le Département américain de la sécurité intérieure (DHS) a discrètement lancé des cyberattaques furtives contre une série de sociétés privées américaines – principalement des banques et des sociétés énergétiques. Ces tentatives d’intrusion numérique, commandées à l’avance par les cibles du secteur privé elles-mêmes, font partie d’un programme peu connu du DHS conçu pour aider les entreprises «d’infrastructure critique» à renforcer leurs défenses informatiques et réseau contre les adversaires du monde réel. Et tout est gratuit (enfin, aux frais du contribuable américain).
Organisations participant aux analyses de vulnérabilité « Cyber Hygiene » du DHS. Source : EDS
BreachTrace a découvert les DHS pour la première fois Évaluation nationale de la cybersécurité et services techniques (NCATS) après avoir entendu un gestionnaire de risques d’une petite institution financière de l’est des États-Unis. Le directeur comparait les services gratuits offerts par NCATS avec les offres du secteur privé et cherchait mon avis. J’ai demandé autour d’un certain nombre de sources par ailleurs bien informées qui n’avaient aucune idée que ce programme DHS existait même.
Le DHS a refusé les demandes d’interview sur le NCATS, mais l’agence a publié des informations sur le programme. Selon le DHS, le programme NCATS offre des capacités complètes de test d’intrusion sous la forme de deux programmes distincts : une évaluation des risques et des vulnérabilités (RVA) et une évaluation de la « cyber hygiène ». Les deux sont conçus pour aider l’organisation partenaire à mieux comprendre comment les systèmes et l’infrastructure externes apparaissent aux attaquants potentiels.
« Le Département de la sécurité intérieure (DHS) travaille en étroite collaboration avec des partenaires des secteurs public et privé pour renforcer la sécurité et la résilience de leurs systèmes contre l’évolution des menaces dans le cyberespace », Porte-parole du DHS Sy Lee a écrit dans une réponse par e-mail à une demande d’entretien. « L’équipe des évaluations et services techniques nationaux de cybersécurité (NCATS) se concentre sur l’engagement proactif avec les parties prenantes fédérales, étatiques, locales, tribales, territoriales et du secteur privé pour les aider à améliorer leur posture de cybersécurité, à limiter l’exposition aux risques et aux menaces et à réduire les taux de exploitation. Dans le cadre de cet effort, l’équipe NCATS propose gratuitement des services de cybersécurité tels que l’équipe rouge, les tests de pénétration et l’analyse des vulnérabilités.
Le programme RVA analyserait les systèmes d’exploitation, les bases de données et les applications Web de la cible à la recherche de vulnérabilités connues, puis testerait si l’une des faiblesses trouvées peut être utilisée pour compromettre avec succès les systèmes de la cible. De plus, les participants au programme RVA reçoivent des scans pour détecter les appareils sans fil malveillants, et leurs employés sont testés avec des tentatives d' »ingénierie sociale » pour voir comment les employés réagissent aux attaques de phishing ciblées.
Le programme Cyber Hygiene – qui est actuellement obligatoire pour les agences de l’exécutif civil fédéral mais facultatif pour le secteur privé et les parties prenantes étatiques, locales et tribales – comprend à la fois la vulnérabilité interne et externe et l’analyse des applications Web.
Les rapports affichent des informations détaillées sur les vulnérabilités de l’organisation, y compris des étapes suggérées pour atténuer les failles. Le DHS utilise les informations agrégées de chaque client et crée un rapport annuel non attribuable. Le rapport de fin d’année FY14 créé avec les données du programme Cyber Hygiène et RVA est ici (PDF).
Parmi les conclusions de ce rapport, qui a tiré des informations de plus de 100 missions l’année dernière :
– Des tests manuels ont été nécessaires pour identifier 67 % des résultats de vulnérabilité RVA (par opposition aux analyses de vulnérabilité automatisées prêtes à l’emploi) ;
-Plus de 50 % des 344 vulnérabilités détectées au cours des analyses de l’année dernière ont obtenu une cote de gravité « élevée » (4o %) ou « critique » (13 %).
-Les e-mails de phishing RVA ont entraîné un taux de clics de 25 %.
Données du rapport NCATS FY 2014.
ANALYSE
J’étais curieux de savoir combien d’entreprises du secteur privé avaient accepté les offres plutôt généreuses du DHS, car ces services peuvent être assez coûteux s’ils sont assurés par des entreprises privées. En réponse aux questions de cet auteur, le DHS a déclaré qu’au cours de l’exercice 2015, le NCATS avait fourni un soutien à 53 partenaires du secteur privé. Selon les données fournies par le DHS, la majorité de la participation du secteur privé au programme provient des secteurs de l’énergie et des services financiers, ces derniers étant généralement des institutions régionales ou plus petites telles que les coopératives de crédit.
Le DHS a pris des coups au fil des ans pour ne pas avoir fait assez pour mettre de l’ordre dans sa propre maison de cybersécurité, sans parler d’aider l’industrie à résoudre ses problèmes. À la lumière des faiblesses passées de l’agence en matière de cybersécurité, le programme NCATS semble à première vue être une étape concrète pour atténuer ces critiques.
Je me demandais ce que quelqu’un dans l’industrie des tests d’intrusion penserait que le gouvernement lance ses services gratuits sur le ring. Dave Aite est directeur de la technologie chez Immunité Inc.une société de sécurité basée à Miami Beach, en Floride, qui propose bon nombre des mêmes services que les offres NCATS dans son produit.
Aitel a déclaré que l’un des principaux avantages pour le DHS d’offrir le NCATS est qu’il peut utiliser le programme pour en savoir plus sur les vulnérabilités du monde réel dans les entreprises d’infrastructures critiques.
« Le DHS est un acteur important dans le domaine de la politique de » réglementation « , et la dernière chose dont nous avons besoin est un DHS mal informé qui a peu d’expertise technique dans les domaines couverts par les tests d’intrusion », a déclaré Aitel. « Plus le DHS comprend les réalités de la sécurité de l’information sur le terrain – plus il traite les entreprises américaines comme leurs clients – plus leurs recommandations politiques seront meilleures et moins percutantes. Nous disons toujours que l’offense est le professeur de la défense, et dans ce cas, sans être passé à l’offense, le DHS serait impuissant à proposer des remèdes aux entreprises d’infrastructures critiques.
Bien sûr, les inconvénients sont que parfois vous en avez pour votre argent, et l’offre NCATS soulève des questions intéressantes, a déclaré Aitel.
« Même si l’équipe du DHS qui fait le travail est formidable, une partie de la valeur d’un test d’intrusion coûteux est que les entreprises se sentent obligées de suivre les recommandations et d’améliorer leur sécurité », a-t-il déclaré. « Les données trouvées par une équipe de test du DHS affectent-elles de quelque manière que ce soit les engagements SEC d’une entreprise ? Que se passe-t-il si le gouvernement a accès aux données des clients lors d’un test d’intrusion ? Quelles sont les ramifications juridiques ? Il s’agit d’un événement courant et avant la CISPA, il peut entraîner une responsabilité importante.
En ce qui concerne les ramifications juridiques potentielles de toute erreur que le DHS peut ou non commettre dans ses évaluations, la lettre d’acceptation (PDF) que tous les clients NCATS doivent signer indique que le DHS ne fournit aucune garantie d’aucune sorte concernant les services gratuits. Les règles de la lettre d’engagement du DHS établissent en outre les règles de base et les spécificités des services de test NCATS.
Aitel, un ancien chercheur au Agence de Sécurité Nationale (NSA), a soulevé un autre problème : toutes les vulnérabilités trouvées n’importe où au sein du gouvernement – par exemple, dans un logiciel tiers – sont censées être transmises à la NSA pour le triage, et parfois la NSA est ensuite en mesure d’utiliser ces vulnérabilités dans des opérations clandestines. opérations cyberoffensives.
Mais qu’en est-il des vulnérabilités jusque-là inconnues découvertes par les examinateurs du DHS ?
« Cela peut être moins un problème lorsque le DHS utilise une équipe tierce, mais s’ils utilisent une équipe DHS et qu’ils trouvent un bogue dans Microsoft IIS (serveur Web), cela ne va pas au client – cela va à la NSA », a déclaré Aitel.
Et puis il y a des problèmes juridiques potentiels avec le gouvernement en concurrence avec le secteur privé.
Alain Pallerdirecteur de recherche au Institut SANS, un groupe de formation en sécurité basé à Bethesda, dans le Maryland, n’est pas tellement préoccupé par la concurrence du gouvernement avec le secteur privé pour les audits de sécurité. Mais il a déclaré que le DHS offrait quelque chose d’important avec ses évaluations gratuites : une excuse pour la direction des organisations analysées pour ne rien faire après l’évaluation et utiliser les résultats comme un moyen de dépenser moins pour la sécurité.
« Le programme NCATS pourrait être un excellent service qui fait beaucoup de bien, mais ce n’est pas le cas », a déclaré Paller. « Le problème est qu’il ne mesure qu’un sous-ensemble très limité de l’espace de vulnérabilité, mais est accompagné d’une carte de sortie de prison plaquée or : « Le gouvernement américain est venu et nous a contrôlés ». Ils disent qu’ils le font uniquement pour les organisations qui ne peuvent pas se permettre des évaluations commerciales, mais ils s’adressent souvent à des organisations qui ont suffisamment de poches.
Selon Paller, malgré ce que disent les documents NCATS, les testeurs n’effectuent pas de tâches de pénétration active contre le réseau. Au contraire, a-t-il dit, ils sont contraints par leurs règles d’engagement.
« La plupart du temps, ils font des évaluations architecturales et des analyses de trafic », a-t-il déclaré. « Ils obtiennent une capture de gros paquets et ils basent et profilent et font une analyse de protocole (sans fil). »
Paller a déclaré que le type d’examen de l’architecture réseau proposé par les analyses du DHS ne peut vous en dire que beaucoup, et que les personnes qui le font n’ont pas une expérience approfondie de l’un des aspects les plus obscurs des systèmes d’infrastructure critiques : les systèmes de contrôle industriels du type qui pourraient être présent dans une entreprise énergétique qui se tourne vers le NCATS pour son évaluation de la cybersécurité.
« En général, les examens architecturaux sont effectués par des personnes plus jeunes ayant peu d’expérience dans le monde réel », a déclaré Paller. « Le gros problème est que le client n’est pas entièrement informé des limites de ce qui est fait dans son évaluation et ses tests. »
Votre organisation a-t-elle de l’expérience avec les évaluations NCATS ? Faites-vous partie d’un infrastructure critique entreprise susceptible d’utiliser ces services ? Voudriez-vous? Sonnez dans les commentaires ci-dessous.