sysmon, qui permettent de remonter l’ensemble des process d’un device et leurs connexions vers l’extérieur.

La démonstration

La démonstration s’effectue du point de vue de Ludovic, administrateur sécurité, découvrant une attaque en cours sur son infrastructure.

Notre lab

Le SI sur lequel se déroule l’attaque est classique avec différents emplacements (Toulouse, Paris, Lyon), une zone d’infrastructure (Mail, Filer, AD, Proxy, Web Server) et une zone d’administration où l’on retrouve Splunk, Vectra et ForeScout.

Dashboard quotidien

Ludovic, ouvre sa console Vectra et découvre la présence de 3 hosts en criticité « Low » :

Il récupère le type d’évènement « port Sweep » et l’adresse des hosts pour pouvoir aller inspecter en profondeur sur Splunk.

Des informations sur la fréquence, mais aussi la possibilité de télécharger le PCAP, permettent une analyse réseaux de l’attaque en cours.

Investigation

Dans le SIEM SPLUNK, Ludovic vérifie les caractéristiques des postes grâce aux données remontées par Forescout, puis passant en revue les différents dashboards constate la présence d’un nombre important de résolutions inverses (PTR). Sur les logs firewall, il retrouve aussi les flux TCP 445 confirmant le port sweep.

Ludovic, à l’aide des logs sysmon va remonter la chaîne des processus de père en fils afin de comprendre comment l’attaque s’est déroulée.

Un fichier template.pdf exécute des connexions vers l’extérieur en TCP 445 (étonnant).

Si l’on remonte au processus père, le shell a lui-même été exécuté par acrobat reader en lecture sur le fichier plan-d-acces.pdf

La recherche dans les différents logs montre que ce fichier a été réceptionné par mail. Il a été envoyé à tous les employées en se faisant passer pour le CE en invitant à la soirée de Noël.

En regardant de plus prêt, le mail n’est pas parti du domaine nmsteam.fr mais nmteam.fr.

Potentiellement tous les employés sont susceptibles d’avoir ouvert le plan attaché dans le mail.

Remédiation

Il est temps d’aller dans ForeScout pour effectuer la remédiation en appliquant à tous les postes ayant « Template.pdf » sur leur disque une règle firewall dans le Palo Alto coupant les flux 445.

Retour d’expérience

Simon Bangue, responsable télécom et sécurité chez Arkema, a ensuite pu témoigner de l’efficacité de Vectra Networks depuis 2 ans dans son environnement.
Il utilise la sonde entre autres pour évaluer l’état des SI des entreprises rachetées par Arkema avant leur intégration dans le SI du groupe.
Il a environ 5 incidents de sécurité à traiter par semaine.

Les ingénieurs Nomios sont disponibles pour venir jouer la démonstration chez vous et vous démontrer l’efficacité des produits et leur niveau d’expertise.

Auteurs

romain quinat, Ludovic, Vincent Clément et Charlène Mariani

Les assises de la sécurité 2017 – Adopter une visibilité 360° sous attaque