Tout le monde fait des erreurs. Cette phrase a été percutée en moi lors de mon tout premier emploi dans la technologie, et elle est restée vraie depuis lors. Dans le monde de la cybersécurité, des erreurs de configuration peuvent créer des problèmes exploitables qui peuvent nous hanter plus tard – regardons donc quelques erreurs de configuration de sécurité courantes.
Le premier concerne les autorisations de développement qui ne sont pas modifiées lorsque quelque chose est mis en ligne. Par exemple, les compartiments AWS S3 se voient souvent attribuer un accès permissif pendant le développement. Les problèmes surviennent lorsque les revues de sécurité ne sont pas soigneusement effectuées avant de pousser le code en direct, peu importe si cette poussée concerne le lancement initial d’une plate-forme ou des mises à jour.
Le résultat est simple; un seau est mis en ligne avec la possibilité pour quiconque de lire et d’écrire sur et à partir de celui-ci. Cette mauvaise configuration particulière est dangereuse; puisque l’application fonctionne et que le site se charge pour les utilisateurs, il n’y a aucune indication visible que quelque chose ne va pas jusqu’à ce qu’un acteur menaçant à la recherche de seaux ouverts tombe dessus.
Des examens de sécurité minutieux de toutes les applications et sites avant qu’ils ne soient transférés vers l’environnement réel – à la fois pour le lancement initial et pour les cycles de mise à jour – sont essentiels pour détecter ce type de mauvaise configuration. Chaque compartiment doit être vérifié pour s’assurer qu’il dispose des autorisations les moins viables pour permettre à la plate-forme de fonctionner, et rien de plus.
Du côté non cloud de la maison, l’une des erreurs de configuration les plus courantes est de ne pas appliquer la stratégie de groupe, l’anti-malware et les autres règles et mises à jour de gestion centralisée. Les ordinateurs portables qui se connectent rarement directement à un réseau d’entreprise peuvent passer des mois sans obtenir ces changements critiques, les laissant sans défense à mesure que le paysage de la sécurité change.
Un exemple courant est un ordinateur portable qui a été en itinérance pendant une période prolongée. Un tel ordinateur portable peut ne pas être autorisé à recevoir des mises à jour de la stratégie de groupe Active Directory lorsqu’il n’est pas sur un VPN ou une autre connexion sécurisée, ce qui entraînerait la désuétude de son GPO au fil du temps. Cela signifie que des actions ou opérations interdites peuvent être possibles sur un tel ordinateur portable, laissant le réseau protégé exposé lorsque cet appareil se connecte enfin de manière à avoir à nouveau accès aux ressources protégées.
La solution à ce problème consiste à garantir que les appareils ayant accès aux ressources organisationnelles doivent accepter les modifications de gestion organisationnelle. Des outils tels qu’AzureAD et les plates-formes anti-malware décentralisées peuvent permettre aux appareils distants de recevoir des mises à jour en toute sécurité. La connectivité HTTPS suffit généralement à ces outils pour pousser les mises à jour et appliquer les changements de politique.
L’utilisation de la gestion distribuée des appareils garantit qu’ils sont conformes à la politique, même les appareils qui ne sont utilisés que pour accéder aux ressources disponibles dans le cloud, comme Office365, et ne se connectent pas directement aux réseaux protégés de l’organisation régulièrement.
Beaucoup de ces outils – en particulier des éléments tels que les systèmes anti-malware – ne nécessitent même pas que l’appareil soit géré par des plates-formes de gestion des appareils mobiles. Cela signifie que même si l’appareil n’est pas «détenu» par l’organisation, il peut toujours être mis à jour et protégé.
Alors que nous parlons des travailleurs à distance, il y a une autre mauvaise configuration qui se produit régulièrement. Les systèmes VPN permettent aux travailleurs distants d’accéder aux données de l’entreprise en toute sécurité, mais un grand nombre de clients VPN utilisent par défaut une configuration non sécurisée prête à l’emploi. Les configurations VPN à tunnel partagé acheminent le trafic utilisateur sur le réseau sécurisé uniquement lors de l’accès aux systèmes protégés, mais envoient tout le reste du trafic directement vers Internet.
Cela signifie que lorsqu’un utilisateur tente d’atteindre un serveur de fichiers, il le fait via le VPN, mais un appel à Salesforce passe par Internet non protégé. Bien que cela améliore les performances, le problème que cela crée est que l’appareil d’un utilisateur peut créer un pont entre le monde extérieur et le réseau interne. Avec un peu d’ingénierie sociale, un acteur de la menace peut créer une connexion persistante avec l’appareil de l’utilisateur, puis exploiter le tunnel VPN de cet utilisateur pour pénétrer dans le réseau protégé.
La grande majorité des clients VPN prennent en charge les configurations à tunnel unique. Cela signifie que tant que le VPN est actif, tout le trafic sera acheminé via les réseaux organisationnels – y compris le trafic destiné à des sources externes. Cela signifie également que tout le trafic sera également soumis aux mêmes contrôles que le trafic provenant d’utilisateurs directement connectés aux réseaux protégés.
Si des erreurs de configuration peuvent survenir très facilement, elles constituent une menace évidente pour la sécurité de l’organisation. Prendre le temps d’examiner la sécurité lorsque les outils sont mis en ligne ou mis à jour peut détecter de telles erreurs de configuration.
De plus, les entreprises peuvent déployer des outils de validation de sécurité continue qui remettent en question et évaluent en permanence les environnements numériques de la même manière qu’un acteur menaçant le fait pour découvrir rapidement les erreurs de configuration.
La combinaison de ces deux approches de revues et de validation de sécurité continue ajoute une certaine complexité aux projets, mais vaut chaque instant passé à s’assurer que les choses sont correctement configurées à chaque étape du processus.
Pour plus d’informations, visitez www.cymulate.com et inscrivez-vous pour un Essai gratuit.