SENTRIO L’attaque de décembre 2015 contre les réseaux ukrainiens

comment détecter de telles attaques et réagir à temps ? 25/11/2016
Auteurs : Patrice Bock
OAI : oai:www.see.asso.fr:17640:17644
DOI :
contenu protégé  Document accessible sous conditions - vous devez vous connecter ou vous enregistrer pour accéder à ou acquérir ce document.
- Accès libre pour les ayants-droit
 

Résumé

SENTRIO L’attaque de décembre 2015 contre les réseaux ukrainiens

Métriques

24
8
1.53 Mo
 application/pdf
bitcache://c63e523e05ff8f3c01013df800df515ef28c97e2

Licence

Creative Commons Aucune (Tous droits réservés)

Sponsors

Partenaires

logo-rte.jpg
enedis.jpg
telecombretagne_logo.jpg

Sponsors

logo_pole_cyber.png
cybercni-logo-fr-bd.jpg
<resource  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
                xmlns="http://datacite.org/schema/kernel-4"
                xsi:schemaLocation="http://datacite.org/schema/kernel-4 http://schema.datacite.org/meta/kernel-4/metadata.xsd">
        <identifier identifierType="DOI">10.23723/17640/17644</identifier><creators><creator><creatorName>Patrice Bock</creatorName></creator></creators><titles>
            <title>SENTRIO L’attaque de décembre 2015 contre les réseaux ukrainiens</title><title>comment détecter de telles attaques et réagir à temps ?</title></titles>
        <publisher>SEE</publisher>
        <publicationYear>2016</publicationYear>
        <resourceType resourceTypeGeneral="Text">Text</resourceType><dates>
	    <date dateType="Created">Thu 1 Dec 2016</date>
	    <date dateType="Updated">Thu 1 Dec 2016</date>
            <date dateType="Submitted">Mon 10 Dec 2018</date>
	</dates>
        <alternateIdentifiers>
	    <alternateIdentifier alternateIdentifierType="bitstream">c63e523e05ff8f3c01013df800df515ef28c97e2</alternateIdentifier>
	</alternateIdentifiers>
        <formats>
	    <format>application/pdf</format>
	</formats>
	<version>30113</version>
        <descriptions>
            <description descriptionType="Abstract"></description>
        </descriptions>
    </resource>
.

Sentryo L’attaque de décembre 2015 contre les réseaux ukrainiens : comment détecter de telles attaques et réagir à temps ? Semaine de la cybersécurité - Rennes Patrice Bock – Sentryo, ISA-France patrice.bock@sentryo.net 25 Novembre 2016 Agenda Comment détecter ? • démonstration avec le cas de l’attaque Ukrainienne Comment réagir à temps ? • articulation détection OT(1) & SOC(2) IT (1) : Operational technology (i.e. SI industriels, ICS…) – par opposition à IT (Information Technology) (2) : Security Operation Center – centre opérationnel de sécurité (local, opérateurs 24/7, procédures, SIEM) SIEM: Security Incidents and Events Management – gestion centralisée et corrélations logs, traces, alertes… Sentryo ■ Incorporated: June 2014 ■ Headquarter: Lyon - France ■ Venture capital backed : ACE MGMT, RAC ■ Target Industrial corporations: Energy, Process Industries, Critical manufacturing, Transportation.. ■ Office: France / Germany ■ Representation: USA, Germany, Chile, Emirates, Singapore ■ Founded and managed by serial entrepreneurs & cybersecurity veterans Member: Sentryo Protects the Industrial Internet Against cyber risks TechDate Awards Acceleration program COMPANY IDENTITY Partners Early Customers Cinématique de l’attaque ukrainienne Trois phases : 1. Compromission initiale d’un poste bureautique 2. Exploration et mise en place des “exploits” 3. Déclenchement et déroulement de l’attaque le 23/12/2016 Ukrainian attack step 1: malware in the mail ! Prykarpattya Oblenergo IT network Prykarpattya Oblenergo OT network Supervision Scada/DMSGateways Breakers A BlackEnergy malware is embedded in an Excel file and sent by email Ukrainian attack step 2: network scan & APT Prykarpattya Oblenergo IT network Prykarpattya Oblenergo OT network Supervision Scada/DMSGateways Breakers • Malware connects to distant C&C server • Network scan, hops to another host • Detects an open SSH tunnel to OT • Keyboard stroke recording (passwords…) for future use • While user away, opens SSH tunnel, connects to other systems and installs further malware on vulnerable hosts • Clean-up and installation on a low-profile persistent threat, ready for activation Ukrainian attack step 3: attack is triggered on Dec 23 rd , 2016 Prykarpattya Oblenergo IT network Prykarpattya Oblenergo OT network Supervision Scada/DMSGateways Breakers • SSH tunnel is activated to remote control an HMI • Shutdown orders are sent through the tunnel to the breakers • Local user reacts and is logged off, password is changed • Gateways firmware are overwritten by crap code • Workstations and servers disks are erased • DOS on the call center • UPS are shut down Après l’attaque : une soirée idéale pour l’astronomie… Points clés Il est trop tard pour réagir lorsque l’attaque est déclenchée (<15 mn) Il est largement temps de réagir si on détecte les activités d’exploration Bien menée, la phase d’exploration peut passer « sous le radar » : il est nécessaire de corréler les événements IT & OT pour générer des alertes Nécessité de corrélation IT & OT IT SOC with a SIEMICS CyberVision Mise en oeuvre d’une détection combinée Exemple : plateforme mise en œuvre en partenariat entre : Intégration CyberVision Qradar Sentryo IT SOC avec un SIEM • Maîtrise des réseaux et flux • Détection d’anomalies • Réponse à incidents ● Corrélation d’événements réseaux IT & OT ● Utilisation du SOC/SIEM existants ● Catalyseur de rapprochement des équipes IT & OT ICS CyberVision • Correlation événements IT & OT • Définition d’IoC pour OT • Pilote la réaction mais en s’appuyant sur les équipes OT Principe d’intégration de la Cyber Control Room avec un SOC IT Sentryo 1) et 2) Cartographie détaillée Sentryo 3) Définition de règles combinées IT & OT Règles dans le SIEM (ici Qradar) : OT : détection « écart par rapport à une référence » (baseline) SSA_Sentryo Suspicous OT Activities  Détection activité suspecte remontée de l’OT IT : règles pré-existantes (IoC) SSA_Malicious Domain Detection  connexion à un site web de reputation faible SSA_Connection from IT to OT  connexion entre IT & OT (à logger systématiquement !) Rajout d’une règle de corrélation pour créer une alerte sur la base d’événements : SSA_OT Network Attack  Correlation of all the above rules Sentryo Détection de l’attaque via corrélation dans le SIEM Sentryo 4) Zoom sur le « top offender » Sentryo 4) Levée de doute par visualisation des événements OT Sentryo 4) Plus de doute après examen du trafic nouveau hors référence Conclusion Techniquement, la détection OT et la corrélation avec les événements IT est possible aujourd’hui. Le challenge est organisationnel : coopération IT & OT et donc 1) démarrage et définition de projet (sponsor, lead, objectifs…) 2) culture cybersécurité à développer dans les équipes indus. 3) culture industrielle minimale à insuffler à la DSI / au SOC