L'Agence de sécurité nationale américain (“NSA” National Security Agency) et l'Agence américaine de cybersécurité et de sécurité des infrastructures (“CISA” Cybersecurity and Infrastructure Security Agency) ont révélé en octobre les dix principales erreurs de configuration en cybersécurité les plus courantes découvertes par leurs équipes rouge et bleue dans les réseaux de grandes organisations.
L'avis détaille également les tactiques, techniques et procédures ("TTP") que les acteurs de la menace utilisent pour exploiter avec succès ces erreurs de configuration dans divers buts, notamment l'accès, la progression latérale et le ciblage d'informations ou de systèmes sensibles.
Les informations incluses dans le rapport ont été recueillies par les équipes Rouge et Bleue des deux agences lors d'évaluations et d'activités de réponse à incident.
"Ces équipes ont évalué la posture de sécurité de nombreux réseaux du département de la Défense (DoD), de la branche exécutive civile fédérale ("FCEB" Federal Civilian Executive Branch), des gouvernements des états, locaux, tribaux et territoriaux ("SLTT" state, local, tribal, and territorial), et du secteur privé", a déclaré la NSA.
"Ces évaluations ont montré comment des erreurs de configuration courantes, telles que les identifiants par défaut, les autorisations de service et les configurations de logiciels et d'applications; la séparation inappropriée des privilèges utilisateur/administrateur; une surveillance interne du réseau insuffisante; une gestion médiocre des correctifs, mettent chaque Américain en danger", a déclaré Eric Goldstein, directeur exécutif adjoint de la cybersécurité à la CISA.
Les 10 configurations réseau les plus répandues découvertes lors des évaluations des équipes Rouge et Bleue et par les équipes de chasse et de réponse aux incidents de la NSA et de la CISA comprennent:
1. Configurations par défaut de logiciels et d'applications
2. Séparation inappropriée des privilèges utilisateur/administrateur
3. Surveillance interne insuffisante du réseau
4. Absence de segmentation du réseau
5. Gestion médiocre des correctifs
6. Contournement des contrôles d'accès au système
7. Méthodes d'authentification multifactorielle ("MFA" Multi-Factor Authentication) faibles ou mal configurées
8. Listes de contrôle d'accès ("ACL" Access Control List) insuffisantes sur les partages de réseau et les services
9. Hygiène des informations d'identification médiocre
10. Exécution de code non restreinte
Comme indiqué dans l'avis conjoint, ces erreurs de configuration courantes décrivent des vulnérabilités systémiques au sein des réseaux de nombreuses grandes organisations.
Cela souligne le besoin critique pour les fabricants de logiciels d'adopter des principes de conception sécurisée, atténuant ainsi le risque de compromission.
Goldstein a exhorté les fabricants de logiciels à adopter un ensemble de pratiques proactives visant à résoudre efficacement ces erreurs de configuration et à alléger les défis auxquels font face les défenseurs des réseaux.
Ces pratiques comprennent l'intégration de contrôles de sécurité dans l'architecture du produit dès les premières étapes du développement et tout au long du cycle de vie du logiciel.
De plus, les fabricants devraient cesser d'utiliser des mots de passe par défaut et s'assurer qu'une compromission d'un seul contrôle de sécurité ne compromet pas l'intégrité de tout le système. Prendre des mesures proactives pour éliminer des catégories entières de vulnérabilités, telles que l'utilisation de langages de codage sécurisés en mémoire ou la mise en œuvre de requêtes paramétrées, est également essentiel.
Enfin, Goldstein a déclaré qu'il est impératif de rendre l'authentification multifactorielle ("MFA") obligatoire pour les utilisateurs privilégiés et d'établir le MFA comme une fonction par défaut, en en faisant une pratique standard plutôt qu'un choix facultatif.
La NSA et la CISA encouragent également les défenseurs des réseaux à mettre en œuvre les mesures d'atténuation recommandées pour réduire le risque d'exploitation de ces erreurs de configuration courantes.
Les atténuations ayant cet effet incluent:
Éliminer les identifiants par défaut et renforcer les configurations.
Désactiver les services inutilisés et mettre en œuvre des contrôles d'accès stricts.
Assurer des mises à jour régulières et automatiser le processus de correction, en donnant la priorité aux correctifs des vulnérabilités connues qui ont été exploitées.
Réduire, restreindre, auditer et surveiller de près les comptes et privilèges administratifs.
En plus d'appliquer les atténuations mentionnées, la NSA et la CISA recommandent de "mettre en œuvre, tester et valider le programme de sécurité de votre organisation contre les comportements de menace cartographiés sur le cadre MITRE ATT&CK for Enterprise" dans l'avis d'aujourd'hui.
Les deux agences fédérales conseillent également de tester l'inventaire des contrôles de sécurité existants pour évaluer leur performance contre les techniques ATT&CK décrites dans l'avis.
Article original se retrouve ici: https://www.bleepingcomputer.com/news/security/nsa-and-cisa-reveal-top-10-cybersecurity-misconfigurations/amp/
留言