CISA demande des CISO: cet actif doit-il vraiment être sur Internet?

CISA demande des CISO: cet actif doit-il vraiment être sur Internet?

Lucas Morel

Trop de vulnérables actifs informatiques sont inutilement en ligne, explique CISA. Il offre des conseils sur ce qu’il faut faire à ce sujet.

L’Agence américaine de sécurité de la cybersécurité et de l’infrastructure (CISA) a publié cette semaine des conseils aux professionnels de l’infosec sur les moyens de trouver des systèmes informatiques et d’OT, y compris des serveurs, des bases de données, des capteurs, des commutateurs, des routeurs et des systèmes de contrôle industriel, et les protéger de l’Internet public.

Les systèmes mal configurés, les informations d’identification par défaut et les logiciels obsolètes sont souvent facilement découverts via des plates-formes de recherche et de découverte gratuites basées sur Internet telles que Shodan, Censys.io et des outils, des outils que les escrocs ainsi que les défenseurs peuvent utiliser, prévient les conseils. Et la découverte cette semaine d’une base de données de 12 To non protégée d’informations personnelles sensibles exposées sur Internet est un autre exemple de la façon dont ces erreurs ou vulnérabilités non corrigées laissent des informations cruciales détenues par les organisations exposées à la pâte.

Guidance de la CISA

La résolution du problème est simple pour un CISO, les conseils ont dit: Demandez simplement: «Est-ce que cela doit être ouvert à Internet?

Cela, bien sûr, suppose qu’ils connaissent tous les actifs de leur environnement informatique / OT, ​​ce qui signifie que pour commencer, chaque organisation doit faire un inventaire d’actifs. Les fournisseurs ne manquent pas de logiciels de gestion d’actifs, et dans certains pays, leur agence nationale de cybersécurité (CISA aux États-Unis) peut effectuer des analyses de vulnérabilité pour les organisations.

Ensuite, le CISO doit évaluer quels actifs doivent être accessibles à Internet à des fins opérationnelles en utilisant ces critères:

  • Nécessité: Le système ou le service exposé est-il essentiel pour les opérations?
  • Justification des entreprises: Quel besoin opérationnel nécessite cette exposition?
  • Mesures de sécurité: Pouvez-vous restreindre l’accès via des VPN ou mieux le sécuriser avec l’authentification multifactorielle?
  • Entretien: Le système ou le service est-il à jour avec les derniers correctifs de sécurité?

Les actifs et les services qui ne doivent pas être ouverts à Internet doivent être déconnectés ou se limiter à leur accès. Mais assurez-vous que les modifications ne perturbent pas par inadvertance les services ou les opérations essentielles, ajoute les directives de la CISA.

La troisième étape consiste à atténuer les risques pour les actifs exposés restants par:

  • modifier les mots de passe par défaut et appliquer de forts mécanismes d’authentification;
  • Création d’un régime de gestion des correctifs pour s’assurer que les systèmes sont corrigés;
  • utiliser des réseaux privés virtuels (VPN) virtuels pour sécuriser l’accès à distance;
  • Implémentation d’authentification multifactrice (MFA) dans la mesure du possible.

Enfin, les CISO devraient régulièrement examiner et surveiller les actifs accessibles à Internet pour s’assurer que la politique est appliquée.

Les conseils ne le mentionnent pas, mais la formation de sensibilisation aux employés joue également un rôle, car certains ou tous les membres du personnel peuvent avoir la possibilité de mettre un actif dangereux en ligne directement en ligne, ou grâce à une plate-forme de stockage cloud (par exemple, Dropbox ou un seau de données Amazon S3) ou un service de traitement de données cloud (par exemple, Amazon AWS, Microsoft Azure).

Quelle est la taille du problème?

Il n’est pas facile de quantifier le nombre de violations des contrôles de sécurité et des vols de données dus à des actifs non corrigés, ou à des actifs en ligne quand ils ne devraient pas l’être, mais le dernier rapport d’enquête sur les violations de données de Verizon indique que 60% des violations qu’il considérait impliquait un élément humain (y compris les erreurs de configuration, les erreurs et les abus de crédits).

L’abus d’identification était un facteur d’accès initial dans 22% des violations, suivi de près par l’exploitation des vulnérabilités (20%).

Mais les CISO doivent se demander combien de violations des contrôles de sécurité au cours de leur carrière étaient liées à des choses qui n’auraient pas dû être exposées à Internet en premier lieu.

Les actifs exposés, en particulier, les actifs exposés sans configuration et gestion appropriés, sont un énorme problème, a déclaré Johannes Ullrich, doyen de la recherche à l’Institut SANS.

Guide «couvre les bases»

« Les données que nous collectons sur Internet Storm Center montrent que les actifs sont scannés et découverts quelques minutes après avoir été exposés », a-t-il déclaré dans un e-mail. « Les cibles les plus élevées sont des serveurs Telnet et SSH exposés avec des mots de passe faibles, des consoles d’administration Web pour divers appareils (caméras, pare-feu, périphériques de stockage réseau) et des outils d’accès à distance comme le RDP (Windows). » Cela est devenu un problème encore plus important avec autant d’applications déployées dans le cloud, a-t-il ajouté, ce qui rend beaucoup plus difficile de restreindre l’accès à eux.

« Les conseils de la CISA font valoir de bons points et couvrent les bases », a-t-il dit, « mais la partie délicate est de mettre à l’échelle ces efforts. Les moteurs de recherche publics comme Shodan et les recenses sont utiles (aux pros infosécs), mais ils ne devraient pas remplacer les analyses régulières d’une adresse IP externe. »

Défenses supplémentaires

Les recommandations de la CISA entrent dans la catégorie des fondamentaux de base que toute organisation a l’obligation de répondre, a déclaré David Lewis, Global Advisory CISO à 1Password. «La défense en profondeur est essentielle.»

Bien que les directives de CISA fournissent une base solide, il a suggéré certaines améliorations qui peuvent être utilisées:

  • Gestion de l’identité et de l’accès (IAM) est absolument critique dans la cybersécurité. Les erreurs de configuration et les références compromises sont des vulnérabilités importantes qui affligent notre vie quotidienne, d’autant plus que les organisations adoptent des écosystèmes d’identité complexes. L’intégration de stratégies IAM détaillées dans les efforts de réduction de l’exposition pourrait renforcer les directives.
  • Confiance et conformité de l’appareil: Les programmes de sécurité devraient s’efforcer de garantir que seuls les appareils de confiance et conformes accèdent aux ressources organisationnelles. Les risques posés par des appareils non gérés ou non conformes, ou l’ombre, peuvent être exploités par les attaquants. Ainsi, l’intégration des vérifications de la conformité des appareils dans les évaluations de l’exposition pourrait améliorer la sécurité.

«Les conseils de CISA offrent des étapes précieuses pour réduire l’exposition à Internet», a-t-il déclaré. «Cependant, l’intégration des pratiques complètes de l’IAM, de la gestion prolongée de l’accès et des mesures de conformité des appareils pourrait fournir une défense plus robuste contre les cyber-menaces.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

GitLab, GitLab Duo
Les trous non corrigés pourraient permettre la prise de contrôle des comptes Gitlab
CSO Conference & Awards
CSO Awards 2025 vitrine des stratégies de sécurité de classe mondiale
Hacking éthique: pirates de chapeau blanc vs pirates de chapeau noir
Hacking éthique: pirates de chapeau blanc vs pirates de chapeau noir