Introduction
Le 16 octobre dernier nous avons eu l’opportunité de présenter sur le sujet de la détection d’incidents lors de l’Application Security Forum d’Yverdon. Ce sujet, bien que relativement bien connu est encore trop peu utilisé en entreprise où l’on voit principalement le déploiement de défenses périmètriques, d’antivirus ou encore d’IDS.
Le résultat lié au déploiement de telles solutions dépend fortement du niveau de l’attaquant et peut très vite être réduit suite à une erreur de configuration. Un tel exemple pourrait être le non-filtrage des archives au format XYZ permettant à l’attaquant de mener une attaque à base de spear-phishing . Les solutions anti-virales sont quant-à elles très vite contournées…
D’un autre coté nous avons des politiques de logs qui sont inexistantes ou aucunement gérée, produisant des montagnes d’entrées qui ne sont pas revues.
Une solution
Une des solutions au problème peut se trouver dans la détection de l’intrusion dans le cas où la prévention a échouée. Nous avons détaillé dans notre présentation différents points pouvant indiquer un comportement suspect dans un environnement Microsoft.
Une grande partie des actions peut être détectée en activant les règles d’audit dans les GPOs, comme les évènements indiquant une authentification échouée par exemple.
Les phases liées à l’exécution de programmes ou l’exploitation de vulnérabilités nécessitent quant-à elles l’utilisation d’outils tierces. Dans ce cadre là, la technologie AppLocker de Microsoft peut être déployée de manière à non pas bloquer une exécution, mais dans son mode ‘Audit Only’. Concernant l’exploitation les évènements générés par EMET sont à surveiller.
Bien entendu, la simple génération d’évènements ne va pas indiquer qu’une attaque est en cour. Un outil remontant ces informations de manière centralisée est alors nécessaire. Dans le contexte de la conférence nous avons développé un module PowerShell permettant de trier les évènements et lever une alerte en cas de comportement suspicieux. Cet outil sera prochainement mis à disposition sur notre site web.
Implémentation
Conscients de cette problématique présente dans de nombreuses sociétés, SCRT propose du conseil pour la mise en place de mécanismes de détection d’incidents ainsi que de l’aide pour l’écriture de procédure de réponse à incidents.