vendredi 25 août 2017

Faire preuve de conviction

L'article précédent était resté 2 mois en brouillon dans Blogger. Depuis j'ai réussi à montrer au DSI (directeur) et à la DSI (direction) nos faiblesses. Ils sont engagés dans ces chantiers de hardening et je me retrouve pilote à suivre leur avancement avec leurs très peu de disponibilité...

Heureusement qu'il y a des incidents commet un brute force sur AD remonté par le SIEM et qui vient de nulle part... Les events Windows ont le bon goût de mettre le hostname et non l'IP source. On a fait la chasse à "Windows 7" et "freerdp"... Obligé de sniffer le réseau sur le DC... Pour tomber sur un port RDP ouvert sur Internet dans une filiale racheté avec les admins qui ont démissionnés depuis longtemps.
Il y a aussi eu ce ransomware, toute dernière version de Locky qu'on a réussi à tracer et qui est venu d'un vieux serveurs de mail gardé au cas où alors que la société a changé de nom depuis 7 ans. 7 ans qu'un serveur tourne en Roumanie (c'est pas la Roumanie, mais c'est pareil), sans être vraiment géré et sans antispam... Le routage des mails sur notre infra se fait par l'intérieur sans repasser par l'antispam. \o/

Je profite de ces occasions pour faire travailler les gens ensemble en leur faisant comprendre leurs responsabilités respectives... L'admin messagerie qui doit analyser les mails de la victime, le proxy web avec les navigations de la victime, puis de toutes les personnes qui se sont connectés au domaine malveillant, puis l'admin du serveur de fichiers pour faire la restauration...

Je fais bien mon rôle de "coordinateur sécurité", mon DSI a compris ma valeur ajoutée sur le sujet et commence à me faire confiance. J'essai aussi de mieux le cerner. C'est un gestionnaire qui ne fonctionner qu'avec des reportings, qui doit justifier les budgets, négocie des contrats et refacture aux filiales. Il a de nombreuses compétences, mais ne saurait pas faire une macro Excel ou calculer un sous-réseau. On a encore du temps pour s'apprivoiser l'un l'autre. Le poste commence à être intéressant.

Aucun commentaire:

Enregistrer un commentaire