Préparation pour Récupérer après une Cyberattaque · –Avec les outils DBA, identifier et réparer les données erronées •Ces outils sont utilisés pour des problèmes autres

© Copyright, Risk Masters International LLC 2016. All rights reserved. 1

RMI Risk Masters International LLC

Préparation pour Récupérer après une CyberattaqueSteven RossDirecteur Exécutif


RMI

• Vol de renseignements personnels• Vol de propriété intellectuelle• Vol de ressources d'information précieuses• Atteinte à l’intégrité de l’information• Destruction de ressources d'information • Cette présentation s’adresse tout les types d’attaques

Diffèrent Genres des Cyberattaques


RMI

• Les plans pour récupération TI sont basés sur le transfert de données, le matériel, les logiciels et les réseaux à un site de sauvegarde– Insuffisant pour récupérer d’une cyberattaque destructive– Une attaque sur l’informatique principale rend inutile de remettre en

fonction les systèmes dans un autre endroit• L’attaquant frappera encore• Les soi-disant «reprises» sur un site de sauvegarde ne feront que

transférer le problème avec elle• Nouvelles anticipations

– Les durées maximales d'interruption admissible • Peuvent être inatteignable• Devront considérer la corruption de données

• Le nouveau paradigme: Récupération en Place

Votre Plan Pour Récupération TI Ne Fonctionera Pas


RMI

• Divulgation de renseignements– Arrêtez le problème

• Assurez-vous qu'il n'y en a pas d’autres– Prévenir les récidives

• Si des renseignements personnels sont impliqués, informez les autorités gouvernementales

– La majorité des opérations normales peuvent continuer durant la récupération

• Vandalisme du site web– Fermez le site– Réparez le problème– Retour à la normale

Récupération de Quoi?


RMI

• Manipulation de données– Arrêtez toutes les applications dont les données sont connues

pour être affectées et traiter toutes les autres données avec prudence– Identifier et réparer la cause du problème– Avec les outils DBA, identifier et réparer les données erronées

• Ces outils sont utilisés pour des problèmes autres que les cyberattaques

• Déterminer si certaines données ont été supprimées et si possible les remplacer– Nécessite l'utilisation de bandes de sauvegarde, peut-être sur plusieurs

générations• Redémarrer, avec prudence

– Dans certains cas, les opérations pourraient se poursuivre, si une nouvelle activité peut être isolée

Récupération de Quoi?, suite


RMI

• Manipulation ou destruction de logiciels– Identifier le logiciel infecté– Comparer les logiciels en production avec des copies validées– Dans certains cas, les fournisseurs de logiciels peuvent publier la

« signature » d'une attaque connue– Récupération nécessite des images validées et un environnement propre

• Journaux et « logs » également tenus de avancer– Remplacer le logiciel infecté ou détruit

• Cela peut nécessiter d'aller aussi loin que la dernière version du fournisseur

• Peut devoir être avancé avant les transactions• Les opérations ne peuvent pas continuer dans l'environnement affecté

jusqu'à ce que le logiciel soit remplacé et peut-être mis à jour



RMI

• Manipulation ou destruction de données– Identifier les bases de données affectées

• Partout où le logiciel est attaqué, il faut supposer que les données liées ont aussi été affectées

• Cependant, il peut y avoir des interactions entre les bases de données ne sont pas reflétés dans les logiciels

– Récupérer les données manipulées ou détruites• Cela nécessitera d'aller aussi loin que la date connue d’attaque• Peut devoir être avancé avant les transactions• Journaux et « logs » également tenus de avancer

– Les données répliquées peuvent être infectées, avec une perte d'intégrité• Ainsi la nécessité pour la bande



RMIRessources pour Récupération après Cyberattaque

Logiciel• Images validées de tous les logiciels

sur tous les équipements (serveurs, clients, réseau, entreposage, applications, etc.)

• Fournisseur médias pendant au moins deux générations

• Toutes les modifications autorisées au logiciel

• Endroit sécurisé et isolé pour entreposer des images validées

Personnes• Équipe de réponse d’urgence

informatique • Équipe de gestion des crises

Processus• Procédures de validation de logiciels

documentées• Procédures de continuité

documentées• Procédures d'acceptation de

l'utilisateur • Livres d'exécution

Données• Les données répliquées

• Toutes les infrastructures• Les applications critiques

• Les fichiers journaux• Les sauvegardes sur bande

enregistrée (même pour les bases de données répliquées)


RMI

• Quand il a été déterminé qu'une cyberattaque est en cours, il faut supposer que tous les logiciels sur le réseau affecté ont été touchés– Il est probable que ce n’est pas réellement ce qui est arrivé, mais il n'y a

aucun moyen de savoir ce qui a été attaqué sans validation– Ne faites pas confiance, mais vérifiez

• Pour cette raison, il doit y avoir une copie de chaque programme qui que l’on sait ne pas être affecté - une image validée– Les versions des logiciels– Mises à jour avec la base et les améliorations connues– Les résultats des tests qui valident le logiciel

• Images validées doivent être entreposées séparément du réseau auxquelles ils fonctionnent

Images Validées


RMI

• Un environnement net, totalement séparé du reste du centre informatique– Entreposage– Médiathèque (bande, lecteurs USB, CDs)– Disque de faible vitesse

• Les serveurs– Assez pour valider le logiciel – Non un site « chaud » de

récupération de TI

Centre Informatique Isolé

Centre Informatique Principal

Centre Informatique Isolé

Serveur de validation et restaurationImages Validées

Entrposage

Entreposage Médiathèque

Médiathèque

Réseau deutilisateurs

Centre Informatique LAN

Transfert des médias

Backup

s

Restores


RMI

• Il y a plusieurs façons dont une organisation peut localiser les installations nécessaires pour la récupération d’une cyberattaque. Chacun aura un impact sur le temps nécessaire et le coût de la récupération. Ceux-ci incluent:– Récupération en place, en utilisant le même équipement qui a été

attaqué– Un site séparé

• Un site « froid » pour restaurer uniquement les éléments de configuration concernés et exécuter des applications jusqu'à ce que l'on peut démontrer qu'il n'y a plus aucun danger d'attaque

• Un site en duplicate avec un équivalent d'infrastructure complètement fonctionnelle vers le site principal et avec les données répliquées

• Le Cloud n’est pas différent d'un site en duplicate

Le Site de Récupération de Cyberattaque

$


RMI

• Un terme ITIL pour « Tout composant qui doit être géré afin d'offrir un service informatique »

• Un élément dans un système de gestion de la configuration, qui inclut– Toute pièce de matériel informatique– Son logiciel associé– Les personnes– Bâtiments– Peut aussi inclure des documents et des plans (enregistrements de

configuration)• Récupération d'un CI signifie la restauration de tous les aspects qui ne sont

plus disponibles ou fonctionnels

Élément de Configuration (CI)


RMI

• Bare metal restore - récupération d'un élément de configuration à partir de zéro– Par définition dépendent des sauvegardes efficaces et

disponibles, donc les images validées– Est-ce les images validées ont été testées?– Sont-elles sûres?– Peuvent-elles être obtenues assez rapidement?– Sont-elles envoyées au centre de données isolé à un

intervalle réaliste?• Parce que quelque des données sont en cours de sauvegarde,

vous ne pouvez pas supposer que tout est sauvegardé

Bare Metal Restore


RMIProcessus de Récupération de Cyberattaque

Analyser Restaurer CIs Restaurer Applications

Déterminer quels éléments de configuration (CI) ont été attaqués et exigent la restauration

Bare metal restore de chacun des CI affectées (restaurationde l’infrastructure)

Restaurer le logiciel d'application, y compris les SGBD, les services de réseau, etc.

Restaurer Donnees Avancer Valider

Si les données ont été répliquées, ceci est une activité simpleSi les données doivent être récupérées par un autre moyen (par exemple, la bande) c’est une activité plus longue, plus complexe

Avancer à partir de la sauvegarde jusqu’au point d'attaqueCela peut nécessiter la re‐entrée des données (ou l'acceptation des données perdues)

La vérification et la validation des données par les utilisateurs indépendantsToutes défaillances d'intégrité doivent être réparées à l'aide des outils de SGBD


RMI

• Variables de cyberrécupération– Le nombre de personnes disponibles pour la validation du logiciel et de

récupération• Plus les personnes, plus de validation et récupération peuvent être

exécutés en parallèle– La fréquence à laquelle le logiciel est validé (authentifié non infecté)

• Plus souvent la validation est effectuée, moins de logiciels devront être récupérés

– Le nombre d’éléments de configuration par application• Plus il y a de CIs, plus de temps pour récupérer une application• Différencier les applications critiques et non critiques?

Combien de Temps pour la Récupération?


RMI

• Variables de cyber récupération– La quantité de données à restaurer

• Plus on réplique (comparativement à sauvegarder) moins de temps nécessaire pour récupérer les données

• L'intervalle de réplication affecte également le temps de récupération– Intervalles plus fréquents, moins de temps nécessaire pour

avancer les données à partir du moment de l'attaque– Inversement, plus de données a récupérer à partir des supports

amovibles, plus le délai• Le nombre de lecteurs de bande est un facteur de contrainte• Plus de lecteurs de bande, plus de données peuvent être récupérées

en même temps

Combien de Temps pour la Récupération?


RMI

• Variables de cyberrécupération– Les contraintes budgétaires

• Centre de données isolé (existante ou nouveau)

– Nombre de matériel informatique et de logiciels pour être maintenu dans l'état de préparation

– Données sauvegardées• Réplication ou de la bande • Frais d'exploitation• Personnel supplémentaire pour gérer le site

isolé • Temps et efforts pour les tests et la validation

Combien de Temps pour la Récupération?, suite


RMIÉtude de Cas: Hypothèses

Variable ValeurNombre total de serveurs physiques 400

Nombre d'applications 600

Nombre d'applications critiques 60

Vitesse de restauration d'application 1 heure par personne

Vitesse de restauration de données Toutes les données pour une application peuvent être récupérées en 1 heure

Avancement 1 heure par application

Vérification et validation indépendante 2 heures par application

Nombre de personnel technique disponible pour la récupération

10

Internet


RMIÉtude de Cas: Hypothèses, suite

Variable ValeurNombre de serveurs virtuels exécutant des applications critiques (Wintel) 1000

Ratio de compression 10:1

Nombre de serveurs virtuels (Unix) 0

Nombre d'applications critiques entièrement sur les serveurs Wintel virtualisés

30

Nombre de serveurs virtuels exécutant des applications critiques (Wintel) 400

Nombre d'applications critiques exécutant entièrement sur Unix 20

Nombre de serveurs Unix exécutant des applications critiques 100

Nombre d'applications critiques exécutant sur hybride de serveurs Wintel et Unix

10

Nombre d'administrateurs de systèmes Windows 5

Nombre d'administrateurs de systèmes Unix 5

Nombre d'équipes de vérification et de validation indépendantes 10


RMICombien de Temps Faut-il Pour Récupérer les Applications Critiques?

Wintel Heures Unix HeuresHeures pour récupérer des serveurs physiques (en supposant que les applications critiques étendues sur tous les serveurs physiques Wintel)100 serveurs ÷ 5 personnes

20 Heures pour récupérer des serveurs physiques (En supposant des applications critiques étendu sur tous les serveurs physiques UNIX)110 serveurs ÷ 5 personnes

22

Heures pour récupérer l'infrastructure sur chaque serveur (supposer le même que pour celui d'une application)400 serveurs virtuels ÷ 5 personnes

80 Heures pour récupérer l'infrastructure sur chaque serveur (en supposant le même que celui d'une application)100 serveurs physiques ÷ 5 personnes

20

Heures pour récupérer des applications(30 complètement Wintel, 10 hybride)40 applications ÷ 5 personnes

8 Heures pour récupérer des applications(20 complètement Unix)20 applications ÷ 5 personnes

4

Heures pour récupérer les données(En supposant toutes les données récupérées pour les hybrides)40 applications ÷ 5 personnes

8 Heures pour récupérer les données(En supposant toutes les données récupérées pour les hybrides)20 applications ÷ 5 personnes

4


RMICombien de Temps Faut-il Pour Récupérer les Applications Critiques?, suite

Wintel Hours Unix HoursHeures de roulement pour avancer les données ‐ 1 heure par application x 40 applications ÷ 5 personnes

8 Heures de roulement pour avancer les données ‐ 1 heure par application x 20 applications ÷ 5 personnes

4

Vérification et validation indépendante(En supposant 5 équipes sur 10)40 applications x 2 heures ÷ 5 équipes

16 Vérification et validation indépendante(En supposant 5 équipes sur 10)20 applications x 2 heures ÷ 5 teams

8

NOMBRE TOTAL D’HEURES 140 62

NOMBRE TOTAL DE JOURS 5.83 2.58

Sans dormir!


RMIFeedback?


RMI

• Pour continuer la conversation

Merci pour Votre Attention

Documents

Préparation pour Récupérer après une Cyberattaque · –Avec les outils DBA, identifier et réparer les données erronées •Ces outils sont utilisés pour des problèmes autres