Lignes directrices pour le traitement d'infections par ver des systĂšmes d'information

Auteur de la fiche IRM : CERT SG / Vincent Ferran-Lacome
Version de la fiche IRM : 1.3

Préparation

1
  • DĂ©finir les acteurs de chaque entitĂ© qui constitueront la cellule de crise. Ces acteurs doivent figurer dans un annuaire constamment maintenu Ă  jour.
  • S’assurer que les outils d’analyse (antivirus, IDS, collecteurs de journaux) sont fonctionnels, non compromis et Ă  jour.
  • S’assurer d’avoir une cartographie rĂ©seau Ă  jour.
  • S’assurer d’avoir un inventaire Ă  jour des actifs (comme une CMDB).
  • Assurer une veille permanente de la sĂ©curitĂ© et aviser les Ă©quipes en charge de la sĂ©curitĂ© de l’Ă©volution de la menace.

Identification

2

DĂ©tecter l’infection

Centraliser et analyser les informations de multipes sources :

  • journaux antiviraux ;
  • systĂšmes de dĂ©tection d’intrusion (IDS) ;
  • tentatives de connexion suspectes sur les serveurs ;
  • grand nombre de comptes bloquĂ©s ;
  • trafic rĂ©seau suspect ;
  • tentatives de connections suspectes sur les pare-feux ;
  • augmentation du nombre d’appels au support ;
  • charge Ă©levĂ©e ou blocage des systĂšmes ;
  • grande quantituĂ© de courriels envoyĂ©s.

Si l’un ou plusieurs des symptĂŽmes sont constatĂ©s, les acteurs dĂ©finits Ă  l’Ă©tape “PrĂ©paration” devraient prendre contact et si nĂ©cessaire activer la cellule de crise.

Identifier l’infection

Analysez les symptÎmes pour identifier le ver, ses vecteurs de propagation et les contre-mesures adaptées.

Des pistes suivantes peuvent ĂȘtre suivis :

  • bulletins des CERT / CSIRT ;
  • contact d’un support externe (Ă©diteurs d’antivirus…) ;
  • sites spĂ©cialisĂ©s en sĂ©curitĂ© (Secunia, SecurityFocus…).

Notifiez le Responsable de la SĂ©curitĂ© des SystĂšmes d’Information. Contactez votre CERT / CSIRT si nĂ©cessaire.

Qualifier le pĂ©rimĂštre de l’infection

Identifier les limites de l’infection (infection globale ou limitĂ©e Ă  une filiale…). Si possible, qualifier l’impact mĂ©tier de l’infection.

Endiguement

3

La cellule de crise devrait décider et suivre les actions suivantes :

  1. DĂ©connecter d’Internet le pĂ©rimĂštre infectĂ©.

  2. Isoler le périmÚtre infecté, le déconnecter de tout réseau.

  3. Si des systĂšmes critiques pour la poursuite de l’activitĂ© mĂ©tier ne peuvent ĂȘtre dĂ©connectĂ©s, les laisser en place aprĂšs s’ĂȘtre assurĂ© qu’ils ne peuvent constituer un vecteur d’infection ou appliquer des mĂ©thodes de contournement Ă©prouvĂ©es.

  4. Neutraliser les vecteurs de propagation, ceux-ci pouvant ĂȘtre n’importe quoi, du trafic rĂ©seau Ă  la faille logicielle. Des contre-mesures adaptĂ©es peuvent ĂȘtre prises (correctifs, blocage de trafic, dĂ©sactivation d’Ă©quipements…), comme les techniques suivantes :

    • Utilitaire de dĂ©ploiement des correctifs (WSUS),
    • Politiques de groupes Windows (GPO),
    • RĂšgles de pare-feux,
    • ProcĂ©dures opĂ©rational.

  5. RĂ©peter les Ă©tapes 2 Ă  4 sur chaque sous-pĂ©rimĂštre infectĂ© jusqu’Ă  l’arrĂȘt de la prolifĂ©ration du ver. Dans la mesure du possible, suivre l’infection avec des outils d’analyse (console antivirale, journaux des serveurs, appels au support).

La prolifĂ©ration du ver doit ĂȘtre suivie.

Périphériques mobiles

S’assurer qu’aucun ordinateur portable, PDA ou pĂ©riphĂ©rique de stockage amovible ne peut ĂȘtre utilisĂ© comme vecteur de propagation du ver. Dans la mesure du possible, bloquer toutes leurs connexions.

Demander aux utilisateurs de suivre scrupuleusement les consignes.

À la fin de cette Ă©tape, l’infection devrait ĂȘtre engiguĂ©e.

Remédiation

4

Identifer

Identifez les utilitaires et mĂ©thodes de remĂ©diation. Les ressources suivantespeuvent ĂȘtre envisagĂ©es :

  • Correctifs des Ă©diteurs (Microsoft, Oracle…)
  • Bases des signatures antivirales
  • Contact d’un support externe
  • Sites spĂ©cialisĂ©s en sĂ©curitĂ©

DĂ©finsez un processus de dĂ©sinfection. Ce processur doit ĂȘtre validĂ© par une antitĂ© externe, comme votre CERT ou CSIRT.

Tester

Tester le processur de dĂ©sinfection et s’assurer qu’il est effectif sans causer de dommage supplĂ©mentaire.

DĂ©ployer

DĂ©ployer les outils de dĂ©sinfection, les options suivantes pouvant ĂȘtre envisagĂ©es :

  • WSUS
  • GPO
  • dĂ©ploiement de signatures antivirales
  • dĂ©sinfection manuelle

Attention: certains vers bloquent certaines des méthodes de déploiement, auquel cas un contournement sera nécessaire.

L’avancement de la remĂ©diation devrait ĂȘtre suivi par la cellule de crise.

RĂ©tablissement

5

Vérifier que toutes les étapes précédentes ont été correctement suivies et obtenir une validation hierarchique pour les étapes suivantes.

  1. Rétablir le trafic réseau qui était utilisé comme méthode de propragation par le ver.
  2. Reconnecter les sous-périmÚtres entre eux
  3. Reconnecter les ordinateurs portables du périmÚtre
  4. Reconnecter le périmÚtre touché au réseau local
  5. Reconnecter le périmÚtre touché à Internet

Toutes ces Ă©tapes doivent ĂȘtre rĂ©alisĂ©es une Ă  une et sous une supervision technique imposĂ©e par l’Ă©quipe de crise.

Suites

6

Rapport d’incident

Un rapport de crise devrait ĂȘtre rĂ©digĂ© et mis Ă  disposition de l’ensemble des acteurs de la cellule de crise.

Les points suivants devraient ĂȘtre abordĂ©s :

  • Cause initiale de l’infection
  • Actions et chronologie de chaque Ă©vĂ©nement majeur
  • Ce qui s’est bien passĂ©.
  • Ce qui s’est mal passĂ©.
  • CoĂ»t de l’incident

Capitaliser

Capitaliser en identifiant les actions nĂ©cessaire pour amĂ©liorer les processus de traitement d’une infection par ver.