Livre Blanc

Interview de Cyril Voisin, Chief Security Advisor, Microsoft EMEA

Dans le cadre des Assises de la sécurité 2019, les étudiants de l'EPITA ont eu l'opportunité d'interviewer des acteurs majeurs dans le domaine de la cybersécurité. Cyril Voisin, Chief Security Advisor de Microsoft EMEA, aborde le principe d'EDR, détection et réponse à incident, et la gestion de l'identité en entreprise !

Quelle est votre approche en matière d’attribution ?

Comme la Convention de Genève Numérique le suggère, il faudrait une entité supra-nationale d'attributions qui, au même titre que les Nations Unis qui ont un rôle de médiateur pour les relations internationales, puisse le faire de manière indiscutable.

On évite de le faire de manière publique, mais nous avons une division qui fait de l’attribution appelée MSTIC (MicroSoft Threat Intelligence Center), qui va surveiller les acteurs de menace et qui va faire de l’attribution par pays. Les attributions restent discutables car il est tout à fait possible de lancer une attaque depuis un autre pays et de le faire passer pour un coupable potentiel.

Comment traitez-vous la détection et réponse à incident ?

Le rapport Verizon montre que tous les ans, le temps moyen entre l’entrée et la détection est de plusieurs mois, mais on a vu des cas où ça remontait à 3 ans. L’objectif de Microsoft est de réduire ce délai à quelques jours ou heures. En effet, on a vu au DEFCON il y a 3 ans, au Grand Cyber Challenge organisé par le DARPA, un CTF machine contre machine (pas d’humains, juste des IA en charge de défendre et d’attaquer). Aujourd’hui, avec des attaques gérées par des IA, le temps de réaction des humains est cent fois trop court.

Un des moyens d’aborder la réponse automatisée est montré par Hexadyte : leur solution permet, à la détection d’une intrusion, d’appliquer une forme de “playbook” pour investiguer sur tous les détails de l’intrusion (activités de l’IP liée, du compte compromis, autres points de latéralisation possibles…) pour faciliter l’investigation. Cependant, peu de gens vont plus loin en automatisant complètement la réponse, en bloquant des comptes ou en isolant des postes. L’approche de Windows regroupe les produits par catégorie (gestion des comptes, des mails, EDR…) qui communiquent entre eux sur la même plateforme pour partager les informations comportementales des comptes suspects. Nous proposons également d’y intégrer nos partenaires pour optimiser le fonctionnement.

La détection est maintenant essentiellement basée sur du machine learning, parce que créerdes règles précises de détection est pratiquement impossible. Par exemple, les virus: On n’utilise pratiquement plus de signature de virus à cause de leur polymorphisme: 90% des virus trouvés actuellement sont des fichiers uniques (quelques détails changent le hash complet). Notre approche utilise des bases heuristiques pour donner une note au fichier, mais 80% de chance d’être malveillant c’est trop peu: trop de faux positifs. En cas d’un fort soupçon, on envoie des métadonnées vers un analyseur dans le cloud qui va lancer des tests plus poussés. Si la probabilité augmente encore, on envoie le fichier complet pour le tester dans une chambre de détonation, ou on peut simuler beaucoup de choses (horloge, accès… C’est eux qui ont créé windows donc ils sont capables de faire illusion).
En effet, pour nous, non seulement le futur de la sécurité, mais même le présent est dans le cloud : on voit notamment des entreprises qui ont toute leur architecture on-premise et qui font leur sécurité sur le cloud, car c’est la méthode la plus rapide et efficace de partager des énormes volumes de données comportementales.

Comment avez-vous traité ou réagi face aux récentes attaques comme NotPetya ou WannaCry?

Le dernier sujet traité de recommandations d’amélioration de sécurité était par rapport aux attaques rapides, comme Wannacry et NotPetya. Les vecteurs de propagation de NotPetya étaient :

  • Vulnérabilité d’un produit Microsoft (Windows avec EternalBlue) pour lequel le patch était existant mais qui n’était pas forcément déployé partout
  • Mouvement latéral basé sur le vol de credentials qui était en mémoire. La source était une attaque de chaîne d’approvisionnement, via un logiciel de consolidation financière pour le marché ukrainien pour toutes les entreprises qui faisaient du business en Ukraine. Ils se sont fait compromettre et ont donc distribué une mise à jour contenant NotPetya. Une fois que votre serveur de compta était infecté, NotPetya utilisait soit un compte en mémoire capable de se logger ailleurs, soit la vulnérabilité du produit Microsoft si une machine autour n’avait pas le patch pour se diffuser.

Donc les 2 moyens de bloquer étaient :

  • Patcher
  • Faire en sorte d’isoler la machine (de ne pas avoir de credentials qui soit en mémoire)

Après on a des recommandations qui vont bien au-delà (au-delà du patch management d’une manière générale).

Quelles sont vos recommandations au sujet de la gestion de l’identité en entreprise?

Notre roadmap identité est la suivante :

  • Première chose à faire dans les 30 jours : avoir des comptes différents pour l’administration et le reste (mail, …). C’est rapide à mettre en place mais très important
  • Avoir des mots de passe d’admin locaux diversifiés. Si toutes les machines ont été masterisées avec le même master, elles ont toutes le même mot de passe local admin, et donc en compromettant une seule machine, on peut voler le hash du mot de passe et se connecter partout avec un « pass the hash ».

Dans active directory, chaque machine a un objet « computer » qui contient un attribut qui est le mot de passe admin de cette machine là et qui n’est lisible que par un admin. On a un outil gratuit (laps) qui permet de demander le mot de passe correspondant à une machine pour s’y connecter, donc c’est une méthode super simple. Il y a aussi des logiciels sur le marché (Cyberark, ...) qui proposent une solution similaire mais payante.

On équipe les administrateurs de machines sécurisées. Le principe de base sur lequel on va arriver dans les étapes suivantes c’est qu’un
administrateur n’a pas le droit de se connecter ailleurs que sur une machine d’administration.

Il y a des notions de trust basées sur des couches de confiance similaires à celles de
l’ANSSI : par exemple, l’Active Directory c’est ce que je dois truster le plus et il me faut
donc une machine qui soit d’un niveau de sécurité très élevé pour pouvoir se connecter dessus. On ne va pas administrer quelque chose de haut avec une machine qui est d’un niveau de sécurité plus bas car elle n’a pas le niveau de qualité nécessaire.

  • On commence à déployer Azure ATP (Advanced Threat Protection) pour détecter des  attaques.
  • On met l’authentification forte sur les administrateurs, réduisant le risque de sécurité de 99,99%. C’est le point le plus important et non négociable. On l’applique ensuite sur l’ensemble des utilisateurs.

On a plusieurs moyens de le faire, par exemple mot de passe et vérification sur téléphone par une application, ou clef YubiKey, carte à puce avec code pin, etc… C’est  très utilisé chez Microsoft avec par exemple le faceID comme 2 e facteur. On utilise beaucoup Windows Hello. Par exemple sur cette machine, je me log grâce à la caméra. Il y a une caméra infrarouge qui repère mon visage et un secret contenu dans la machine (il faut donc la machine et la biométrie pour pouvoir se logger). Windows Hello est facile à utiliser et donc un élément de sécurité apprécié (première fois en 20 ans de carrière qu’un utilisateur me remercie d’un apport pour la sécurité !).

Quelles autres technologies Microsoft met-il en place pour la réponse sur incident ?

Nous avons Credentials Guard, c’est une technologie dans Windows 10 qui permet d’éviter qu’un attaquant vole des identités enregistrées en mémoire d’une machine compromise. Nous avons voulu isoler ces identités dans une zone mémoire qui n’est pas lisible par l’administrateur, de telle sorte qu’il ne puisse pas les prendre pour les rejouer plus tard. S’il veut s’en servir, il doit s’en servir pendant qu’elles sont encore en mémoire.

Quand on devient plus sophistiqué, on se dirige vers un SIEM. Dans la logique de détection, nous avons Azure Sentinel, c’est le 1er SIEM construit sur un fournisseur de Cloud Hyperscale, et il fait aussi SOAR (Security Orchestration, Automation and Response). Globalement, il permet de collecter les logs de n’importe quel SIEM (pare-feu, checkpoint et tout ce qu’il y a à surveiller et qui a un intérêt pour de la détection ou la chasse à l’intrus) et va être capable de faire des détections supplémentaires à nos autres outils (Azure ATP, Defender ATP…) car il fournit une vue plus large de ce qu’il se passe. Puis nous avons du machine learning qui va essayer de reconstituer la kill chain de l’attaque en permanence, car prendre chaque élément séparément n’est pas forcément inquiétant, mais lorsque tout est ensemble, cela peut ressembler à une attaque. Et à partir de là, on peut répondre, on peut créer des procédures de réponse qui vont alerter le SOC, prendre des décisions en fonction de l’importance de l'événement ou mener une investigation. Dans ce cas, on envoie un ticket dans le ServiceNow afin d’orchestrer et d'échelonner les différentes étapes.

Notre spécificité, c’est qu’on permet aux clients d’apporter leur propre machine learning dans nos plateformes, pour les clients qui ont déjà des data scientists et pour lesquels leur métier comporte des particularités qui font qu’une attaque ne ressemblera pas à toutes les attaques. Nous permettons aussi la chasse à l’intrus, avec la technologie Azure Monitor Log Analytics qui va analyser un data lake de logs, et qui fonctionne avec un langage de requête performant sur de grosses quantités de données. Il permet notamment de tracer une activité de manière graphique, en affichant par exemple quels utilisateurs se sont connectés à quelles machines, avec quelles adresses IP, etc... Il est aussi possible d’automatiser la détection, mais c’est à prendre avec des précautions, car plus on rentre dans la sophistication, plus il est risqué de se tromper et de bloquer de la production. Donc on propose souvent de pré-packager et de proposer une solution à un analyste.

Notre philosophie, c’est de mettre le machine learning au service des humains qui travaillent dans la sécurité et non les remplacer, de faire en sorte qu’ils soient plus productif car aujourd’hui, un analyste de sécurité passe 30% de son temps à faire des choses utiles et 70% à chercher des infos de contexte pour comprendre ce qu’il est en train de regarder et prendre une décision : d’ici 2022, il manque environ 3,5 millions de personnes travaillant dans la sécurité.

Les informations de télémétrie de Windows ne mettent-elles pas en cause la vie privée?

Windows est vendu aujourd’hui comme un service, contrairement au passé où on fournissait un logiciel, et il important de fournir une bonne qualité de service donc il faut que nous ayons des informations sur les scénarios problématiques et les dysfonctionnements. Cela nous permet, moyennant l’accord de l’utilisateur, d’envoyer un descriptif technique aux fabricants de pilotes par exemple, que son produit pose problème avec un matériel donné, il peut ensuite corriger le problème et nous nous chargeons de distribuer la mise à jour. L’objectif est que cela soit vertueux, nous comprenons que certains n’en veulent pas donc c’est une option réglable.

D’une manière générale, nous concevons que la gestion de la sécurité est un tabouret à 3 pieds : l’identité, un appareil non compromis et de la télémétrie pour avoir des informations sur le comportement d’une machine. C’est sur ce principe que notre RSSI sécurise notre entreprise.