Black Hat 2019 : Résumé de deux des conférences les plus marquantes

Keynote : « Blue to Red: Traversing the Spectrum » (Amanda Rousseau, @malwareunicorn, Offensive Security @ Facebook Red Team)

Vous pouvez retrouver la présentation dans son intégralité ici.

Dans cette conférence, Amanda Rousseau a présenté, à travers le prisme de son expérience et de son vécu, sa vision de la sécurité et des « couleurs » utilisées en sécurité : la Blue Team (qui désigne généralement les personnes chargées de protéger le SI) et la Red Team (dont l’objectif est d’attaquer le SI).

Amanda Rousseau a identifié 3 points principaux, qu’elle a ensuite détaillés dans la suite de sa présentation :

• Ne pas s’arrêter à la surface des choses ;
• S’extraire de la vision actuelle vis-à-vis des couleurs et du rôle qui leur est attitré ;
• Créer un changement efficace par ses actions.

Ne pas s’arrêter à la surface des choses

Ce premier constat est peut-être l’un des plus importants, surtout dans un milieu en pleine évolution comme peut l’être la sécurité informatique.

La conférencière encourage à dépasser la surface visible de l’iceberg et à aller voir ce qui se passe en dessous, afin de comprendre comment fonctionne les outils, les bonnes pratiques, les normes, etc. Pour illustrer son point de vue, 2 exemples ont été présentés : le développement d’un outil de détection et l’utilisation d’un framework offensif. Le premier exemple permet de mettre en évidence la complexité de développer un système de détection efficace : le besoin d’avoir un outil ayant le moins de faux positifs possible (qui peuvent induire une habitude chez l’analyste et donc un potentiel raté). Ce besoin ne peut être résolu qu’à la condition que la personne s’occupant de développer le système soit en mesure de comprendre le fonctionnement de son outil et des contrôles qui sont réalisés.

Le second exemple est plus parlant. Lors de l’utilisation d’un framework offensif, il est nécessaire pour l’auditeur de connaître le fonctionnement de son outil, afin de pouvoir collaborer avec les autres équipes. En effet, savoir quelles traces sont laissées par l’outil et quelles actions sont faites est essentiel pour aider l’équipe chargée de la sécurité à s’améliorer (dans le cas où ils n’auraient pas détecté l’attaque) ou pour s’assurer que nos actions n’ont pas laissé une porte ouverte à un autre attaquant.

Cette connaissance est essentielle pour être capable de pivoter d’un problème à un autre et d’être flexible. De là découle également le dernier constat de cette partie : aujourd’hui, dans la sécurité, deux visions s’opposent : l’ultra spécialisation et la capacité d’un expert à être polyvalent. Et si les deux présentent des avantages, Amanda Rousseau considère que la tendance à l’ultraspécialisation risque de pénaliser les entreprises, qui manqueront d’experts flexibles et capables d’intervenir sur de nombreux sujets.

S’extraire de la vision actuelle vis-à-vis des couleurs et du rôle qui leur est attitré

Ces couleurs, Blue et Red, viennent historiquement du monde militaire.

Maintenant, dans le monde professionnel, les deux équipes travaillent main dans la main pour arriver à un but commun : la sécurité de l’entreprise. Cependant, Amanda Rousseau a constaté que ce qu’elle a appelé l’Adversarial Thinking n’était généralement pratiqué que par une seule des équipes : celle chargée d’attaquer le SI. Cependant, cette vision est bénéfique pour les deux équipes. De même, les deux équipes ont besoin des compétences fondamentales pour être compétentes.

Cette opposition d’idée entre les deux équipes et le manque de collaboration permet de tirer de quelques enseignements :

Pour l’équipe défensive :

• Il faut faire attention aux oeillères lors du développement d’algorithme de détection ou lors de l’utilisation d’outils ou de fonctionnalités (comme mettre une application en liste blanche : qu’est-ce qui est réellement autorisé ?)
• Il faut privilégier le réalisme à la théorie : déployer une solution parce qu’elle est théoriquement fonctionnelle n’est pas suffisant ;
• Enfin, il est nécessaire de prioriser les solutions bénéficiant de données validant leur fonctionnement.

Pour l’équipe offensive :

• Il faut faire attention aux angles morts afin de pouvoir accompagner l’équipe défensive au mieux : proposer des recommandations précises, être capable de comprendre quels mécanismes vont être ou devraient être déclenchés par ses actions ;
• Aller à la recherche du réalisme dans ses scénarios d’attaques : éviter la redondance vis-à-vis des actions en train d’être menée par l’équipe défensive, utiliser un contexte cohérent (utiliser des informations disponibles en source ouverte, réfléchir à la légalité des actions entreprises dans un scénario) et éviter d’exploiter les émotions humaines, puisque celles-ci sont impossibles à changer ;
• Enfin, il est nécessaire d’assurer un suivi vis-à-vis de l’équipe défensive, pour s’assurer de la bonne mise en place des mesures correctrices.

Créer un changement efficace par ses actions

Enfin, le dernier point abordé par Amanda Rousseau est l’importance de réaliser des actions menant à un changement et à une évolution pour l’entreprise. Pour cela, il est essentiel que les deux équipes collaborent entre elles : l’équipe offensive doit aller au bout de ses actions pour prouver le réalisme de son scénario tout en étant capable de prévoir les évènements que ses actions peuvent ou vont déclencher.

Une fois le scénario fini, l’équipe offensive doit travailler avec l’équipe défensive pour valider les solutions et vérifier leur bon déploiement.

Conclusion

La conférencière conclura la keynote sur 3 constats : il faut éviter l’hyperspécialisation (pour éviter une pénurie de généralistes), il est nécessaire que les deux équipes travaillent avec une vision pouvant être mise à l’échelle et il faut prévoir des scénarios avec différents niveaux de difficulté (en fonction de qui est repéré et de ce qui devrait être repéré).

 

Implementing the lessons from a major cyber attack (Andy Powell, Maersk CISO)

Durant cette conférence, Andy Powell (désormais Chief Information Security Officer (ou CISO) de Maersk) est revenu sur l’attaque NotPetya ayant touché Maersk, sur les leçons que l’entreprise a pu tirer de cette attaque et sur la manière dont celles-ci sont implémentées au sein de l’entreprise.

Note: Maersk est une entreprise de fret, responsable du transport de 20% des échanges au niveau mondial.

Maersk et NotPetya : déroulé de l’attaque

Le 27 juin 2017, l’enfer s’abat sur les serveurs de Maersk. En effet, l’entreprise se retrouve être la victime collatérale d’une cyberattaque portée par un État : NotPetya. En 7 minutes, la majeure partie du réseau était inaccessible et les principaux dégâts avaient été effectués en moins d’une heure.

Maersk s’est retrouvé dans cette affaire pour une raison simple : elle dispose d’un bureau à Kiev, en Ukraine. Et les attaquants cherchaient à perturber le déroulement d’un jour férie en Ukraine et d’impacter le paiement des taxes.

Le vecteur d’infection principale a été le logiciel MeDoc (utilisé par l’entreprise pour payer leurs taxes en Ukraine). Le développeur aurait été soudoyé afin de fournir les identifiants d’administration aux attaquants. À partir de cet accès, les attaquants avaient développé 4 exploits différents afin de pouvoir se diffuser et se répliquer dans les SIs de ses victimes. L’un de ces 4 exploits ne disposait pas de correctif, et c’est celui-ci qui a permis à NotPetya d’avoir un impact colossal chez Maersk.

Pour rappel, NotPetya était un logiciel malveillant conçu pour ressembler à un ransomware, mais ayant un objectif strictement destructif (c’est-à-dire que les fichiers chiffrés étaient réécrits et ne pouvaient en aucun cas être récupérés).

À cette époque, Maersk était une entreprise peu mature en termes de sécurité : l’infrastructure informatique était là pour supporter la partie métier et la société était centré sur ses assets plutôt que sur sa sécurité.

Ainsi, en l’absence d’isolation réseau, une immense partie du réseau a rapidement été inaccessible, l’ensemble des noeuds Active Directory ont été compromis et toutes les sauvegardes en ligne ont été chiffrées (NotPetya était conçu pour les détruire). L’entreprise pensait avoir des sauvegardes hors-ligne, mais a découvert que celles-ci n’étaient pas exploitables.

L’entreprise s’est vite rendu compte de l’impossibilité pour elle de se protéger de cette attaque et de réagir et a choisi une réponse qui a joué en sa faveur : celle de la transparence. En parallèle, Microsoft a dépêché plusieurs équipes afin de venir en aide à Maersk, mais n’a pas pu aider.

Cette transparence a été salvatrice pour Maersk qui a reçu un énorme soutien de ses clients et de ses fournisseurs, qui ont, dans la grande majorité, demandé comment ils pouvaient aider l’entreprise.

Pour chiffrer tout cela :

• Le DHCP et l’AD de l’entreprise ont été sévèrement endommagés ;
• L’Enterprise Service Bus (ESB) a été complètement détruit ;
• vCenter a été impacté et était instable ;
• 49 000 laptops ont été détruits ;
• Toutes les imprimantes ont été détruites ;
• Les partages de fichiers étaient inaccessibles ;
• Sur les 1 200 applications, aucune n’état accessible et 1 000 ont été détruites. Les données ont été sauvegardées, mais le shadow IT empêchait la restauration des applications : en effet, des ressources compromises, appartenant aux collaborateurs et n’étant pas connues des équipes techniques réinfectaient systématiquement les applications lorsqu’elles étaient relancées ;
• 3 500 des 6 200 serveurs de l’entreprise ont été détruits et ne pouvait pas être restaurés sous risque de réinfection.

La réaction de Maersk

Dans son malheur, Maersk a malgré tout eu de la chance. En effet, leur premier objectif (reconstruire l’Active Directory) a été grandement facilité par la coupure de courant dans une de leur filiale à Lagos, au Nigéria. En l’absence de courant, le noeud Active Directory de cette filiale était intact et a pu être rapatrié au siège pour entreprendre la reconstruction du SI.

Andy Powell a séparé les actions entreprises en deux parties : les actions entreprises entre le lendemain de l’attaque et 3 jours après, et celles entreprises entre les jours 4 et 9 ayant suivi l’attaque.

Jour 1 à 3

La première action entreprise a été le rapatriement du noeud Active Directory depuis le Nigéria. Ensuite, l’entreprise a mis en place une cellule de crise pour gérer au mieux le problème. Ils ont fait appel aux équipes de Deloitte afin de les aider dans la rétro-ingénierie du virus, pour comprendre son fonctionnement. En parallèle, comme dit plus haut, ils ont été complètement transparents, que ce soit en interne ou en externe.

Les équipes techniques ont également commencé à mettre en place une version de Windows à redéployer (basée sur Windows 10, car les vulnérabilités utilisées était plus complexe à exploiter), version qui a été durcie autant que possible pour ne pas être vulnérable à d’autres attaques.

Enfin, l’outil salvateur a été WhatsApp, qui a permis à l’ensemble des équipes de continuer à communiquer malgré la compromission des téléphones.

Jour 4 à 9

Durant cette période, l’entreprise a reconstruit 2 000 laptops pour remettre en place les processus et les systèmes essentiels à l’entreprise. En parallèle, l’Active Directory a été restauré. Andy Powell a d’ailleurs donné une anecdote amusante : durant cette période, Maersk a acheté l’ensemble des laptops disponibles à la vente en Angleterre.

La suite

Au bout du 9ème jour, l’Active Directory était de nouveau fonctionnel. Après 2 semaines, l’ensemble des applications globales étaient restaurées. Et après 4 semaines, l’ensemble des laptops avaient été reconstruits.

Dans tout ce processus de reconstruction, Andy Powell a souligné les deux points les plus compliqués : la restauration des applications non globales qui servaient pour des processus non globaux et de retrouver le contenu de chacun des conteneurs actuellement en train de voyager.

Les enseignements tirés de cette attaque

Andy Powell a débuté cette partie par un constat : dans n’importe quelle situation, une entreprise doit être capable de restaurer son Active Directory en un maximum de 24 heures.

Cette cyberattaque était la première fois qu’on découvrait que des entreprises pouvaient être des victimes collatérales dans des attaques supportées par des États en visant d’autres, et donc des cyberattaques avec de forts impacts et des vecteurs d’attaques multiples. C’est aussi une des cyberattaques pour le mécanisme conventionnel de mise à jour était inefficace.

C’était aussi une façon de se rendre compte de l’évolution de la surface d’attaque : désormais, les données sont la nouvelle cible des attaquants, que ce soit pour paralyser les entreprises ou pour leur causer le plus grand tort. Pour cela, les entreprises investissent de plus en plus dans l’OT (Operational Technology), afin de protéger l’IT (Information Technology).

Cette attaque a également permis de mettre en évidence la dualité entre la proactivité et la réactivité : la protection et la détection contre la réponse et la restauration. Andy Powell donne le constat qu’une entreprise dont l’image serait impactée par une cyberattaque doit investir dans la protection et la détection et le reste des entreprises dans la réponse et la restauration.

Les actions entreprises par Maersk

Maersk a entrepris un certain nombre d’actions suite à ces constats, dont voici les principales :

• Mettre en place une approche basée sur le risque ;
• Implémenter de programme de correction sous 90 jours ;
• Développer un programme de cybersécurité de 3 ans ;
• Se concentrer sur la réponse et la restauration tout en construisant la détection, et maintenant, se concentrer sur la défense ;
• Déterminer des moyens de limiter les impacts de ce genre d’attaques (à travers la résilience de l’Active Directory notamment) ;
• Déterminer les privilèges des utilisateurs et les applications et les processus critiques pour l’entreprise ;

Andy Powell a conclu sur les 5 principes de la cybersécurité chez Maersk : tout le monde est responsable de la sécurité, le risque cyber doit être pris en compte par toutes les branches (et par seulement les équipes techniques), il faut établir une relation de confiance avec les clients sur ces sujets, la résilience est essentielle et la sécurité est bénéfice, pas un fardeau.