Est-il juste de juger de la position de sécurité des informations d’une organisation simplement en examinant ses actifs connectés à Internet pour détecter les faiblesses couramment recherchées et exploitées par les attaquants, telles que les logiciels obsolètes ou les données et appareils accidentellement exposés ? Juste ou pas, un certain nombre d’efforts naissants utilisent une telle approche pour dériver des scores de sécurité pour les entreprises et des industries entières. Ce qui est remarquable, c’est le nombre d’organisations qui ne font pas l’effort de voir leurs ressources publiques en ligne comme le reste du monde les voit — jusqu’à ce qu’il soit trop tard.
Pendant des années, les créanciers potentiels ont jugé le risque relatif d’accorder un crédit aux consommateurs en se basant en partie sur le pointage de crédit du demandeur — le plus largement utilisé étant le pointage élaboré par FICOanciennement connu sous le nom de Juste Isaac Corporation. Plus tôt cette année, FICO a commencé à vanter ses mérites Score de cyber-risque (PDF), qui vise à mesurer les risques d’une organisation de subir une violation de données au cours des 12 prochains mois, sur la base d’une variété de mesures liées aux actifs en ligne publics de l’entreprise.
En octobre, FICO s’est associé au Chambre de commerce des États-Unis pour évaluer plus de 2 500 entreprises américaines avec le Cyber Risk Score, puis a invité ces entreprises à s’inscrire et à voir comment leur score se compare à celui d’autres organisations de leur secteur. Les cas d’utilisation indiqués pour le Cyber Risk Score incluent le potentiel de tarification et de souscription de la cyber-assurance, et l’évaluation du risque de la chaîne d’approvisionnement (c’est-à-dire la posture de sécurité des fournisseurs partenaires).
Les scores spécifiques à l’entreprise sont censés être mis à la disposition uniquement des personnes approuvées de l’organisation qui passent par le processus d’inscription de FICO. Mais dans un e-mail marketing envoyé mardi aux membres de FICO annonçant sa nouvelle fonction d’analyse comparative, FICO a accidentellement exposé le FICO Cyber Risk Score du géant de l’énergie ExxonMobil.
L’e-mail marketing a été rapidement rappelé et réédité dans une version expurgée, mais il semble que le score d’ExxonMobil de 587 le place dans la catégorie de risque « élevé » et quelque peu en dessous du score moyen des grandes entreprises du secteur de l’énergie et des services publics, qui était de 637. L’analyse d’octobre de la Chambre et du FICO donne aux entreprises américaines un score global de 687 sur une échelle de 300 à 850.
Quelle est l’utilité d’un tel score ? Mike Lloyddirecteur technique chez Sceau rougea été cité comme disant qu’un score « pris de l’extérieur en regardant à l’intérieur est similaire à l’évaluation du risque d’incendie d’un bâtiment sur la base d’une photographie prise de l’autre côté de la rue ».
« Vous pouvez, bien sûr, établir des éléments importants sur la qualité d’un bâtiment à partir d’une photographie, mais cela ne remplace pas la possibilité de vraiment l’inspecter de l’intérieur », a déclaré Lloyd. Raconté Lecture sombre concernant l’annonce Chambre/FICO en octobre.
Naturellement, la combinaison d’analyses externes avec des sondes de vulnérabilité internes et des engagements de tests d’intrusion peut fournir aux organisations une image beaucoup plus globale de leur posture de sécurité. Mais lorsqu’une grande entreprise rend publiques, répétées et prolongées des failles de sécurité externes, il est difficile d’échapper à la conclusion qu’elle ne regarde peut-être pas non plus de trop près sa sécurité interne.
ENTIÈREMENT, CERTIFIABLEMENT ÉVITABLES
Dommage que l’e-mail marketing FICO errant n’ait pas révélé le score actuel de cyber-risque des trois grands bureaux de crédit à la consommation Équifaxqui a été débarrassée des données personnelles et financières de 148 millions d’Américains l’année dernière après que la société n’a pas réussi à corriger l’un de ses serveurs Web, puis n’a pas détecté une intrusion dans ses systèmes pendant des mois.
UNE Rapport de 96 pages (PDF) publié cette semaine par un comité de surveillance de la Chambre a conclu que la violation d’Equifax était « entièrement évitable ». Pendant 76 jours à compter de la mi-mai 2017, les intrus ont effectué plus de 9 000 requêtes sur 48 bases de données d’Equifax.
Selon le rapport, les attaquants ont pu déplacer les données hors du réseau d’Equifax sans être détectés grâce à un certificat de sécurité expiré. Plus précisément, « alors qu’Equifax avait installé un outil pour inspecter le trafic réseau à la recherche de preuves d’activité malveillante, le certificat expiré empêchait cet outil d’exécuter sa fonction prévue de détection du trafic malveillant ».
Les certificats expirés ne sont pas particulièrement rares ou remarquables, mais lorsqu’ils persistent sur des serveurs Web accessibles au public pendant des jours ou des semaines, cela soulève la question : quelqu’un dans l’organisation concernée prête-t-il une attention particulière à la sécurité ?
Étant donné à quel point il était dommageable pour Equifax d’avoir un certificat expiré, vous pourriez penser que l’entreprise aurait fait tout ce qui était en son pouvoir pour s’assurer que cela ne se reproduise plus. Mais il voudrais se reproduisent – à au moins deux reprises plus tôt cette année.
En avril 2018, BreachTrace a souligné que le site Web qu’Equifax met à la disposition des consommateurs qui souhaitent geler leurs dossiers de crédit utilisait un certificat expiré, ce qui a amené le site à afficher une page d’avertissement rouge qui a presque certainement effrayé d’innombrables consommateurs. dossiers de crédit.
Il a fallu deux semaines à Equifax pour réparer ce certificat expiré. Une semaine plus tard, j’ai trouvé un autre certificat expiré sur le portail Web de gel de crédit pour le Échange national des télécommunications et des services publics pour les consommateurs — un bureau de crédit à la consommation exploité par Equifax.
ÊTES-VOUS EXPÉRIMENTÉ?
Il faut se demander quel est le score médian de risque cyber FICO pour l’industrie des bureaux de crédit, car quel que soit le score d’Equifax, il ne peut pas être trop différent de celui de son principal concurrent – Expérianqui n’est pas étranger aux violations de données.
Mardi, chercheur en sécurité @notdan tweeté sur la recherche d’une série de répertoires ouverts sur le site Web d’Experian. Les répertoires ouverts, dans lesquels les fichiers et les dossiers d’un serveur Web sont répertoriés publiquement et cliquables jusqu’au dernier fichier, ne sont pas très rares à trouver exposés sur des sites Web plus petits, mais ils ne constituent pas le type de surveillance auquel vous vous attendez. voir dans une entreprise de la taille et de la sensibilité d’Experian.
Inclus dans l’un des répertoires exposés sur le serveur Experian se trouvaient des dizaines de fichiers qui semblaient être des artefacts numériques laissés par un scanner de vulnérabilité Web populaire Burp Suite. Il n’est pas clair si ces fichiers étaient le résultat d’analyses effectuées par quelqu’un au sein de l’entreprise, ou s’ils étaient le produit d’une sonde de sécurité non autorisée par des intrus potentiels qui ont été indexés d’une manière ou d’une autre par les serveurs d’Experian (cette dernière possibilité étant beaucoup plus préoccupante).
Experian n’a pas répondu aux demandes de commentaires, et la société a désactivé l’accès public aux répertoires peu de temps après que d’autres chercheurs sur Twitter ont commencé à accumuler les découvertes de @notdan avec leurs propres découvertes.
Comme je l’ai noté dans l’histoire de la semaine dernière sur la violation de 4 ans chez Marriott qui a révélé les données personnelles et financières de quelque 500 millions de clients, les entreprises qui ont la tête bien vissée du point de vue de la sécurité de l’information sont dirigées par des dirigeants qui attendent le l’organisation sera constamment violée par des vulnérabilités, des attaques de phishing et de logiciels malveillants.
Ils testent en permanence leurs propres réseaux internes et leurs propres employés pour détecter les faiblesses, et forment régulièrement leur préparation à la réponse aux violations (un peu comme un exercice d’incendie). Ils trouvent des moyens créatifs de réduire le volume de données sensibles qu’ils doivent stocker et protéger. Et ils sont segmenter leurs réseaux comme des compartiments étanches dans un navire, de sorte qu’une brèche dans une partie de la coque numérique de l’organisation ne puisse pas se propager au reste du navire et couler tout le navire (il convient de noter que le rapport de surveillance de la Chambre a observé que le manque de segmentation du réseau était un contributeur majeur à la violation d’Equifax).
Mais les entreprises ayant une «maturité de sécurité» avancée examinent également régulièrement ce que leur posture de sécurité tournée vers l’extérieur dit au reste du monde, pleinement conscientes que les apparences comptent – en particulier pour les vauriens qui ont tendance à voir faiblesses de la sécurité publique comme fenêtres briséeset comme une invitation au mal.