nathan.genret/firewall
1
0
Fork 0
forked from guillaume.emorine/siotp
Code Pull Requests Activity
firewall/bts_annee_2/vagrantfiles/securisation-linux/Manutan_Questions.txt
Guillaume Emorine 6b64852985 Légère mise à jour du dépôt.
2025-01-23 09:30:34 +01:00

16 lines
2.0 KiB
Plaintext
Raw Blame History

# Questions sur Manutan et DopperPaymer
L'AD n'était pas nettoyé donc possiblement des portes dérobées cachées dedans. Pour l'attaque, un employé clique sur un lien de phishing, et un bot vient, puis deux, puis trois, etc. Ils ont ensuite espionné le réseau après être entré par hasard, et ont déterminé que Manutan était une bonne cible.
Il a fallu 10 jours et 10 nuits non-stop pour restaurer 80% des serveurs, les 20 autres pourcents = près de trois mois.
L'AD était le premier serveur Windows à être restauré. 400 serveurs Unix pas touchés par le ransomware.
Pour eux, ils utilisent Rubrik pour des sauvegardes immuables, qu'on ne peut pas supprimer ni modifier tant qu'une date de péremption n'est pas passée. D'ailleurs, Manutan n'ont pas parlé de comment ils ont fait pour gérer le problème des serveurs de sauvegarde pleins par les doubles sauvegardes Rubrik.
75% de leurs serveurs sont Microsoft chez Manutan, et cela offre une grande surface d'attaque. Les serveurs partagent aussi leur stockage en réseau, donc ça créé des passerelles vecteurs de propagation. Ils vont mettre une plateforme d'intermédiation. Leurs applications ne sont aussi pas sécurisées par elle-même donc elles doivent être reconstruites et réécrites avec la sécurité inclue dans le design. Enfin, ils se séparent de deux autres outils de sauvegarde qui ne les ont pas aidés, qui sont Veeam et NetBackup. Dans leur cas, trois méthodes de restauration ajoute beaucoup de complexité face à certains incidents comme ceux récent.
Ils vont devoir faire une refonte totale du SI en incluant aucune version de Windows inférieure à Serveur 2016 ou RHEL 7.9, et ce sera cher. Ils se séparent de VMWare pour leurs clusters.
Enfin, ils ont mis un proxy web entre leurs serveurs et les accès direct au cloud, car ils pensent que la prochaine infection ou attaque viendra d'un partenaire.
La faiblesse du système de sites en mirroir est qu'il suffit qu'un des sites soit infecté pour que celle-ci se propage au reste du SI, ce qui est moins qu'optimal.
View Git Blame Copy Permalink