Young Team of Specialists Working on Desktop Computers and Having a Conversation at a Workplace. Female and Male Software Developers Discussing a Solution for Their Artificial Intelligence Project

Les plongées de la base de données de réduction des coûts de Doge offrent des leçons vitales de la cybersécurité dans la sécurité du cloud

Lucas Morel

L’expert en sécurité de Microsoft, Susan Bradley, examine certaines questions qui se sont posées autour de l’approche que l’équipe Doge d’Elon Musk a prise et ce que les entreprises peuvent retirer du processus de création d’efficacité.

La cybersécurité a été politiquement agnostique jusqu’à récemment, mais avec les nombreux changements rapides introduits par l’administration Trump, il est devenu quelque peu politisé et chargé de questions et d’auto-examen.

Les réclamations sur les réseaux sociaux, les rumeurs et les informations diffusées par des sources douteuses ont un impact palpable sur le monde de la sécurité, même aux niveaux les plus élevés – l’agence de sécurité de la cybersécurité et des infrastructures (CISA) a récemment dû clarifier qu’elle ne s’était pas retirée de sa défense de longue date contre les cyber-menaces de la Russie.

Mais la décision qui a peut-être causé le plus de perturbations est l’action qui a été prise par l’équipe d’efficacité Doge de l’administration dans son examen des achats et des dépenses du gouvernement.

Je n’ai trouvé aucun rapport lié à la technologie sur le sujet révélant les détails des processus et des types d’accès informatique que ces équipes ont été données pour effectuer leur tâche. Il y a eu quelques suggestions selon lesquelles l’équipe utilise une instance Azure et des outils d’intelligence artificielle pour effectuer la tâche, mais personne ne pose les questions les plus détaillées que j’aimerais voir les réponses.

Pour moi, ce sont des questions clés non seulement intéressant les personnes concernées par les modifications du gouvernement, mais pertinentes pour toute entreprise qui cherche à utiliser de tels outils pour réduire les déchets et renforcer l’efficacité: pouvez-vous vous assurer que les consultants et les outils que vous apportez ont un accès approprié et sécurisé? Pouvez-vous assurer l’intégrité des bases de données?

Questions fondamentales auxquelles doivent être répondues

Si j’étais chargé de me connecter à une base de données gouvernementale et d’exécuter des tests sur les données sous-jacentes, il y a quelques éléments que je considérerais comme fondamental.

Premièrement, étant donné que ce sont des données gouvernementales avec lesquelles je travaillerais, je m’assurerais que la licence Azure que j’avais obtenue soit jugée appropriée pour une utilisation du gouvernement. Microsoft fournit des ressources cloud spécifiquement désignées pour être utilisées par le gouvernement américain, avec des serveurs basés aux États-Unis qui portent une documentation atteignant leur conformité avec divers réglementations fédérales et étatiques.

Certains services sont détenus à la norme d’isolement d’isolement d’impact du ministère de la Défense (DoD) paireur (IL5). Comme Microsoft le note dans sa documentation, «Cette séparation garantit qu’une machine virtuelle qui pourrait potentiellement compromettre l’hôte physique ne peut pas affecter une charge de travail DoD. Pour supprimer le risque d’attaques d’exécution et garantir que les charges de travail de longue durée ne sont pas compromises des autres charges de travail sur le même hôte, toutes les machines virtuelles virtuelles IL5 et les ensembles de gammes de machines virtuels devraient être isolés par les propriétaires de mission DOD via Azure Azuré sur les machines virtuelles dévouées.

Les bogues de sécurité qui ont un impact sur Hyper-V, le logiciel de virtualisation matérielle de Microsoft, au point qu’ils pourraient permettre aux machines invités de prendre le contrôle de l’hôte ou de permettre régulièrement à des privilèges élevés par Microsoft.

Par exemple en janvier, CVE-2025-21334, CVE-2025-21333 et CVE-2025-21335 ont résolu les problèmes qui, sans avoir un impact direct sur le serveur Hyper-V, étaient des vulnérabilités qui ont créé un problème d’élévation de privilège dans le NT Kernel Integration Service Provider (VSP).

Les procédures de journalisation et de contrôle d’accès critiques doivent être suivies

L’exploitation de cette vulnérabilité permet à un attaquant d’exécuter du code arbitraire dans le contexte de l’hôte Hyper-V, leur donnant un accès potentiellement sans restriction au matériel sous-jacent. Comme indiqué, l’impact de cette vulnérabilité pourrait être significatif. Une fois qu’un attaquant a obtenu un accès sans restriction à l’hôte Hyper-V, il peut manipuler les ressources allouées aux systèmes d’exploitation invités, exfiltrer des informations sensibles des machines invitées et potentiellement compromettre ou supprimer des systèmes d’exploitation invités entiers.

Je voudrais voir quiconque accéder à des données sensibles de ces services et outils d’utilisation de magnitude dans une configuration isolée et s’assurer que les processus de journalisation et de trustres zéro sont mis en place. Il est nécessaire d’avoir certaines licences en place pour mettre en œuvre une journalisation appropriée. Le stockage externe doit être conservé de cette journalisation pour documenter l’accès – la journalisation des nuages ​​est trop souvent perdue car les étapes à capturer n’ont pas été effectuées à l’avance.

Lors de la récupération des données de divers centres de données, la journalisation doit être effectuée en temps universel coordonné (UTC) car il est difficile d’aligner les horodatages sans normaliser sur un fuseau horaire. Assurez-vous que toutes les instances ou autorisations d’administration supplémentaires créées pour faciliter l’examen sont supprimées une fois le projet terminé – les entreprises ajoutent souvent un accès à un consultant et ne parviennent pas à surveiller ou à expirer l’accès et les autorisations en temps opportun.

Il aide à garantir que tous ces accès pour les projets de conseil ont une date d’expiration. Passez en revue les autorisations AND ID ou Azure AD avec PowerShell et assurez-vous que seul l’accès que vous aviez l’intention d’avoir accordé à une application est autorisé pour cette demande.

Enfin, vous devez vous assurer que toutes les modifications que vous avez apportées à une base de données la laissent dans un état pour être invoqué à l’avenir. Existe-t-il un processus de valeur de hachage ou une somme de contrôle pour garantir que les données que vous avez en place auparavant n’ont pas été falsifiées?

Les bases de données ont généralement une sorte de processus pour garantir que l’intégrité des données n’a pas été affectée. Chaque fois que vous apportez des outils ou des consultants extérieurs, ce processus doit être effectué pour garantir que l’intégrité n’a pas été compromise.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Two Young Colleagues Working on Computers and Talking at a Workplace. Female and Male Software Developers Discussing a Solution for Their Collaborative Artificial Intelligence Project
4 grandes erreurs que vous faites probablement encore dans la gestion de la vulnérabilité… et comment les réparer
Players avantageux de Michael Kaplan: The Shell Game Guys et ma veste d'hiver de 800 $
Players avantageux de Michael Kaplan: The Shell Game Guys et ma veste d’hiver de 800 $
Laptop, meeting and business people in office with teamwork for finance stock market planning. Collaboration, technology and group of financial advisors working on company budget in workplace.
Rapports de rapports: Se séparer pourrait-il aider les CISO?