En matière de cybersécurité, le vieil adage "bien faire les choses simples" est plus que jamais d'actualité. Les trois principes simples de la cybersécurité qui vous aideront à construire une base solide et à prévenir les crises futures sont les suivants :
- moindre privilège
- minimisation de la surface d'attaque
- la défense en profondeur.
Ces principes existent depuis des décennies, mais ils sont plus que jamais d'actualité, car nous vivons dans un environnement de plus en plus orienté vers cloud, où nous devons être vigilants à tout moment.
Le moindre privilège
Le principe du moindre privilège est un principe fondamental de la sécurité de l'information. Moins un utilisateur a de privilèges, moins il y a de possibilités d'exploitation pour un attaquant. Lors de la conception de vos systèmes, posez-vous toujours la question suivante : "Quel est le niveau d'accès minimal requis pour que cet utilisateur puisse effectuer son travail ?" Restreindre les utilisateurs (ou les applications) au strict minimum dont ils ont besoin pour faire leur travail réduit le risque de dommages accidentels ou malveillants, et minimise également l'impact d'une attaque réussie.
Réduction de la surface d'attaque
La minimisation de la surface d'attaque consiste à réduire autant que possible la surface d'attaque. Cela peut se faire en supprimant les fonctions et les composants inutiles des systèmes, en renforçant les systèmes contre les attaques et en utilisant les principes du moindre privilège du point de vue de l'application ou du service.
La défense en profondeur
La défense en profondeur est souvent négligée, mais c'est une stratégie très risquée que de s'appuyer uniquement sur un seul mécanisme de sécurité. Les attaquants sont très créatifs et trouveront souvent des moyens de contourner une mesure de sécurité si elle est leur seule cible. En utilisant plusieurs couches de sécurité, vous créez des obstacles que l'attaquant doit surmonter, ce qui rend plus difficile, plus long et plus coûteux l'accomplissement de ses objectifs.
Ces trois principes constituent la base des bonnes pratiques en matière de cybersécurité et leur respect contribuera grandement à protéger votre organisation contre les cybermenaces. La mise en œuvre de ces principes n'est pas toujours facile, mais l'effort en vaut la peine pour assurer la sécurité de vos actifs et de vos données critiques.
Faille de sécurité de Log4Shell
La récente vulnérabilité "zero day " de Log4Shell dans Apache Log4J2 a réellement démontré la futilité du cycle permanent qui consiste à suivre le rythme des vulnérabilités découvertes dans les logiciels, des vulnérabilités compromises et des organisations qui se mettent en mode crise en cherchant à atténuer et à corriger le logiciel vulnérable. Il s'agit d'un cycle réactif sans fin et vous serez toujours à la traîne. Il est frappant de constater, lorsqu'on examine de près ce cas et d'autres vulnérabilités majeures de ces dernières années, que le simple fait d'adhérer à des principes de sécurité généraux établis de longue date permet normalement d'atténuer le problème en soi, ce qui permet à l'organisation vulnérable d'appliquer des correctifs à sa guise dans le cadre d'un cycle opérationnel standard plutôt qu'en cas de crise majeure. Il est clair qu'il y aura toujours des exceptions à la règle, mais dans 95 % des cas, cette approche constitue généralement une base solide pour une organisation, ce qui lui permet d'être beaucoup plus résiliente en cas de violation. Les principes fondamentaux du moindre privilège, de la minimisation de la surface d'attaque et de la défense en profondeur devraient toujours être une considération essentielle lors de la conception d'une stratégie de sécurité organisationnelle.
Examen de l'exploit log4shell
Le principal élément qui m'a frappé lors de l'examen de l'exploit log4shell est la nécessité pour l'actif vulnérable exploité d'avoir la capacité de télécharger le code malveillant directement à partir de l'Internet. Si l'on revient aux principes généraux de sécurité, et en particulier à la minimisation de la surface d'attaque et au moindre privilège, il faut vraiment se demander pourquoi le serveur et l'application en question seraient autorisés à télécharger un contenu quelconque ou à communiquer avec l'ensemble de l'internet par le biais d'un protocole quelconque. Cette fonctionnalité n'a certainement jamais fait partie des exigences de conception fonctionnelle du service en question. Alors pourquoi est-elle présente ?
Hypothèses erronées
Je crains que, dans notre monde moderne, il n'y ait désormais une hypothèse par défaut selon laquelle, quel que soit l'actif technologique, il doit simplement être en mesure d'accéder à l'internet. Si cela convient aux réseaux domestiques, où la capacité d'un appareil à mettre à jour régulièrement son logiciel protège la maison, ce n'est pas le cas pour un réseau d'entreprise. Malgré cela, de nombreuses entreprises continuent de fonctionner de cette manière, ce qui augmente considérablement la probabilité qu'elles soient compromises par une vulnérabilité telle que log4shell ou un autre vecteur d'attaque traditionnel.
Navigation du personnel sur le web vs accès à l'internet dans les centres de données
Il existe un paradoxe : dans la plupart des entreprises, l'accès à l'internet pour la navigation du personnel est étroitement contrôlé et surveillé par des proxys web, des dispositifs de filtrage de contenu et de détection des logiciels malveillants, mais très souvent, dans les centres de données ou les environnements cloud (qui contiennent généralement les actifs les plus précieux et les plus critiques de l'organisation), les serveurs jouissent d'un accès plus ou moins libre (et inutile) à l'internet. Pour toute organisation soucieuse de sécuriser ses actifs critiques, il est essentiel que l'accès des serveurs à l'internet soit limité aux seules fonctionnalités nécessaires au rôle du serveur (par exemple, pare-feu - source/destination/protocole). Il va sans dire que la "navigation sur le web" via un proxy ou autre ne devrait jamais être autorisée à partir d'un serveur critique !
Les principes de sécurité sont un "travail en cours"
Si l'on admet que la minimisation de la surface d'attaque et le moindre privilège sont un "travail en cours" pour de nombreuses organisations, la défense en profondeur devient réellement plus critique.
D'après ma propre expérience, il est rare qu'une équipe technologique ou de sécurité ait une confiance totale dans sa connaissance de l'environnement de l'entreprise. Les CMDB et les inventaires des actifs/logiciels sont rarement complets et les échecs de gouvernance au fil des ans conduisent souvent à des actifs orphelins ou à des actifs introduits à l'insu et sans la supervision des équipes de sécurité.
Comme ces actifs sont en fait des "inconnus", les pratiques normales concernant l'installation de contrôles de sécurité de l'hôte (AV, Endpoint Detection and Response - EDR, etc.), le renforcement et la surveillance seront absents, et il est absolument nécessaire de pouvoir surveiller les environnements de réseau de l'entreprise et de cloud de manière holistique pour détecter les menaces à l'aide d'un système capable (NDR) de détecter les menaces et de les éliminer. détection et réponse aux incidents (NDR). Cela vous permet non seulement de commencer à repérer les actifs dont vous n'aviez peut-être pas conscience auparavant (ce qui améliore la précision de votre CMDB), mais aussi de commencer à détecter et à visualiser les scénarios d'attaque à travers les actifs disparates attachés au réseau de votre organisation et le contexte de l'utilisateur qui y est associé. En fin de compte, cela donne de la profondeur à vos défenses, de sorte que lorsque l'inévitable se produit et qu'un attaquant parvient à pénétrer vos défenses, vous êtes dans une bien meilleure position pour contenir et éradiquer la menace à un rythme rapide !
Et le gagnant est...
Malheureusement, en matière de sécurité, les choses sont rarement tranchées ; il n'y a vraiment aucun moyen de garantir qu'une organisation est sûre à 100 %, mais en pensant et en agissant en fonction des principes exposés et en contrôlant pleinement la partie de l'équation de la gestion des risques que vous pouvez contrôler, vous pouvez être certain que vous serez rarement exposé de manière critique et que les crises devraient être rares et espacées, même face au dernier "jour zéro" !