Préparation pour Récupérer après une Cyberattaque - Steven Ross Directeur Exécutif
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
RMI Risk Masters International LLC
Préparation pour Récupérer après une
Cyberattaque
Steven Ross
Directeur Exécutif
© Copyright, Risk Masters International LLC 2016. All rights reserved. 1
Diffèrent Genres des Cyberattaques RMI • Vol de renseignements personnels • Vol de propriété intellectuelle • Vol de ressources d'information précieuses • Atteinte à l’intégrité de l’information • Destruction de ressources d'information • Cette présentation s’adresse tout les types d’attaques © Copyright, Risk Masters International LLC 2016. All rights reserved. 2
Votre Plan Pour Récupération TI Ne Fonctionera Pas RMI
• Les plans pour récupération TI sont basés sur le transfert de données, le
matériel, les logiciels et les réseaux à un site de sauvegarde
– Insuffisant pour récupérer d’une cyberattaque destructive
– Une attaque sur l’informatique principale rend inutile de remettre en
fonction les systèmes dans un autre endroit
• L’attaquant frappera encore
• Les soi-disant «reprises» sur un site de sauvegarde ne feront que
transférer le problème avec elle
• Nouvelles anticipations
– Les durées maximales d'interruption admissible
• Peuvent être inatteignable
• Devront considérer la corruption de données
• Le nouveau paradigme: Récupération en Place
© Copyright, Risk Masters International LLC 2016. All rights reserved. 3
Récupération de Quoi? RMI
• Divulgation de renseignements
– Arrêtez le problème
• Assurez-vous qu'il n'y en a pas d’autres
– Prévenir les récidives
• Si des renseignements personnels sont impliqués, informez les
autorités gouvernementales
– La majorité des opérations normales peuvent continuer durant la
récupération
• Vandalisme du site web
– Fermez le site
– Réparez le problème
– Retour à la normale
© Copyright, Risk Masters International LLC 2016. All rights reserved. 4
Récupération de Quoi?, suite RMI
• Manipulation de données
– Arrêtez toutes les applications dont les données sont connues
pour être affectées et traiter toutes les autres données avec prudence
– Identifier et réparer la cause du problème
– Avec les outils DBA, identifier et réparer les données erronées
• Ces outils sont utilisés pour des problèmes autres que les
cyberattaques
• Déterminer si certaines données ont été supprimées et si possible les
remplacer
– Nécessite l'utilisation de bandes de sauvegarde, peut-être sur plusieurs
générations
• Redémarrer, avec prudence
– Dans certains cas, les opérations pourraient se poursuivre, si une
nouvelle activité peut être isolée
© Copyright, Risk Masters International LLC 2016. All rights reserved. 5
Récupération de Quoi?, suite RMI
• Manipulation ou destruction de logiciels
– Identifier le logiciel infecté
– Comparer les logiciels en production avec des copies validées
– Dans certains cas, les fournisseurs de logiciels peuvent publier la
« signature » d'une attaque connue
– Récupération nécessite des images validées et un environnement propre
• Journaux et « logs » également tenus de avancer
– Remplacer le logiciel infecté ou détruit
• Cela peut nécessiter d'aller aussi loin que la dernière version du
fournisseur
• Peut devoir être avancé avant les transactions
• Les opérations ne peuvent pas continuer dans l'environnement affecté
jusqu'à ce que le logiciel soit remplacé et peut-être mis à jour
© Copyright, Risk Masters International LLC 2016. All rights reserved. 6
Récupération de Quoi?, suite RMI
• Manipulation ou destruction de données
– Identifier les bases de données affectées
• Partout où le logiciel est attaqué, il faut supposer que les
données liées ont aussi été affectées
• Cependant, il peut y avoir des interactions entre les bases de
données ne sont pas reflétés dans les logiciels
– Récupérer les données manipulées ou détruites
• Cela nécessitera d'aller aussi loin que la date connue d’attaque
• Peut devoir être avancé avant les transactions
• Journaux et « logs » également tenus de avancer
– Les données répliquées peuvent être infectées, avec une perte
d'intégrité
• Ainsi la nécessité pour la bande
© Copyright, Risk Masters International LLC 2016. All rights reserved. 7Ressources pour Récupération après Cyberattaque RMI
Personnes Processus
• Équipe de réponse d’urgence • Procédures de validation de logiciels
informatique documentées
• Équipe de gestion des crises • Procédures de continuité
documentées
• Procédures d'acceptation de
l'utilisateur
• Livres d'exécution
Logiciel Données
• Images validées de tous les logiciels • Les données répliquées
sur tous les équipements (serveurs, • Toutes les infrastructures
clients, réseau, entreposage, • Les applications critiques
applications, etc.) • Les fichiers journaux
• Fournisseur médias pendant au • Les sauvegardes sur bande
moins deux générations enregistrée (même pour les bases
• Toutes les modifications autorisées de données répliquées)
au logiciel
• Endroit sécurisé et isolé pour
entreposer des images validées
© Copyright, Risk Masters International LLC 2016. All rights reserved. 8Images Validées RMI
• Quand il a été déterminé qu'une cyberattaque est en cours, il faut supposer
que tous les logiciels sur le réseau affecté ont été touchés
– Il est probable que ce n’est pas réellement ce qui est arrivé, mais il n'y a
aucun moyen de savoir ce qui a été attaqué sans validation
– Ne faites pas confiance, mais vérifiez
• Pour cette raison, il doit y avoir une copie de chaque programme qui que
l’on sait ne pas être affecté - une image validée
– Les versions des logiciels
– Mises à jour avec la base et les améliorations connues
– Les résultats des tests qui valident le logiciel
• Images validées doivent être entreposées séparément du réseau auxquelles
ils fonctionnent
© Copyright, Risk Masters International LLC 2016. All rights reserved. 9Centre Informatique Isolé RMI
• Un environnement net, totalement séparé du reste du centre informatique
– Entreposage
– Médiathèque (bande, lecteurs USB, CDs)
– Disque de faible vitesse Centre Informatique Principal
• Les serveurs
Entreposage Médiathèque
– Assez pour valider le logiciel
Centre Informatique LAN
– Non un site « chaud » de
Backups
Restores
Transfert
Réseau de
récupération de TI des médias
utilisateurs
Serveur de validation
Images Validées et restauration
Entrposage Médiathèque
Centre Informatique Isolé
© Copyright, Risk Masters International LLC 2016. All rights reserved. 10Le Site de Récupération de Cyberattaque RMI
• Il y a plusieurs façons dont une organisation peut localiser les installations
nécessaires pour la récupération d’une cyberattaque. Chacun aura un
impact sur le temps nécessaire et le coût de la récupération. Ceux-ci
incluent:
– Récupération en place, en utilisant le même équipement qui a été
attaqué
– Un site séparé
• Un site « froid » pour restaurer uniquement les éléments de
configuration concernés et exécuter des applications jusqu'à ce que
l'on peut démontrer qu'il n'y a plus aucun danger d'attaque
$ • Un site en duplicate avec un équivalent d'infrastructure
complètement fonctionnelle vers le site principal et avec les
données répliquées
• Le Cloud n’est pas différent d'un site en duplicate
© Copyright, Risk Masters International LLC 2016. All rights reserved. 11Élément de Configuration (CI) RMI
• Un terme ITIL pour « Tout composant qui doit être géré afin d'offrir un
service informatique »
• Un élément dans un système de gestion de la configuration, qui inclut
– Toute pièce de matériel informatique
– Son logiciel associé
– Les personnes
– Bâtiments
– Peut aussi inclure des documents et des plans (enregistrements de
configuration)
• Récupération d'un CI signifie la restauration de tous les aspects qui ne sont
plus disponibles ou fonctionnels
© Copyright, Risk Masters International LLC 2016. All rights reserved. 12Bare Metal Restore RMI
• Bare metal restore - récupération d'un élément de
configuration à partir de zéro
– Par définition dépendent des sauvegardes efficaces et
disponibles, donc les images validées
– Est-ce les images validées ont été testées?
– Sont-elles sûres?
– Peuvent-elles être obtenues assez rapidement?
– Sont-elles envoyées au centre de données isolé à un
intervalle réaliste?
• Parce que quelque des données sont en cours de sauvegarde,
vous ne pouvez pas supposer que tout est sauvegardé
© Copyright, Risk Masters International LLC 2016. All rights reserved. 13Processus de Récupération de Cyberattaque RMI
Analyser Restaurer CIs Restaurer Applications
Déterminer quels Bare metal restore de Restaurer le logiciel
éléments de chacun des CI affectées d'application, y compris
configuration (CI) ont été (restauration les SGBD, les services de
attaqués et exigent la de l’infrastructure) réseau, etc.
restauration
Restaurer Donnees Avancer Valider
Si les données ont été Avancer à partir de la La vérification et la
répliquées, ceci est une sauvegarde jusqu’au validation des données
activité simple point d'attaque par les utilisateurs
Si les données doivent Cela peut nécessiter la indépendants
être récupérées par un re‐entrée des données Toutes défaillances
autre moyen (par (ou l'acceptation des d'intégrité doivent être
exemple, la bande) c’est données perdues) réparées à l'aide des
une activité plus longue, outils de SGBD
plus complexe
© Copyright, Risk Masters International LLC 2016. All rights reserved. 14Combien de Temps pour la Récupération? RMI
• Variables de cyberrécupération
– Le nombre de personnes disponibles pour la validation du logiciel et de
récupération
• Plus les personnes, plus de validation et récupération peuvent être
exécutés en parallèle
– La fréquence à laquelle le logiciel est validé (authentifié non infecté)
• Plus souvent la validation est effectuée, moins de logiciels devront
être récupérés
– Le nombre d’éléments de configuration par application
• Plus il y a de CIs, plus de temps pour récupérer une application
• Différencier les applications critiques et non critiques?
© Copyright, Risk Masters International LLC 2016. All rights reserved. 15Combien de Temps pour la Récupération? RMI
• Variables de cyber récupération
– La quantité de données à restaurer
• Plus on réplique (comparativement à sauvegarder) moins de temps
nécessaire pour récupérer les données
• L'intervalle de réplication affecte également le temps de
récupération
– Intervalles plus fréquents, moins de temps nécessaire pour
avancer les données à partir du moment de l'attaque
– Inversement, plus de données a récupérer à partir des supports
amovibles, plus le délai
• Le nombre de lecteurs de bande est un facteur de contrainte
• Plus de lecteurs de bande, plus de données peuvent être récupérées
en même temps
© Copyright, Risk Masters International LLC 2016. All rights reserved. 16Combien de Temps pour la Récupération?, suite RMI
• Variables de cyberrécupération
– Les contraintes budgétaires
• Centre de données isolé (existante ou
nouveau)
– Nombre de matériel informatique et de logiciels
pour être maintenu dans l'état de préparation
– Données sauvegardées
• Réplication ou de la bande
• Frais d'exploitation
• Personnel supplémentaire pour gérer le site
isolé
• Temps et efforts pour les tests et la validation
© Copyright, Risk Masters International LLC 2016. All rights reserved. 17Étude de Cas: Hypothèses RMI
Variable Valeur
Nombre total de serveurs physiques 400
Nombre d'applications 600
Nombre d'applications critiques 60
Vitesse de restauration d'application 1 heure par personne
Vitesse de restauration de données Toutes les données pour une
application peuvent être
récupérées en 1 heure
Avancement 1 heure par application
Vérification et validation indépendante 2 heures par application
Nombre de personnel technique disponible pour la 10
récupération
Internet
© Copyright, Risk Masters International LLC 2016. All rights reserved. 18Étude de Cas: Hypothèses, suite RMI
Variable Valeur
Nombre de serveurs virtuels exécutant des applications critiques (Wintel) 1000
Ratio de compression 10:1
Nombre de serveurs virtuels (Unix) 0
Nombre d'applications critiques entièrement sur les serveurs Wintel 30
virtualisés
Nombre de serveurs virtuels exécutant des applications critiques (Wintel) 400
Nombre d'applications critiques exécutant entièrement sur Unix 20
Nombre de serveurs Unix exécutant des applications critiques 100
Nombre d'applications critiques exécutant sur hybride de serveurs Wintel 10
et Unix
Nombre d'administrateurs de systèmes Windows 5
Nombre d'administrateurs de systèmes Unix 5
Nombre d'équipes de vérification et de validation indépendantes 10
© Copyright, Risk Masters International LLC 2016. All rights reserved. 19Combien de Temps Faut-il Pour Récupérer les RMI
Applications Critiques?
Wintel Heures Unix Heures
Heures pour récupérer des serveurs 20 Heures pour récupérer des serveurs 22
physiques (en supposant que les physiques (En supposant des
applications critiques étendues sur tous applications critiques étendu sur tous
les serveurs physiques Wintel) les serveurs physiques UNIX)
100 serveurs ÷ 5 personnes 110 serveurs ÷ 5 personnes
Heures pour récupérer l'infrastructure 80 Heures pour récupérer l'infrastructure 20
sur chaque serveur (supposer le même sur chaque serveur (en supposant le
que pour celui d'une application) même que celui d'une application)
400 serveurs virtuels ÷ 5 personnes 100 serveurs physiques ÷ 5 personnes
Heures pour récupérer des applications 8 Heures pour récupérer des applications 4
(30 complètement Wintel, 10 hybride) (20 complètement Unix)
40 applications ÷ 5 personnes 20 applications ÷ 5 personnes
Heures pour récupérer les données 8 Heures pour récupérer les données 4
(En supposant toutes les données (En supposant toutes les données
récupérées pour les hybrides) récupérées pour les hybrides)
40 applications ÷ 5 personnes 20 applications ÷ 5 personnes
© Copyright, Risk Masters International LLC 2016. All rights reserved. 20Combien de Temps Faut-il Pour Récupérer les RMI
Applications Critiques?, suite
Wintel Hours Unix Hours
Heures de roulement pour avancer les 8 Heures de roulement pour avancer les 4
données ‐ 1 heure par application x 40 données ‐ 1 heure par application x 20
applications ÷ 5 personnes applications ÷ 5 personnes
Vérification et validation indépendante 16 Vérification et validation indépendante 8
(En supposant 5 équipes sur 10) (En supposant 5 équipes sur 10)
40 applications x 2 heures ÷ 5 équipes 20 applications x 2 heures ÷ 5 teams
NOMBRE TOTAL D’HEURES 140 62
NOMBRE TOTAL DE JOURS 5.83 2.58
Sans dormir!
© Copyright, Risk Masters International LLC 2016. All rights reserved. 21Feedback? RMI © Copyright, Risk Masters International LLC 2016. All rights reserved. 22
Merci pour Votre Attention RMI • Pour continuer la conversation © Copyright, Risk Masters International LLC 2016. All rights reserved. 23
Vous pouvez aussi lire
