Attaques crypto : l’année 2021 commence à fond

Dernières attaques en date et pas des moindres : le CH de Dax, qui à l’heure où ces lignes sont écrites doit faire face à un SI totalement bloqué, et la MNH. Très peu d’informations ont filtré sur ces deux attaques, tout l’écosystème RSSI en est réduit à des conjectures sans preuve et sans confirmation ou infirmation des autorités ni, bien entendu, des principaux intéressés. Contentons-nous donc d’un rappel, forcément non exhaustif, des précautions et des protections à mettre en œuvre, de façon préventive ou curative.

Chantier 1 : durcir votre AD
Il est indispensable de nettoyer les comptes à forts privilèges (www.pingcastle.com est votre meilleur ami), d’en durcir les mots de passe et de tester de temps en temps la robustesse de ces derniers (voir Mimikatz). La pire cochonnerie dans ce secteur, ce sont les comptes de service : préparez-vous à les couper au besoin. Oui, je sais, ce n’est pas évidsent.

Chantier 2 : segmenter votre LAN
Il y aura toujours des machines impossibles à protéger par des AV classiques (MFP, imprimantes départementales, etc.). Il faut les isoler sur des VLAN et filtrer les flux par un firewall interne dédié. Oui, je sais, les équipes de la DSI ont autre chose à faire, sous pression constante des métiers pour délivrer des projets applicatifs.

Chantier 3 : restreindre l’accès à certains serveurs dédiés aux équipes Système
Si un attaquant externe parvient à prendre le contrôle d’un serveur applicatif, la situation est tendue ; s’il parvient en plus à prendre le contrôle de votre console de supervision AV, de votre outil de déploiement de parc (SCCM), de votre serveur de supervision des sauvegardes, de votre AD/DNS/DHCP, de votre console de supervision VMware, et j’en passe, il n’y aura même pas de mot dans le dictionnaire pour désigner l’état dans lequel vous vous trouverez. LAN d’administration dédié, filtrage sur les IP, révision des comptes d’administration et de leurs mots de passe, c’est obligatoire. Si au premier audit interne vous avez l’impression que même Augias tenait ses écuries plus propres, sachez que c’est pour tout le monde pareil.

Chantier 4 : dispositions côté infrasystème
Cela peut paraître bête comme chou, mais le jour où un petit malin aura mis un pied dans votre LAN, il vous faudra mettre off line dare-dare les serveurs ci-dessus. Ne dites pas que vous pourrez le faire si vous ne l’avez jamais testé, saint Thomas et moi on est potes.

Chantier 5 : les sauvegardes
En dehors de la question des sauvegardes off line (du reste quasi impossible à mettre en œuvre dans une grosse infrastructure), il est indispensable de conserver des sauvegardes spécifiques des serveurs désignés dans le chantier 3 en mode Read Only sur des supports de type Worm, totalement insensibles à un cryptolocker.

Chantier 6 : durcir la DMZ.
Scannez, rescannez, intrusez-vous vous-même. Ce n’est pas seulement drôle, c’est utile. Ou l’inverse.

Sachez qu’il existe une foultitude de produits qui permettent de rendre plus difficile une attaque : baies de disques avec des modules de détection crypto embarquées, AV avec sandbox, etc. C’est pourquoi il faut bien penser en deux temps : empêcher ou retarder une attaque, puis réduire l’impact de l’attaque à laquelle vous ne pourrez de toute manière échapper.

Votre serviteur et l’Apssis ont récemment publié un cyberguide[1] dédié à ce sujet et librement téléchargeable sur le site de l’association, qui a pour vocation de servir de base de travail. Les remarques, commentaires et suggestions d’amélioration sont les bienvenus.

[1]   https://www.apssis.com/nos-actions/publication.html