Or donc, mes amis proches savent que j'ai changé récemment de poste. J'ai l'impression d'avoir fait un audit de 3 mois (loin d'être terminé) et j'ai d'ailleurs eu un pentest interne par une société tierce. Mais là où l'auditeur peut se satisfaire de trouver quelques failles, moi j'ai besoin de connaître un maximum de faiblesses et avoir une idée de ce qu'il peut arriver.
Pour poser un peu le contexte, le RSSI était sous la DSI, il a fait le travail de fond sur les politiques et, soi-disant, a été détaché de cette direction pour être impartial. Sa place était donc vacante et une personne plus technique et opérationnelle était la bienvenue. Sauf qu'on m'attend principalement pour piloter les actions 27001 et aider à la rédaction de propositions commerciales et plan d'assurance sécurité pour dire qu'on fait bien les choses. En gros mon chef ne comprend rien à mon expérience et à ce que je pourrai apporter de nouveau.
Je partage donc mon temps en 2 pour me garder une part de technique sans quoi ça ne sert à rien que je reste là-bas. J'ai profité de WannaCry pour scanner le réseau qui est très vaste. Un coup de masscan histoire de... mais le réseau a un peu mal tenu. On peut voir ici un bon conseil qui est de mettre le rate entre 5000 et 10000 pour commencer. J'étais à 10000, je suis obligé de faire à 1000 pour passer sous le radar. Le firewall qui porte les VPN des filiales a fièrement fêté ses 10 ans...
La semaine suivant WannaCry (15/05/2017) j'avais 580 machines vulnérables, en juin 300, en juillet toujours 300 machines avec une faille RCE dont l'exploit est public. Le patch management est défaillant dans plusieurs filiales. A tout hasard je vérifie heartbleed et je ne trouve que 6 machines vulnérables... On a une licence NESSUS que je vais faire chauffer :)
Comme je l'ai dit, il y a eu un pentest interne la semaine dernière et les auditeurs étaient concentrés sur les dernières techniques de hack sur Active Directory alors que la demande était de balayer large. Ils ont réussi à devenir admins du domaine avec les techniques presque imparables, mais sur un seul domaine. J'en arrive donc à lancer l'artillerie lourde : masscan (même pas peur) pour identifier les interfaces web et EyeWitness pour faire des screenshots.
Je passe en revue tous les Tomcat (tomcat//tomcat), les imprimantes (s'il y a un compte AD configuré pour déposer les scans sur un partage), toute interface d'admin. J'ai une brouette de NAS, switchs, imprimantes, interphone (!!!), carte TCP/IP pour centrale de sécurité (!!!) avec le mot de passe par défaut. Et là j'en ai sur toutes les filiales. (Un admin a détecté mon activité... Respect.)
Mon objectif est maintenant de montrer à mon chef (le DSI) que le niveau de maturité est bas et qu'on est tout sauf protégé. Le DSI veut que par moi-même (donc sans son appui) j'arrive à convaincre les IT manager de prendre le temps de corriger tous ses problèmes alors que déjà le patch management leur pose problème sous Windows. Je ferai de mon mieux... Je ne promets rien. J'espère qu'ils se sentiront mal quand j'aurai mis des indicateurs mensuels sur la correction des vulnérabilités.
Comme on dit, quand la prévention ne fonctionne pas, il faut se préparer pour la détection et la réaction. J'ai donc commencé à faire une cartographie et un inventaire, mais aucun document de référence n'est à jour pour permettre d'attribuer une IP à une filiale et donc à un contact précis... Espérons que l'antivirus fasse son boulot parce qu'en cas d'incident je suis à poil. (Oui, c'est une blague... on connait bien l'efficacité des antivirus.)
Donc à ce jour en nouveau chantier caché j'ai une auto-évaluation guide d'hygiène de l'ANSSI et d'autres matrices et guides sur la réponse à incident.
Aucun commentaire:
Enregistrer un commentaire