La National Security Agency (NSA) et la Cybersecurity and Infrastructure Security Agency (CISA) ont révélé aujourd’hui les dix erreurs de configuration de cybersécurité les plus courantes découvertes par leurs équipes rouges et bleues dans les réseaux des grandes organisations.

L’avis d’aujourd’hui détaille également les tactiques, techniques et procédures (TTP) utilisées par les acteurs malveillants pour exploiter avec succès ces erreurs de configuration avec divers objectifs, notamment accéder, se déplacer latéralement et cibler des informations ou des systèmes sensibles.

Les informations contenues dans le rapport ont été collectées par les équipes Rouge et Bleue des deux agences lors d’évaluations et d’activités de réponse aux incidents.

« Ces équipes ont évalué la situation de sécurité de nombreux réseaux au sein du ministère de la Défense (DoD), du pouvoir exécutif civil fédéral (FCEB), des gouvernements des États, locaux, tribaux et territoriaux (SLTT) et du secteur privé », a déclaré la NSA. .

« Ces évaluations ont montré à quel point les erreurs de configuration courantes, telles que les informations d’identification par défaut, les autorisations de service et les configurations de logiciels et d’applications, la séparation inappropriée des privilèges utilisateur/administration, la surveillance insuffisante du réseau interne, la mauvaise gestion des correctifs, mettent chaque Américain en danger », a déclaré Eric. Goldstein, directeur adjoint exécutif pour la cybersécurité chez CISA.

Les 10 configurations réseau les plus répandues découvertes lors des évaluations des équipes Rouge et Bleu et par les équipes de recherche et de réponse aux incidents de la NSA et de la CISA comprennent :

  1. Configurations par défaut des logiciels et applications
  2. Mauvaise séparation des privilèges utilisateur/administrateur
  3. Surveillance insuffisante du réseau interne
  4. Manque de segmentation du réseau
  5. Mauvaise gestion des correctifs
  6. Contournement des contrôles d’accès au système
  7. Méthodes d’authentification multifacteur (MFA) faibles ou mal configurées
  8. Listes de contrôle d’accès (ACL) insuffisantes sur les partages et services réseau
  9. Mauvaise hygiène des informations d’identification
  10. Exécution de code sans restriction

Comme indiqué dans l’avis conjoint, ces erreurs de configuration courantes illustrent des vulnérabilités systémiques au sein des réseaux de nombreuses grandes organisations.

Cela souligne la nécessité cruciale pour les fabricants de logiciels d’adopter des principes de sécurité dès la conception, atténuant ainsi le risque de compromission.

Goldstein a exhorté les fabricants de logiciels à adopter un ensemble de pratiques proactives, visant à lutter efficacement contre ces erreurs de configuration et à atténuer les défis auxquels sont confrontés les défenseurs des réseaux.

Il s’agit notamment de l’intégration de contrôles de sécurité dans l’architecture du produit dès les premières étapes de développement et tout au long du cycle de vie du développement logiciel.

En outre, les fabricants devraient cesser d’utiliser des mots de passe par défaut et veiller à ce que la compromission d’un seul contrôle de sécurité ne mette pas en péril l’intégrité du système dans son ensemble. Prendre des mesures proactives pour éliminer des catégories entières de vulnérabilités, comme l’utilisation de langages de codage sécurisés en mémoire ou la mise en œuvre de requêtes paramétrées, est également essentielle.

Enfin, Goldstein a déclaré qu’il était impératif d’imposer l’authentification multifacteur (MFA) pour les utilisateurs privilégiés et d’établir la MFA comme fonctionnalité par défaut, ce qui en fait une pratique standard plutôt qu’un choix facultatif.

La NSA et la CISA encouragent également les défenseurs des réseaux à mettre en œuvre les mesures d’atténuation recommandées pour réduire le risque que des attaquants exploitent ces erreurs de configuration courantes.

Les mesures d’atténuation qui auraient cet effet comprennent :

  • éliminer les informations d’identification par défaut et renforcer les configurations,
  • désactiver les services inutilisés et mettre en œuvre des contrôles d’accès stricts,
  • assurer des mises à jour régulières et automatiser le processus de patching, en donnant la priorité à la correction des vulnérabilités connues qui ont été exploitées,
  • et réduire, restreindre, auditer et surveiller de près les comptes et privilèges administratifs.

En plus d’appliquer les grandes lignes des mesures d’atténuation, la NSA et la CISA recommandent « d’exercer, de tester et de valider le programme de sécurité de votre organisation par rapport aux comportements de menace mappés au cadre MITRE ATT&CK for Enterprise » dans l’avis d’aujourd’hui.

Les deux agences fédérales conseillent également de tester l’inventaire des contrôles de sécurité existants pour évaluer leurs performances par rapport aux techniques ATT&CK décrites dans l’avis.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *