8min

Qualifier et endiguer la compromission d’un équipement de bordure réseau

Cybersecurity

Un équipement de bordure réseau est un équipement physique ou virtuel incluant les pares-feux en périmètre d’organisation, les passerelles VPN ou encore les routeurs de bordure d’entreprise ou les box Internet. Comment réagir si vous suspectez une compromission de ces équipements ou si elle est avérée ? Les fiches réflexe d’InterCERT France récapitulent les étapes de la qualification à l’endiguement de l’incident. 

L'incident doit d’abord être qualifié en répondant à un certain nombre de questions relatives à l’incident, son périmètre, son impact, et sa criticité.

Qualifier la compromission d’un équipement de bordure réseau 

Prérequis pour qualifier la compromission d’un équipement de bordure réseau 

Des expertises internes et éventuellement externes doivent être mobilisées pour la qualification de l’incident de sécurité. A cette étape, l’administration et le monitoring du système d’information, les équipements de bordure, et les équipements de sécurité doivent être accessibles aux personnes impliquées. Elles doivent aussi avoir connaissance des priorités métier de l’organisation et des contacts d’urgence.

Pour dresser l’historique du traitement de l’incident, suivre l’avancement de la remédiation et évaluer son efficacité, l’organisation doit ouvrir une main courante incluant :  

  • La date et l’heure de l’action ou de l’événement, 
  • Le nom de la personne ou du service qui a détecté ou informé de l’événement, 
  • La description détaillée de l’action ou de l’événement, les machines concernées, 
  • Les actions en réponse à l’incident...

Un stockage hors du système d’information compromis est requis, par exemple sur un dossier partagé en Cloud, un support externe, voire au format papier. 

Voyons les éléments à prendre en compte pour confirmer et qualifier la compromission d’un équipement de bordure réseau.

Evaluer la compromission d’un équipement de bordure réseau 

Confirmer la compromission de l’équipement de bordure réseau  

Cette étape permet d’en savoir plus sur la menace et éventuellement confirmer la compromission.

Pour identifier l’équipement suspect, il faut en premier lieu explorer les journaux et les informations provenant des outils de signalement interne (EDR, SIEM, antivirus...) et externes.

Une vulnérabilité logicielle a-t-elle signalée et un lien peut-il être établi avec l’incident détecté ? Les journaux présentent-ils des traces de connexions réseau malveillantes et sur quelle période ? En cas de compromission avérée, l’attaquant a-t-il un accès à l’OS de l’équipement ?
 

Evaluer le périmètre de de la compromission d’équipement de bordure réseau 

Si l’attaquant dispose d’un accès utilisateur, il peut accéder à des fonctionnalités de l’équipement. Dispose-t-il aussi de secrets d’authentification valides pour utiliser des fonctions de l’équipement, ou d’accès à des fonctionnalités qui devraient être protégées par authentification ? 

Si l’attaquant dispose d’un accès interne, la compromission est plus grave car il peut exécuter du code arbitraire (eg. “exécution de code à distance” (RCE)). 

Dans tous les cas, il est nécessaire de déterminer : 

  • Les accès réseau de l’attaquant via l’équipement compromis (LAN internes, systèmes tiers...),
  • Les secrets hébergés par l’équipement compromis qui permettent un accès au système d’information, et s’ils peuvent être renouvelés rapidement,
  • Si l’incident est circonscrit à une partie du système d’information identifiable,
  • Si des ressources d’administration ont été compromises...

Evaluer l’impact de la compromission d'un équipement de bordure réseau 

L’impact de l’incident peut porter sur le système d’information comme les activités métier, par exemple si l’attaquant peut réutiliser des secrets ou si des applications métier sont joignables par l’équipement compromis. Un fonctionnement en mode dégradé peut alors être requis.

Evaluer l’urgence à résoudre la compromission d’équipement de bordure réseau 

L’urgence à résoudre la compromission dépend du risque pour les activités vitales pour l’organisation, et de la capacité de l’attaquant à étendre ses actions à d’autres périmètres du système d’information. 

Si la compromission d’équipement de bordure réseau est confirmée, après avoir suivi les étapes vues plus tôt (qualification, évaluation du périmètre et de l’impact), les mesures d’endiguement peuvent être prises afin de contenir l’attaque.

Endiguer la compromission d’équipements en bordure réseau 

Les étapes de l’endiguement vont dépendre de la possibilité ou non d’isoler l'équipement, du fait que l’attaquant dispose ou non d’un accès utilisateur ou interne, de la présence ou non de vulnérabilités...  

L’avis d’expert

Avant toute isolation d’un équipement, les risques de perturbation du fonctionnement du système d’information et l’organisation doivent être évalués. Pour cette raison, l’étape de qualification est capitale.


Actions réseau possibles   

Isoler l’équipement de bordure réseau compromis 

L’isolation de l’équipement suspecté d’être compromis est la première mesure à prendre pour endiguer l’incident : l’équipement doit être mis en pause s’il s’agit d’une machine virtuelle, ou isolé par d’autres équipements, une déconnexion ou une désactivation s’il s’agit d’une machine physique. Ainsi isolée, la machine ne peut plus être utilisée par l’attaquant. A noter : s’il s’agit d’une passerelle VPN, les administrateurs chargés de la réponse à incident ont besoin de conserver un accès au système d’information.

Filtrer au maximum le trafic  

Le trafic peut être filtré par le biais des actions suivantes :  

  • Limitation de la surface exposée (désactivation des services non essentiels exposés, déconnexion d’Internet pour les services qui n’ont pas besoin d’y être connecté, listes d’accès pour les services exposés restants) ; 
  • Filtrage du trafic sortant de l’équipement (à réaliser de préférence en amont et en aval de l’équipement compromis et non sur l’équipement lui-même pour éviter que l’attaquant ne modifie la configuration réseau afin de s’octroyer des droits).
     

Isoler le service vulnérable 

Le service vulnérable doit être désactivé afin de le rendre inaccessible - à défaut, le trafic entrant doit au moins être filtré.

Actions système possibles   

Mettre à jour l’équipement et corriger les vulnérabilités 

Si l’équipement compromis est vulnérable et qu’un correctif de l’éditeur est disponible, il doit être déployé. A noter : cette mise à jour peut perturber le service et cet impact doit être anticipé.

Changer les secrets compromis  

Tout secret utilisé ou potentiellement utilisé par l’attaquant doit être changé. Dans le cas où des secrets ne peuvent pas être modifiés en raison du risque de perturbation du fonctionnement du système d’information, ils doivent être surveillés de près.

Appliquer les mesures de mitigation du fabricant  

Si le fabricant de l’équipement de bordure réseau compromis propose des mesures de mitigation, elles doivent être mise en œuvre afin de limiter les impacts de la vulnérabilité – tout en tenant compte des impacts potentiels sur le fonctionnement du système d’information.

Préservation des traces de compromission d’équipement de bordure réseau 

Afin de faciliter les investigations, les données système doivent être préservées (instantané de machine virtuelle, export de la configuration des machines physiques et des données système…), ainsi que les traces des journaux générés par l’équipement compromis.

Une fois l’endiguement réalisé, les équipes chargées de la prise en charge de l’incident peuvent des concentrer sur la surveillance des tentatives de récidive ou de retour de l’attaquant, et sur les investigations forensique.

Une compromission de système de bordure réseau peut avoir des conséquences qui nécessitent des actions allant au-delà du périmètre informatique – notamment la communication externe vers des partenaires voire le grand public, le dépôt de plainte, des déclarations aux autorités compétentes…


Et en cas de crise, comment s'organiser ? 
Découvrez tout ce qu'il faut savoir :


S'organiser pour gérer une crise en 5 points clés

Plus d'articles

Phishing

Phishing : bonnes pratiques à partager pour se protéger

De la très petite entreprise au grand groupe, de la mairie à l’institution étatique, toutes les organisations peuvent être la…

En savoir plus
4min
Méthodologie
Cybersecurity - Workspace Security Platform

Cloud, On-Premises, Air-gapped : l’impact d’une infrastructure sur le choix d’une solution de cybersécurité

Le choix des outils de cybersécurité tel qu’un EDR doit être cohérent par rapport au contexte technique, selon qu’une infrastructure…

En savoir plus
6min
Méthodologie
Cybersecurity Information System Mapping

Qualifier et endiguer une fuite de données

Les conséquences d’une fuite de données sont potentiellement multiples : pertes financières, poursuites judiciaires, dégradation de la réputation et de…

En savoir plus
10min
Méthodologie
Blog Cybersecurity Platform

Gestion des alertes en cybersécurité : les faux positifs

Pouvoir réagir au plus vite en cas d’incident de sécurité est crucial, mais encore faut-il disposer des bonnes informations au…

En savoir plus
10min
Méthodologie