Contrôle, Surveillance, Réaction

Avec la première base de threat intelligence d’Europe, nous anticipons les menaces et opérons les défenses de nos clients pour répondre
aux attaques visant les actifs sensibles que nous protégeons


Veille

Les experts du pôle Recherche & Investigation travaillent quotidiennement à identifier les failles présentes sur les équipements et les réseaux de nos clients.

Détection

Les CyberSOCs détectent et traitent les alertes de sécurité. Installés en France et en Inde, ils assurent une surveillance 24/7/365 et analysent plus de 30 milliards d’événements par jour (SIEM).

Réaction

La CyberSecurity Incident Response Team (CSIRT) rassemble des spécialistes en investigation numérique et en réponse à incidents. Ils interviennent sans délai en cas d’incident ou de suspicion de malversation.

Contrôle

Les équipes d’Orange Cyberdefense évaluent le niveau de sécurité des composants et des dispositifs techniques chargés de traiter les services importants et les données confidentielles de nos clients.

Veille

Veille sur les vulnérabilités :

La vingtaine d’experts du pôle Recherche & Investigation, travaille quotidiennement à identifier les failles présentes sur les équipements et les réseaux de nos clients.

  • Une offre de veille sécurité : nos experts identifient et qualifient des dizaines de vulnérabilités sur plus de 5000 produits actuellement disponibles sur le marché. Distribué à travers une application en mode SaaS, ce service opéré en 24/7,permet de diffuser très rapidement des alertes personnalisées à nos clients lors de la découverte d’une faille concernant leur système d’information.
  • Une offre d’analyse de vulnérabilités : Orange Cyberdefense exploite une solution souveraine (hébergée et gérée en France dans les datacenters Orange). Au-delà de la fourniture d’un rapport automatique, nos experts contextualisent les impacts constatés et analysent les risques encourus par les clients ; si nécessaire, ils proposent un plan de remédiation.
Le renseignement cyber :

Cœur de l’activité du CERT (Computer Emergency Response Team), la veille sur les menaces externes est opérée en 24/7 par une trentaine d’experts à partir de nos implantations de Paris, Singapour et Montréal. L’équipe du CERT d’Orange Cyberdefense maitrise plus d’une dizaine de langues étrangères.

Nos domaines de compétences et d’intervention concernent notamment :

  • La surveillance de la réputation IP,
  • La surveillance des sites web,
  • La lutte contre les fraudes à l’identité (Phishing, …),
  • La surveillance des noms de domaine,
  • La surveillance des boutiques d’applications mobiles,
  • La fuite d’informations (dataleaks),
  • La veille réputationnelle.

En cas de découverte d’actions malveillantes, nous proposons les contremesures les plus adaptées.

Le CERT effectue des études sectorielles approfondies sur la cybercriminalité et des investigations personnalisées. Nous procédons à la collecte des informations frauduleuses grâce à nos propres automates de recherche et d’analyse. Une fois identifiées, elles font l’objet d’une qualification et d’une vérification par un analyste spécialisé. Enfin, nous sommes en mesure de déclencher les contremesures appropriées.

 Le Laboratoire d'épidémiologie et de Signal Intelligence :

Le Laboratoire d'épidémiologie et de Signal Intelligence d’Orange Cyberdefense effectue une veille constante sur les logiciels malveillants. C’est un centre de profilage des comportements de ces malwares qui bénéficie de la mise en place de procédés épidémiologiques d’incubation novateurs. Les indicateurs de compromission (IoC) ainsi établis, permettent de détecter les équipements potentiellement compromis chez nos clients.

Aujourd’hui, plus de 300 000 malwares dont 50 000 environ dans le secteur bancaire sont ainsi analysés quotidiennement par nos systèmes.

Détection

Veille sur les vulnérabilités :

Les CyberSOCs rassemblent l’expertise d’Orange Cyberdefense en matière de détection et de traitement des alertes sécurité. Grâce aux 150 experts répartis sur ses sites en France et en Inde, ils assurent une surveillance continue 24/7/365 pour plus de 80 grandes entreprises/organisations, et analysent plus de 30 milliards d’événements par jour au travers de ses solutions SIEM (Security Information and Event Management).

Nos CyberSOCs s’appuient sur les profils d’expertise suivants :

  • des opérateurs qui réceptionnent et qualifient les alertes, des analystes qui évaluent en détails les menaces, rédigent les rapports d’incidents et proposent des premiers plans de remédiation,
  • des experts qui font évoluer en permanence les règles de détection des solutions SIEM, conçoivent de nouvelles contremesures et interviennent en soutien
  • des analystes pendant les crises de sécurité, des responsables sécurité opérationnels (Security Managers) qui pilotent les gestions de crise et proposent aux clients
  • des plans d’amélioration de leur politique de sécurité.

Le CyberSOC basé à Rennes est actuellement en cours de qualification PDIS (Prestataire de Détection des Incidents de Sécurité) de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).

 

Nos offres de services :

Réaction

Le CyberSecurity Incident Response Team (CSIRT) d'Orange Cyberdefense rassemble des experts en investigation numérique (Digital Forensics) et en réponse à incidents. Cette équipe dispose des compétences, de l’outillage et d’une organisation lui permettant d’être rapidement efficace aux côtés de ses clients en cas d’incident, de problèmes ou de suspicion d’intrusion ou de malversation.

Nous nous inscrivons également dans la démarche du référentiel PRIS (Prestataire de Réponse à Incident de Sécurité) de l’ANSSI, qui a pour objectif de qualifier des prestataires de confiance.

Nous nous proposons d'accompagner les équipes sécurité de nos clients pour la gestion d'un incident de sécurité sur leur SI, avec pour objectifs de déterminer l'état des lieux suite à l'incident, le périmètre impacté par l'incident et ses causes exactes. Dans le cas d'une attaque, le CSIRT OCD déterminera le mode opératoire de l'attaquant, la séquence des évènements, le vecteur d'intrusion et les moyens d'élévation de privilèges et de déplacement horizontal.

Nous étendons notre accompagnement des équipes client par des prestations proactives d'expertise en investigation forensique et de réponse à incident, telles que :

  • la rétro-ingénierie de logiciels malveillants,
  • la levée de doutes sur des systèmes ou supports de données (matériel sorti du contrôle physique du client, support de données douteux),
  • la rédaction de politiques de sécurité et de procédures opérationnelles,
  • la recherche proactive de compromission (threat hunting),
  • l'évaluation ou proposition de mesures de durcissement système,
  • la localisation et sécurisation de preuves (e-discovery) en vue d'exploitation légale,
  • l’accompagnement dans la reconstruction d’environnements Active Directory.

Contrôle

Les systèmes d’information sont en constante évolution, certains services sont confiés à des éditeurs de solutions SaaS, d’autres infogérés par des prestataires, au point qu’une perte de maîtrise du niveau de sécurité de SI est perçue comme un risque important pour les organisations. 

 

Cette nouvelle application peut-elle passer en production sans risque ? Cet éditeur propose-t-il un service digne de confiance dans la protection de mes données ? Quel est le niveau de sécurité réel de cette filiale que nous venons d’acquérir ? Un intrus pourrait-il s’introduire dans mon réseau
d’administration ? Ce sont notamment les questions auxquelles nous pouvons vous aider à répondre. 

 

L’activité Contrôle d’Orange Cyberdefense rassemble les compétences de nos spécialistes pour mener des investigations, vérifier, évaluer le niveau de sécurité des composants et des dispositifs chargés de traiter les services importants et les données confidentielles de nos clients.

Chiffres clés :
  • Plus 60 spécialistes
  • 600 missions par an
  • Plus de 700 clients
  • 80% de nos auditeurs sont certifiés (OSCP, CEH, CISM, ISO 27001…)
Nos activités :

avec une démarche offensive nous nous rapprochons des cas réels de compromission des systèmes et des données pour identifier les faiblesses dans les infrastructures de nos clients. Nos spécialistes peuvent utiliser plusieurs vecteurs pour éprouver la sécurité et les capacités de défense (tests d’intrusion logiques, intrusion physiques dans les locaux, social engineering, phishing / spear phishing, Red Team …)

le code produit est rarement exempt de bugs. Certains de ces bugs peuvent entraîner des conséquences particulières et mettre à défaut la sécurité de l’application. Nos spécialistes sont formés pour détecter les failles logiques et tout écart vis-à-vis des bonnes pratiques de développement par une revue minutieuse du code source d’une application.

malgré tous les efforts que l’on peut produire, il est parfois complexe de sécuriser une infrastructure qui n’a pas été conçue initialement de façon sécurisée.  Nous recherchons les faiblesses structurelles dans la conception des infrastructures et nous proposons des améliorations. Nous analysons le paramétrage des composants IT pour y déceler les vulnérabilités. Nous pouvons même vérifier la robustesse des mots de passe pour évaluer leur conformité aux règles de sécurité internes.

notre service dédié à l’analyse des vulnérabilités permet d’apporter une vue régulière sur l’état de l’application des correctifs de sécurité et, plus largement, sur toute faille connue qui pourrait affecter les réseaux de nos clients. Notre approche complètement automatisée ou semi-automatisée permet d’apporter à nos client l’information la plus adaptée dans un délai très court.

Case study

Réponse à incident de sécurité : protéger les informations et minimiser l'impact

Suite à une intrusion sur un cluster applicatif, ACME Corp. a confié les activités de réponse à incident et d'investigation numérique au CSIRT Orange Cyberdefense. L'intervention rapide du CSIRT a permis de minimiser l'impact de l'incident et de mettre en œuvre des mesures de remédiation adaptées sans interruption de service.

Contexte et enjeux

Les utilisateurs de ACME Corp. ont constaté un dysfonctionnement d'une application extranet, avec des temps de traitement anormalement longs. Cette application est développée et maintenue par les équipes techniques de ACME Corp., et est supportée par une architecture trois tiers, avec cinq serveurs applicatifs web Apache Tomcat en répartition de charge et deux serveurs de bases de données en actif/passif. Ce cluster applicatif héberge plusieurs applications web accessibles à ses clients et partenaires afin de valider des commandes en cours, déclencher des interventions de TMA, et télécharger des mises à jour applicatives.

Au-delà de la nuisance actuellement ressentie par les utilisateurs, une intrusion sur ce serveur exposerait des données confidentielles de l'entreprise et de ses clients, et sa mise hors service perturberait plusieurs processus métier dont certains sont soumis à des SLA impliquant de fortes pénalités en cas de non-respect. Une investigation interne menée par les équipes d'administration de ACME Corp. a identifié plusieurs processus inconnus s'exécutant sur un des serveurs Apache, et consommant la majorité des ressources processeur du serveur.

Suite à cette détection, ACME Corp. a sollicité les équipes de réponse à incident d'Orange Cyberdefense dans le cadre du service CSIRT (CyberSecurity Incident Response Team) auquel il avait souscrit, lui garantissant une intervention en un jour ouvré d'enquêteurs qualifiés afin de qualifier l'incident et déterminer la posture de sécurité à tenir, définir le périmètre touché, circonscrire l'incident et rendre le contrôle du périmètre touché à l'entreprise.

Solution mise en œuvre

Les équipes d'investigation Orange Cyberdefense sont intervenues pendant dix jours dans les locaux de Client afin de définir le périmètre impacté par l'incident, et de procéder à la collecte des preuves à fin d'analyse. Les images des disques durs et de la mémoire vive des cinq serveurs web frontaux et des deux serveurs de base de données, ainsi que les journaux du reverse proxy ont été collectés, et une copie de ces preuves préservée pour une éventuelle exploitation légale.

La première phase de l'investigation a consisté en l'analyse par rétro-ingénierie des binaires à l'origine des processus inconnus. Les experts en analyse de malware Orange Cyberdefense ont identifié ces binaires comme des mineurs de crypto-monnaie, et d'extraire de leur configuration des indicateurs de compromission (adresses IP contactées, signatures YARA permettant d'identifier l'exécution du processus) qui ont été cherchés sur l'ensemble du périmètre des serveurs ACME Corp., validant l'étendue de la compromission à l'ensemble des serveurs frontaux.

L'analyse du contexte d'exécution de ces binaires a permis d'identifier une persistance sur le système au moyen d'une entrée dans la crontab de l'utilisateur root. L'analyse du système de fichier et des fichiers journaux applicatifs et système des serveurs touchés a permis de conclure à une compromission via une vulnérabilité connue dans le framework Apache Struts . En exploitant cette vulnérabilité, l'attaquant a déposé un script perl sur le serveur, contenant un reverse-shell, c’est-à-dire une connexion sortante depuis le serveur compromis vers un serveur sous le contrôle de l'attaquant lui permettant d'exécuter des commandes de son choix.

L'analyse des traces laissées sur le système par l'attaquant, ainsi que la mise en place d'une capture des flux réseau générés par le reverse-shell ont donné aux équipes de réponse une vision exhaustive des activités malveillantes effectuées sur le système.

Bénéfices

L'analyse de l'ensemble des éléments collectés et l'exploitation en temps réel du trafic réseau ont permis d'établir une chronologie des actions effectuées par l'attaquant sur le serveur : grâce à son premier accès va le reverse-shell, l'attaquant a parcouru le code source applicatif à la recherche d'identifiants avec lesquels il a tenté d'élever ses privilèges sur le premier serveur compromis.

L'un des identifiants utilisé pour synchronisation avec une application interne lui a permis d'élever ses privilèges jusqu'à l'utilisateur root, et de déposer ses mineurs de crypto-monnaie sur l'ensemble des frontaux web après une rapide découverte du périmètre réseau. En sus, l'attaquant a effectué des recherches sur le serveur de bases de données afin d'identifier des mots de passe applicatifs et des numéros de carte bancaire. Il a exfiltré les premiers via son reverse-shell, et n'a pas trouvé de données bancaires, la base de données n'en contenant pas.

La principale crainte de ACME Corp. concernait la fuite de son fichier de clients et de ses bordereaux de prix, auxquels heureusement l'attaquant ne s'est pas intéressé. Une fois identifié le périmètre de la compromission et les moyens de contrôle de l'attaquant sur le périmètre, les équipes d'investigation et de réponse d'Orange Cyberdéfense ont pu assister les équipes d'ACME Corp. dans l'éviction de l'attaquant et la remédiation de l'incident : reconstruction de serveurs applicatifs sains sur la base d'une version à jour du framework Struts, puis passage en production de ces serveurs synchronisé avec le blocage au niveau des pare-feux des adresses IP utilisées par les reverse-shells et les mineurs de crypto-monnaie, et changement des identifiants des serveurs compromis ou visités par l'attaquant.

Orange Cyberdefense a enfin développé un système de surveillance des authentifications aux applications desquelles les identifiants ont été exposés, permettant à ACME Corp. de planifier une réinitialisation de ceux-ci avec ses partenaires.