Olivier Le Moal - Fotolia

Sept leçons retirées d’un incident de sécurité majeur

Marco Essomba, directeur général et technique d’AMPS Global, partage les fruits de son expérience personnelle dans la gestion d’importantes brèches de sécurité.

Tout est parti d’un comportement « étrange » au cœur de l’infrastructure réseau : « pourquoi un équipement réseau tenterait-il de lancer régulièrement des requêtes DNS vers des ordinateurs domestiques au hasard, en Asie ? » Voire même des requêtes http vers des ordinateurs personnels en Russie, avant « de noyer le réseau local sous un DDoS faisant tomber des services réseau critiques » ? C’est de là qu’est partie l’enquête que raconte Marco Essomba dans un billet publié sur LinkedIn.

L’investigation a conduit le directeur général et directeur technique d’AMPS Global, au Royaume-Uni – un ancien de HP Enterprise Security Services, de Sourcefire et NTT Com Security –, à identifier la compromission d’un équipement de cœur de réseau : « l’attaquant avait installé un rootkit lui ayant permis de prendre le contrôle de la pile réseau et d’intégrer l’équipement à un botnet international ». La remise de l’appareil concerné en conditions saines ne fut alors qu’un point de départ : l’infrastructure complète a dû être verrouillée temporairement afin d’identifier et de nettoyer d’éventuels autres systèmes compromis.

Marco Essomba retire de cette expérience 7 leçons, qu’il détaille tout en relevant, avec une humilité certaine, que « la plupart relève du bon sens ». Mais force est de constaté qu’elles ne sont pas toujours pleinement apprises.

Et cela commence par un contrôle strict des accès : « n’autoriser jamais l’accès à un équipement réseau depuis Internet, sans authentification forte, et idéalement avec authentification à double facteur et liste stricte de contrôle d’accès ». L’expert recommande en outre une défense « à plusieurs couches », en profondeur, pour l’ensemble de l’infrastructure, afin de réduire le risque de voir un « composant unique infecter l’ensemble » de l’environnement.

Plus loin, Marco Essomba se fait l’avocat de l’analytique appliquée à la sécurité pour renforcer les capacités de détection retirées des éléments de supervision. Le tout couplé à des processus « robustes » de remédiation. Et justement, pour cette dernière, il souligne l’importance de la planification et de la préparation, rappelant que « la question n’est pas de savoir si un réseau va être attaqué, mais quand ». Et de rappeler que la « technologie, seule, ne peut pas garantir la cybersécurité » : c’est aussi, sinon surtout, une question d’hommes et de processus.

Enfin, Marci Essomba encourage au contrôle « étroit des flux entrants et sortants » ainsi qu’à l’établissement d’exigences de sécurité dans la construction des équipements : « la plupart des entreprises contrôle fortement les accès entrants sur le réseau, mais les accès sortant sont souvent laissés sans surveillance ». Et justement, « mettre en place des règles strictes pour la connectivité sortante, peut aider à isoler un équipement compromis et à réduire le risque d’extension de la compromission ».

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close