Comptez vos 16 000 actifs les plus critiques ? Êtes-vous fou ?

6 octobre 2020
Nathan Einwechter
Director of Security Research
Comptez vos 16 000 actifs les plus critiques ? Êtes-vous fou ?

Un fournisseur de solutions de sécurité vous a-t-il déjà demandé quels étaient les 16 000 biens les plus importants que vous souhaitiez protéger ? Un fournisseur qui, lorsqu'on lui demande pourquoi il pose cette question, vous informe calmement que c'est parce que c'est tout ce qu'il peut couvrir pour vous ?

Nous avons tous déjà suffisamment de longues listes de "choses" à produire et à tenir à jour pour vouloir en rajouter. Même si c'est quelque chose qu'elles veulent entreprendre, la plupart des organisations ne peuvent même pas vous dire ce qu'il y a dans leur environnement. Elles ne pensent peut-être pas avoir ce serveur Windows 2000 branché sur le réseau dans le placard du laboratoire, mais c'est pourtant le cas. Les attaquants trouveront ces systèmes et tireront parti de tout ce qui se trouve sur votre réseau pour obtenir ce qu'ils veulent.

La gestion des actifs est l'un des défis les plus difficiles à relever pour les organisations informatiques. Bien qu'il date de quelques années, ce blog sur les actifs fantômes terrifiants fournit une excellente vue d'ensemble des complexités et des défis de sécurité impliqués, dont beaucoup nous concernent tous. Dans de nombreux cas, au cours des activités de réponse aux incidents, des actifs compromis sont identifiés alors qu'ils sont répertoriés dans les inventaires de gestion des actifs comme ayant été mis hors service des années auparavant. Personne n'a mis le serveur hors ligne. Il était toujours allumé, connecté, non entretenu et exploité avec succès par l'attaquant.

Même si vous disposez d'un inventaire parfait de tous vos systèmes, il est peu probable que vous sachiez précisément lesquels de ces 16 000 actifs sont essentiels à votre activité. Si les entreprises peinent à comprendre quels sont les systèmes présents sur leur réseau, comment peut-on s'attendre à ce qu'elles identifient ceux qui sont explicitement critiques ?

À ce propos, qu'entend-on exactement par "critique" ? S'agit-il de quelque chose qui contient des données importantes pour votre entreprise ? Cette définition englobe pratiquement tous les systèmes de votre environnement. À titre d'exemple, pensons à toutes les fuites de données personnelles résultant de la perte d'ordinateurs portables au fil des ans. Ces systèmes étaient-ils considérés comme critiques ? Ou s'agissait-il d'un "ordinateur portable comme les autres" que quelqu'un emportait chez lui pour le terminer à la fin d'une longue semaine ? Que se passe-t-il lorsqu'un système de développement est mis en place pour valider le traitement des données, qu'il est chargé de données sensibles, puis qu'il est laissé sur le réseau et oublié ?

Si vous êtes comme beaucoup de gens et que vous considérez que votre infrastructure de réseau de base supporte la plus grande partie des dispositifs critiques, ce rapport de mars 2020 de FireEye sur APT41 est à lire absolument. Ce rapport montre qu'APT41 exploite activement l'infrastructure de routage Cisco d'une organisation. Si vous pouvez contrôler le routage du trafic, vous êtes en mesure d'accéder à toutes les données qui traversent un appareil sans avoir à compromettre le site critique endpoint.

En ce qui concerne l'internet des objets (IoT) et les actifs non critiques qui sont exploités par des menaces persistantes avancées, le meilleur exemple reste APT28 - également connu sous le nom de Fancy Bear ou Strontium - qui est détaillé dans cet article deZDNet à propos d'un rapport publié par Microsoft. L'un des points importants à souligner est l'étendue des dispositifs IoT sur lesquels APT28 s'appuie - notamment des téléphones à protocole Internet (VoIP), des imprimantes et des décodeurs vidéo - pour mener à bien l'attaque. Cela montre que les cybercriminels souhaitent utiliser les appareils IoT de manière plus large dans le cadre d'une attaque organisée et que les attaquants se soucient peu de ce qui est "critique" selon votre définition, se concentrant plutôt sur l'exploitation de tout ce qui leur permet d'atteindre leurs objectifs.

Mon dernier point est le suivant : En tant que défenseur, vous ne devriez pas être contraint de prendre des décisions arbitraires basées sur des informations imparfaites concernant les actifs que vous pourrez ou non défendre avec les capacités de sécurité que vous apportez au combat. Vos solutions de sécurité doivent vous permettre, en tant qu'équipe de sécurité, de détecter les menaces à un stade précoce, sans contraintes arbitraires et avec une grande confiance, quel que soit l'endroit où les attaquants choisissent d'opérer. Vous méritez de surveiller et de protéger l'ensemble de votre environnement, et pas seulement quelques points d'extrémité.

C'est le mois de la sensibilisation à la cybersécurité. Sécurisez votre réseau et réduisez les risques pour votre entreprise grâce à la solution NDR. détection et réponse aux incidents (NDR). Si vous voulez voir comment, planifiez une démonstration.

Foire aux questions