0

  • Votre panier est vide.

  • COMPTE

Security Drift – Le tueur silencieux

Certains articles de veille peuvent faire l'objet de traduction automatique.

security-drift

Les dépenses mondiales en produits et services de cybersécurité sont prédit dépasser 1 billion de dollars au cours de la période de cinq ans, entre 2017 et 2021, avec différents analystes prédisant le taux de croissance annuel composé (TCAC) entre 8 et 15%.

Il n’est pas surprenant de voir cette croissance des dépenses, qui est principalement due à l’évolution de la sophistication et du volume d’attaques, ainsi qu’aux coûts énormes d’une violation de données réussie.

Et pourtant, les violations de données continuent.

La triste nouvelle est qu’environ 80% des violations de données peuvent être évitées grâce à des actions de base; telles que les évaluations de vulnérabilité, les correctifs et une sécurité appropriée les configurations.

Les raisons spécifiques varient; mais incluent les problèmes de personnel et de ressources, le manque d’expertise pour optimiser les systèmes de sécurité complexes et multifournisseurs, et une foule d’autres raisons. Quelle que soit la cause spécifique, le thème commun est que la sécurité a été à la traîne des changements informatiques internes ou des changements dans le paysage des menaces externes.

Le phénomène est bien connu dans les sphères technologiques – des choses comme la dérive de configuration lorsque les applications et les plates-formes changent sans réorganisation; vers le Cloud à mesure que les nouvelles ressources sans serveur évoluent vers des problèmes ponctuels de suite, mais ne sont pas pris en compte dans les estimations de la croissance globale de l’infrastructure.

Pour cette raison, nous examinons une nouvelle forme de dérive centrée principalement sur les changements qui ont un impact sur la cybersécurité – essentiellement une dérive de sécurité.

Les équipes informatiques et de sécurité font face à un double coup dur

D’une part, les équipes de sécurité doivent continuellement faire face aux menaces en constante évolution et à la sophistication contradictoire, et d’autre part, les équipes informatiques s’adaptent en permanence au changement et apportent des modifications aux environnements qui peuvent créer une dérive de sécurité, certaines adressées et d’autres invisibles.

À la fin du spectre se trouvent des changements à haute visibilité tournant autour de sujets d’actualité tels que la convergence des technologies de l’information et des technologies opérationnelles (IT / OT) – et ceux-ci reçoivent généralement (mais pas toujours) l’attention simultanée des équipes de cybersécurité.

À l’autre bout du spectre de la dérive de sécurité, ce sont les opérations de maintenance quotidiennes qui peuvent ne pas attirer l’attention méritée des équipes de sécurité. Celles-ci incluent les activités de routine telles que les mises à jour logicielles pour les nouvelles fonctionnalités, les corrections de bogues et les correctifs de vulnérabilité, ainsi que la mise à niveau ou le remplacement de logiciels de base qui ne nécessitent pas de planification majeure.

Peu importe si les changements se produisent sur de nouveaux systèmes entrant en production ou sur des systèmes existants en production, la dérive est créée lorsque les changements sont effectués sans surveillance de sécurité ou avec une surveillance de sécurité insuffisante.

Malheureusement, il existe de nombreux exemples de situations de dérive de la sécurité où les mises à jour logicielles de routine et les modifications informatiques introduisent des vulnérabilités qui nécessitent une découverte et des correctifs.

Une entreprise de haute technologie qui disposait d’une solution A / V robuste (du moins c’est ce qu’ils pensaient) a autorisé une dérive de patch de trois semaines pour 2% de ses systèmes. Cela était dû au fait que certains systèmes nécessitaient des tests avant l’application de correctifs (en raison de problèmes de système d’exploitation et d’application), et d’autres avaient été retardés en raison de contraintes opérationnelles. L’entreprise a été touchée par un ver qui s’est propagé à presque tous les systèmes non corrigés, soit près de 3 000 machines.

La conséquence a été un déni de service de l’intérieur qui a perturbé les activités et a entravé l’assainissement et la restauration des systèmes informatiques de l’entreprise.

Une société d’externalisation multinationale a déployé des serveurs FTP dans le but de partager des fichiers dédiés avec leur client. Leur procédure d’intégration d’un nouveau client consistait à cloner un service existant, à modifier les informations d’identification par défaut, à exclure le nouveau système du DNS et à tester le nouveau système dans la semaine suivant le déploiement.

Malheureusement, dans un cas, le délai entre le déploiement et les tests a suffi à un pirate informatique pour trouver un système qui a été laissé par inadvertance avec les informations d’identification par défaut et pénétrer les données du client à un coût élevé pour l’entreprise d’externalisation. La dérive de sécurité créée par la nouvelle instance a créé l’ouverture dont un adversaire avait besoin pour lancer et réussir une attaque.

Ces exemples sont importants en taille et en impact, mais ce sont les petits exemples de dérive sécuritaire qui sont les vrais tueurs silencieux, la perte proverbiale d’un clou dans un fer à cheval qui perd le royaume.

Par exemple, un pare-feu d’application Web mal configuré et placé en mode d’apprentissage (surveillance uniquement) et un cas dans lequel le service informatique a changé le nom d’un serveur dont l’accès était restreint. Le changement de nom a rendu le serveur accessible à tous par inadvertance. Heureusement, cela a été détecté avant que des dommages ne soient encourus et la règle qui applique la politique d’accès a été mise à jour.

Il y a une chose qui relie tous ces incidents entre eux. La dérive de sécurité est la conséquence du changement, et les opérations de sécurité ne sont pas conscientes du changement ou de son importance. Dans certains cas, cela créera un risque gérable, et dans d’autres cas, le risque exige une attention immédiate; mais dans tous les cas, la dérive existe et met l’organisation en danger. Ce manque de perspicacité fait de la dérive de la sécurité un tueur silencieux.

Éviter le tueur silencieux

La pratique traditionnelle d’identification et de gestion de la dérive de sécurité est une combinaison de procédures et de politiques informatiques, de systèmes de gestion des vulnérabilités et de tests par stylo. Alors que l’analyse des vulnérabilités fournit des résultats en temps quasi réel; le test au stylo ne le fait pas. Cela peut fournir une longue fenêtre pour qu’une dérive de sécurité se produise, ce qui est inacceptable.

Un nouveau paradigme de validation de la sécurité devient largement disponible pour la sécurité Blue Team, un qui automatise la validation de la sécurité dans les environnements de production. Complétant les tests de stylet périodiques en comblant le vide entre les tests, la validation de sécurité continue devient un moyen puissant de réduire l’impact de la dérive de sécurité en détectant et en identifiant les instances de dérive en temps quasi réel.

La validation continue de la sécurité avec les plates-formes de simulation de violation et d’attaque peut faire correspondre le taux de changement interne et externe avec la capacité de l’organisation à détecter les changements qui créent des faiblesses et des lacunes pour mieux gérer la dérive de sécurité. Ne laissez pas le tueur silencieux getya ‘.

Pour plus d’informations, visitez www.cymulate.com et inscrivez-vous pour un Essai gratuit.

Voir aussi :

novembre 19, 2020

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Articles par catégories

S’abonner à la newsletter


Publicité

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)