Non seulement un examen annuel de l’assurance garantit le respect des exigences de la police, mais il peut lancer un examen plus approfondi de votre posture de sécurité qui va bien au-delà des exigences de couverture.
Toute entreprise connectée à Internet (donc toutes) est à tout moment, soit la cible directe d’un cyberattacker, soit au moins perpétuellement en danger de devenir une victime par inadvertance de l’environnement dangereux dans lequel nous opérons.
À l’heure actuelle, soit quelqu’un a identifié votre entreprise et vos points faibles et commencé une campagne d’attaques de phishing ciblées, de liens d’arnaque ou de récolte des informations d’identification, ou il essaie aveuglément d’utiliser un certain nombre de vulnérabilités connues sur le Web pour percer l’accès à distance et les propriétés Web.
Cette semaine, je l’ai rappelé par deux événements: mon examen annuel des renouvellements et des processus de sécurité des cyber-assurances ainsi que la découverte de plusieurs traces inhabituelles qui signifiaient des tentatives de se connecter aux propriétés Web que je maintiens.
La révision de ma conformité aux polices de cyber-assurance a été un excellent exercice d’auto-évaluation à quel point ma sécurité de base est approfondie, mais elle a également révélé un fait important: que les exigences d’assurance ne feraient que gratter la surface des types de discussions que vous devriez avoir en interne concernant vos risques d’attaque.
Peu importe si vous pensez que vous risquez simplement d’être accidentel sur le road kill sur l’information sur la surhigne ou que vous êtes en fait dans la réticule d’un attaquant malveillant, passez en revue les risques non seulement avec votre compagnie de cyber-assurance, mais aussi avec ce que les attaquants prévoient. Les deux peuvent ne pas être alignés.
Les preuves ont montré que les attaquants allaient après l’accès
Avoir un site Web qui n’est pas connecté de votre entreprise signifie que vous pouvez l’utiliser comme pot de miel pour garder une jauge de ce que les attaquants poursuivent et ce qu’ils pourraient se mettre dans un réseau.
Selon vos équipes d’entreprise et de sécurité, ils peuvent même vouloir gérer un pot de miel conçu pour tromper et piéger les attaquants en essayant d’entrer dans votre entreprise. Passez en revue les fichiers journaux sur ces types de serveurs Web, et vous verrez bientôt que les attaquants vont après la chose que mes compagnies de cyber-assurance étaient également intéressées: mon accès à distance.
Les attaquants recherchaient des entrées VPN vulnérables à un serveur Web en tentant de se connecter à un appareil VPN Cisco. Après avoir examiné les journaux de serveurs Web, nous avons trouvé environ 320 000 demandes à une page inexistante à la recherche spécifiquement de la page Web de domain.com/+cscoe+/logon.html.
Pour ceux d’entre vous qui ne connaissent pas l’alias CSCOE, c’est un appareil matériel Cisco qui peut être déployé dans un pare-feu ou un mode IPS dédié. Dans ce cas, il s’agit d’un service Web pour un VPN dans lequel les utilisateurs peuvent aller https: //
En octobre 2024, Cisco a annoncé une vulnérabilité dans la fonction VPN d’accès à distance du logiciel Cisco Adaptive Security Appliance (ASA) et de Cisco Firepower Defense (FTD) pourrait permettre à un attaquant non authentifié et à distance de reloquer le périphérique affecté. Il n’y a pas de solution de contournement ou d’atténuation, uniquement des correctifs qui doivent être installés.
Au cours du renouvellement annuel de la cyber-assurance, la compagnie d’assurance n’envisagera même pas d’assurer mon entreprise si nous n’avions pas démontré que nous avions des protections fondamentales en place. Sur la base des questions et des puces, vous pouviez dire qu’ils ont vu l’accès à distance, l’accès des fournisseurs tiers et les comptes administrteurs de réseau comme des points faibles qui nécessitaient une protection supplémentaire.
Le MFA est une exigence que la plupart des assureurs insistent sur
Par exemple, ils ont exigé que tous les accès à distance, y compris l’accès VPN et toutes les solutions de surveillance et de gestion à distance (RMM), tels que le protocole de bureau distant (RDP), soient protégés par l’authentification multifactrice (MFA), exigeant qu’il soit également appliqué sur l’accès aux e-mails et tout accès à distance aux ressources critiques, y compris l’accès à un tiers et aux fournisseurs.
Ils ont également exigé que j’implémenais la protection de l’authentification MFA sur tous les comptes d’administrateur réseau et tout autre compte d’utilisateur avec des autorisations élevées dans votre réseau.
Ils voulaient que je permette une solution de détection et de réponse (EDR) sur tous les points de terminaison afin que toutes les activités de point final détectées soient surveillées 24 heures sur 24, 7 jours par semaine et 365 jours de l’année.
MFA et EDR sont-ils suffisants? Et les gestionnaires de mots de passe et Zero Trust?
Cependant, je pense qu’ils ont raté certaines choses en ce qui concerne l’accès à distance et les mandats multifactoriels. Par exemple, celle qui, je pense, devrait être un mandat est un programme de gestion de mot de passe qui applique des mots de passe et des phrases de passe plus longs.
Mais je ne m’arrêterais pas avec le simple mandat d’un programme de gestion de mot de passe. Pour toute personne ayant des droits de l’administrateur réseau, il devrait y avoir un processus biométrique ou similaire supplémentaire qui protège non seulement la connexion administratrice du logiciel de gestion de mot de passe, mais tous les portails cloud qui contrôlent les services Web Azure, Google ou Amazon – les services cloud clés.
Les assureurs n’ont pas non plus mentionné les meilleures pratiques telles que l’accès au réseau Zero-Trust ou d’autres processus que les administrateurs de réseau devraient utiliser lorsqu’ils se distancent dans un réseau ou administrent un réseau.
Bien que la formation sur les attaques de phishing ait également été recommandée, une formation plus large concernant l’utilisation de l’accès à distance et la sensibilité de l’envoi de données via Internet n’ont pas été discutées. J’ai également été surpris de ne voir aucune mention de l’utilisation de l’intelligence artificielle et aucune question sur les politiques que je pourrais avoir concernant l’utilisation de ces techniques.
De nombreux risques ne sont pas tenus d’être traités par les assureurs
Souvent, ces polices de cyber-assurance recommandent qu’il existe des politiques et des processus d’entreprise pour s’assurer que les mises à jour du système d’exploitation sont installées en temps opportun en suivant les recommandations d’agences de l’industrie telles que la CISA et d’autres, mais elles ne traitent pas d’autres sources de correction des risques dans une entreprise.
Par exemple, je n’ai trouvé aucune mention d’avoir des processus de contrôle des correctifs pour les appareils, les appareils Internet des objets ou tout autre matériel qui pourraient nécessiter des mises à jour logicielles ou des mises à jour du BIOS afin de maintenir une posture sécurisée.
L’authentification multifactorielle n’est pas sans ses propres risques et vulnérabilités. Les attaquants utilisent des techniques telles que le phishing, la vue et le smir pour inciter les utilisateurs à divulguer leurs codes MFA.
Le phishing utilise l’ingénierie sociale pour inciter les victimes à payer de l’argent, à remettre des informations sensibles ou à télécharger des logiciels malveillants. Le smirage (phishing SMS) consiste à envoyer des SMS malveillants et à inciter l’utilisateur à approuver une invite d’authentification. Grâce à Vishing (phishing vocal), les escrocs se font passer pour des professionnels tels que les techniciens d’assistance par téléphone pour les inciter à révéler des données sensibles ou à transférer de l’argent.
Les risques de compromis de point de terminaison ne doivent jamais être négligés car les attaquants peuvent entrer dans un système avec des logiciels malveillants et voler des cookies de session ou créer des séances d’ombre. De plus, vous pouvez accidentellement verrouiller quelqu’un si la connectivité est affectée ou si l’utilisateur perd accès à un périphérique MFA, comme un téléphone portable ou un jeton matériel. La formation des utilisateurs sur la façon d’utiliser correctement le MFA, ainsi que la planification à l’avance pour les moments où vous avez des problèmes d’utilisation du MFA, devrait faire partie du processus de planification de sécurité à long terme de toute entreprise.
