Le CERT/AQ et la gestion des incidents au Gouvernement du Qubec

Prsentation faite aux membres du RseauScurIT le 23 mai 2008

Alain Beaulieu GSEC, GCIH, GAWN, GREM Analyste en gestion dincidents cyberntiques

Agenda de la prsentation

1. 2. 3. 4. 5.

Introduction Le CERT/AQ Les services offerts par le CERT/AQ La gestion des incidents au CERT/AQ Conclusion

1- Introduction

Premires expriences
Le virus I-love-You

Est apparu aux Philippines le 4 mai 2000. Il sest propag travers le monde en 1 seule journe. Il a caus pour environ 5.5 G$. La plupart des dommages provenaient de travaux qui ont t ncessaires lradication du Virus. cette occasion je faisais partie du comit de crise de mon organisation en tant que spcialiste en connexit.

2- Le CERT/AQ

CERT de lAdministration Qubcoise

quipe technique spcialise en rponse aux incidents de scurit informatique Fonctionnement selon le modle dun CSIRT

le Modle

Le modle retenu pour lorganisation de notre quipe est celui des CSIRT (Computer Security Incident Response Team) tel que dfinit par le CERT/CC de lUniversit Carnegie Mellon. De faon gnrale, un CSIRT est une organisation ou une quipe qui est en mesure de soutenir une clientle dfinie en matire de prvention et de gestion des incidents de scurit informatique.

La clientle

Ministres, Organismes et Agences dont le budget de fonctionnement est vot, en totalit ou en partie, par l'Assemble nationale ou dont le personnel est nomm et rmunr suivant la Loi sur la fonction publique. Organisme public qui adhre une infrastructure commune du Gouvernement du Qubec.

Le CERT/AQ est une quipe compose de spcialistes multidisciplinaires en scurit de linformation numrique, particulirement en gestion des incidents de scurit informatique. Les champs de spcialisation sont : Les systmes dexploitation Windows, Unix et Linux; La scurit des rseaux TCP/IP; La gestion dincidents et des vulnrabilits; Les codes malicieux; La dtection dintrusion.

Cette quipe, affecte au Centre de services partags du Qubec (CSPQ) est rattache la Direction des services de tlcommunication multimdia de la DGRT.

Notre mission

Assister les M/O dans la gestion des incidents de scurit impliquant les TI.

Assurer le contrle de qualit des mesures de scurit des services RETEM

Assurer la coordination du rseau dalerte.

Nos objectifs
Favoriser la coopration entre les spcialistes des ministres et organismes (M/O) dans le but de prvenir, dtecter et ragir efficacement aux incidents de scurit informatique. Diffuser de linformation et des avis sur les menaces et les vulnrabilits potentielles et, diffuser au besoin des alertes. Amliorer la capacit de ladministration qubcoise se prmunir et ragir aux incidents et attaques informatiques en mettant en relation l'ensemble des spcialistes en leur fournissant les moyens techniques ncessaires pour l'change efficace d'information : dans le quotidien en situation de crise

3- Les services offerts par le CERT/AQ

Services pour les institutions gouvernementales Veille en matire de vulnrabilits et de menaces Expertise en scurit de linformation Expertise en gestion dincidents Expertise en codes malicieux Accompagnement Analyse des tendances Coordination du rseau dalerte Partage dinformation et dexpertise

Processus de gestion des incidents selon le modle du CERT

VIGIE

PRVENTION

DTECTION

RACTION

RTABLISSEMENT

Veille en matire de vulnrabilits et de menaces

7 jours sur 7 365 jours par anne Plusieurs sources dinformation consultes : GOVIRT CAN-CERT SANS FR-SIRT Publication davis et dalertes aux abonns la liste de distribution alerte.ra

La tlconfrence du CERT/AQ

Rencontre tlphonique ddie lchange dinformation en scurit informatique Diffuse chaque jeudi 11:00 HE. Accessible aux Agents de Liaison Techniques des ministres et organismes du gouvernement du Qubec

Gestion de crise

Le CERT/AQ coordonne la gestion dincident en cas de crise gouvernementale Il est le point central dchange dinformation tat global de situation Diffusion des mesures de protection Les participants informent le CERT/AQ : De ltat de la situation dans leur environnement De leurs succs / checs POST MORTEM Analyse dimpact de la crise Identifier les points forts et les points amliorer dans la gestion de crise

4- La gestion dincidents au CERT/AQ

Lagent de liaison technique (ALT)

Lagent de liaison technique (ALT), ou son substitut, est le porte-parole officiel du Ministre, Organisme ou Agence (M/O/A) et le reprsentant au sein du rseau dalerte. Si le M/O/A possde une quipe de gestion dincidents, la personne dsigne en est un membre actif de cette quipe. LALT possde de trs bonnes connaissances techniques en scurit de linformation et a un lien troit avec les administrateurs de systmes et de rseaux de son M/O/A.

Les spcialistes en gestion dincidents du CERT/AQ

Les spcialistes en gestion dincidents du CERT/AQ possdent la formation, lexprience et lexpertise ncessaire pour seconder sa clientle lors des pires incidents cyberntiques. Ils savent ce quil faut faire pour conserver les preuves et savent qui contacter selon la situation (fournisseur de service, ressources humaines, vrification interne, corps policiers, relations publiques, etc.). En tout temps, le client demeure le matre doeuvre car le CERT/AQ est l pour aider sortir de la crise, donc pour conseiller et seconder.

La formation du spcialiste en gestion dincident

Formation de lquipe auprs de spcialistes dans le domaine Mthodologies et procdures

Informations et connaissances redistribues lintrieur de la communaut

Le code de conduite dun gestionnaire dincidents du CERT-CC

1. Se concentrer sur les forces du CSIRT; 2. Sadapter en fonction de lauditoire; 3. Ne sexprimer quen son nom personnel; 4. Ne pas sexprimer pour les autres; 5. Faire des dclarations compltes; 6. Faire des dclarations concises; 7. viter le jargon; 8. User de dlicatesse et diplomatie; 9. Ne pas tre arrogant; 10. Ne pas tre trop familier; 11. Nexposer que les faits; 12. tre sincre; 13. Faire preuve de retenue; 14. Ne pas brusquer les choses (viter les tactiques choques); 15. Maintenir un climat de confiance; 16. Ne pas faire de promesses; 17. duquer; 18. Mettre lemphase sur le ct positif des choses; 19. Contrler la qualit des interventions; 20. Faire des critiques constructives;

Quest-ce quun vnement ?

Lorsque quelque chose se produit Un vnement nest Ni ngatif Ni positif Nous le classons selon nos perceptions Un vnement nest pas ncessairement un incident. Cela dpend de la politique de scurit de lorganisation.

Quest-ce quun incident?

Circonstance au cours de laquelle la disponibilit, lintgrit ou la confidentialit dun actif informationnel a t affecte de mme que toute situation prsentant les conditions requises pour potentiellement produire un mme rsultat.

Un incident de scurit peut tre le fruit dun dsastre naturel, dun bris matriel, dune erreur humaine ou dun acte malveillant. Sont considrs comme actes malveillants les attaques cyberntiques ou attaques via Internet, incluant les attaques de dnis de service, les intrusions, les vers et virus et autres.

Typologie des incidents de scurit informatique

Dni de Service Empcher les utilisateurs lgitimes dun rseau, dun systme ou dune application dy avoir accs. Code malveillant Virus, ver, cheval de Troie ou autre type de programme pouvant infecter un ordinateur. Accs non-autoris Une personne accde physiquement ou logiquement, sans apparence de droit un rseau, un systme, une application, une donnes ou toute autres ressources. Usage inappropri Une personne enfreint les rgles dthique dutilisation dun rseau, systme ou de toute autre ressource. Incident composant multiples Incident qui est compos de (2) deux incidents ou plus.

Classification des incidents

Les principaux types dincidents rencontrs

1. Code malveillant infections par simple navigation (i.e. attaques de XSS par injection SQL); 2. Vandalisme de page WEB 3. Usage inappropri dInternet et du courriel Attention aux actes criminels !!! Harclement, Pornographie Juvnile;

tapes de la gestion dincident selon le SANS Institute

Prparation Identification Confinement radication Recouvrement Bilan

Prparation

Se doter doutils et de ressources qui seront utiles la gestion dincident; Sassurer que les rseaux, systmes et les applications sont scuriss adquatement; Dterminer quels sont les vnements prcurseurs dincidents; Connatre le comportement normal des rseaux, systmes et applications; Effectuer une journalisation centralise des vnements; Lexactitude de lhorodatage est essentielle !!!

Trousse de gestion dincidents

Une trousse de gestion dincident devrait comprendre les outils suivants : Tlphones cellulaires et/ou tlavertisseurs Ordinateurs portables avec plusieurs cartes rseau Accs l'Internet qui soit autonome (i.e. carte cellulaire); Accs scuris aux infrastructures (VPN, etc.); Piles de rechange; Petit concentrateur (HUB); Cbles de rseau (branchements normaux et inverss); Logiciels utiliss pour la gestion d'incident; Aides mmoire; Procdures d'escalade, dintervention, etc. Liste de contacts Autres (papiers et crayons, CD vierges, etc.)

Identification

Important !!!! Consigner toutes les informations pertinentes aussitt que lon suspecte tre en prsence dun incident. Noms des personnes Coordonnes Dates et heures (fuseau horaire) Nom dordinateurs Adresse IP Etc.

Identification (suite)

Un travail dquipe Administrateurs Oprateurs Utilisateurs Aviser tt les gestionnaires ( autorisations ) Plusieurs niveaux de dtection Entre et sortie des rseaux Coupe-feu, SDI, Entre et sortie des serveurs Coupe-feu local, surveillance des ports, Serveurs et postes Antivirus, vrification dintgrit,

Identification

Le rle des premiers rpondants est important! Prise de connaissance On ne modifie rien Comprendre Documenter

Confinement

Les stratgies de confinement varient selon le type dincident. Elles doivent tre labores sparment pour chaque type dincident. Elles doivent tenir compte : Des dommages potentiels Du besoin de prserver des preuves De la disponibilit des services (connectivit rseau, services fournis la clientle interne et externe, etc.) Du temps et des ressources ncessaires la mise en oeuvre de la stratgie retenue De lefficacit de la stratgie (confinement total ou partiel dun incident)

Confinement (suite)

Prendre une copie de scurit Si possible copie bit par bit Requiert au minimum de couper le contact avec le reste du rseau Attention aux faons disoler Possibilit de raction teindre ou Dbrancher ?

 propos de la preuve numrique

Certaines preuves sont plus fragiles que dautres de par leur nature et elles doivent tre prserves par ordre de volatilit. Ordre de volatilit. 1. Registres et mmoires cache; 2. Tables de routage, liste de processus, statistiques du noyau et mmoire; 3. Fichiers temporaires; 4. Disques et autres units de stockage; 5. Journaux et donnes de monitoring externes qui sont relis ou qui sont pertinents lincident; 6. Configuration physique et topologie du rseau; 7. Donnes archives;

Preuves recueillir en premier lieu

ATTENTION! Nutiliser que des utilitaires se trouvant sur un mdia sr ( i.e. CDROM ) Liste des connections rseau (netstat) Liste des processus (process explorer) Sessions ouvertes (login) Fichiers ouverts Configuration des cartes rseau Contenu de la mmoire Live CD Helix

radication

Vise liminer la cause dun incident donn et doit tre excute, selon des procdures prtablies, par le personnel spcialis de lERII (CSIRT) ou les intervenants cibls cette fin. Lradication permet dliminer la cause de lincident comme, par exemple, la suppression dun code malicieux et la dsactivation dun code utilisateur incrimin.

Recouvrement

Reconstruction des systmes suite un incident; Mise en place de nouvelles mesures de scurit si ncessaire; Application de correctifs sur les systmes compromis; Cest durant cette tape que peuvent tre limines les mesures temporaires mises en oeuvre lors de ltape de confinement. Analyse post incident: Implique la recherche et lanalyse dempreintes laisses par les intrus, lanalyse de code source du journal du systme ou des virus, etc.. Permet de comprendre la nature dun incident et de suggrer les contremesures adquates et les procdures ncessaires la remise en tat des systmes affects. Permet de livrer les lments dinformations ncessaires la conduite dune enqute en collaboration avec les forces de lordre.

Investigation numrique

L'investigation numrique est une branche spcialise de l'informatique qui requiert des comptences allant au-del de celles ncessaires la maintenance et la scurit informatique. Ralise ltape du recouvrement; Ncessite lintervention de spcialistes; En particulier dans le cas dincidents de nature criminelle; Dans ce dernier cas on parle plutt dinvestigation numrique lgale.

Certifications en investigation numrique

Il existe des certifications spcifiques ce genre de tche: CHFI Computer Hacking Forensic Investigator GCFA GIAC Certified Forensic Analyst (SANS) CCE - Certified Computer Examiner

Bilan

Apprendre de lincident Pour ne plus se faire prendre de cette faon Rechercher les lments qui peuvent tre amliors Rdiger un rapport final Tenir une rencontre Souligner les lments positifs et fliciter

Facteurs dchec en gestion dincidents

Ne pas demander de laide (ou trop tard) Notes incompltes ou inexistantes Destruction de preuve Copies de scurit non fonctionnelles ou infectes Mauvais confinement Mauvaise radication Ne pas faire de bilan

5- Conclusion

En terminant, voici quelques conseils en cas dincident Surtout, ne paniquez pas; Tenez vous en votre plan de rponse aux incidents; Prenez les dcisions au bon moment; Nachetez rien sous limpulsion; Faites une investigation complte de lincident; Limitez la diffusion dinformations aux personnes concernes Besoin de Savoir ; Ne parlez pas aux mdias; la toute fin faites le mnage (liminez les traces et les squelles de lincident);

Merci!

Rfrences

SGQRI 049 guide pour la gestion des incidents de scurit de l'information numrique, Ministre des services gouvernementaux (mars 2004) Handbook for Computer Security Incident Response Teams (CSIRTs)
http://www.sei.cmu.edu/pub/documents/03.reports/pdf/03hb002.pdf

Computer Security Incident Handling Guide NIST(SP800-61)

http://csrc.nist.gov/publications/nistpubs/800-61/sp800-61.pdf