Dans la partie 1 de ce court article, nous avons rencontré Travis Smith, vice-président de l’unité d’étude de recherche sur les dangers chez Qualys, une société d’experts en cybersécurité, pour obtenir une gestion précise combien de vulnérabilités actives étaient utilisées par les cybercriminels.
Il est sûr de dire que nous avions l’esprit bien et vraiment époustouflé par la façon dont le recentrage constant de l’objectif du danger actif nous a éloignés d’innombrables prospectivesvulnérabilités à 17 qui étaient activement utilisées et récemment introduites.
Bien que nous ayons Travis dans le fauteuil, il semblait juste d’approfondir ces 17 dangers actifs.
Erreur de configuration.
THQ :
Parlez-nous des vulnérabilités de mauvaise configuration, car elles semblent être un moyen prédominant pour les mauvaises étoiles.
TS :
Comprendre que vous avez réellement avoir des erreurs de configuration en premier lieu est la meilleure chose là-bas. Et dès que vous le savez, vous devez demander à quoi ressemble l’état de mauvaise configuration dans le reste des installations. Nous souhaitions examiner à quoi ressemblent les erreurs de configuration dans le cloud et à quoi elles ressemblent sur site, nous avons donc extrait les points d’information sur tout cela.
Du côté du cloud, nous avons spécifiquement examiné aux critères d’audit du Center for Internet Security pour AWS et GCP. Nous avons examiné les taux de réussite et d’échec liés à ces fournisseurs de cloud. Il y a 30 catégories privées, et si vous reconnaissez les critères CIS eux-mêmes, 13 de ces classifications à tous les niveaux cessent de fonctionner à un taux de plus de 50 % du temps.
Et il y en avait certainement quelques-unes des échecs inquiétants au niveau d’un groupement de haut niveau. Ainsi, par exemple, S3 (Easy Storage Option) et AWS, les contrôles liés à S3 cessaient de fonctionner plus de 50 % du temps. Et quiconque lit des articles de presse sait que si vous voyez quelque chose à propos d’une violation d’AWS, vous allez découvrir le mot S3 quelque part dans ce rapport de violation. Si vous regardez le contrôle individuel, en ce qui concerne les compartiments S3 exposés à Internet, celui-ci le dépasse en fait à plus de 50 %. Les autres configurations de support associées à cela abaissent cela jusqu’à l’endroit où elles passent beaucoup, beaucoup plus bas.
Du côté sur site, nous avons extrait CIS, extrait toutes les configurations que nous avons là-bas. Il y a beaucoup plus pour les configurations sur site, car il s’agit d’un marché d’inspection de configuration plus développé. Et nous avons découvert que ceux qui échouaient régulièrement étaient classés dans l’une des trois catégories suivantes : contrôles de mot de passe ; autorisations utilisateur ; et les paramètres de mise à jour de Windows.
Nous ne sommes pas trop concernés par les problèmes de paramètres de mise à jour de Windows, car les organisations peuvent les désactiver, puis utiliser une option de type de gestion des correctifs SCCM. Cela nous a donc laissé avec des mots de passe et des approbations d’utilisateurs.
Hazard Informed Defense.
Dans l’ensemble, nous avons examiné tout ce qui échouait plus de 50 % du temps pour le cloud et sur site, et s’appuyait sur un projet réalisé par le MITRE Center for Hazard Informed Defense, dans lequel il mappait les contrôles CIS sur les techniques d’attaque MITRE. Nous avons donc examiné les commandes qui s’arrêtaient de fonctionner plus de 50 % du temps, et quelles méthodes étaient liées à celles-ci. Et du point de vue du cloud, les techniques qui ont figuré parmi les trois principales étaient l’exploitation, le chiffrement de fichiers et l’exfiltration. Exploitation de services distants, informations chiffrées pour impact et données exfiltrées d’un élément de stockage dans le cloud.
Rassemblez ces 3 éléments et vous avez l’histoire du ransomware.
THQ :
Début, milieu et fin.
TS :
Exactement, d’accord. Du côté sur site, c’était la force, en utilisant les qualifications, RDP et un système d’élévation du contrôle des abus. Vous êtes actuellement exposé car RDP est un problème important, qu’ils l’exploitent ou non. Les qualifications sont quelque chose que les stars du danger recherchent, c’est l’une des toutes premières choses qu’elles tentent de cibler, puis sans aucun doute d’élever leurs privilèges. C’est ainsi que fonctionnent la plupart des stars du danger.
Mais plus particulièrement, si vous regardez quelque chose comme l’accès préliminaire aux courtiers, aux affiliés, etc., c’est leur principale méthode pour entrer dans une organisation. Dans l’ensemble, ces erreurs de configuration sont liées à des ransomwares.
Chez Qualys, nous avons un contrôle particulier de notre outil de conformité aux politiques, qui est notre outil sur site, qui examine la configuration là-bas, qui examine les contrôles individuels associés aux ransomwares, ce qui, dans le cas de ces configurations spécifiques, réduirait la probabilité ou l’impact des ransomwares dans votre environnement. Le taux de réussite et d’échec de ceux-ci était de 50 %.
Cela pourrait être inquiétant, au tout premier niveau. Si vous jetez un coup d’œil à l’installation Windows par défaut de Windows 10, elle passe à 34 % pour ce même ensemble de contrôles. Les entreprises l’améliorent. Ils passent de 34 à 50 %. C’est donc un excellent signe. Vous comprenez, nous avons les informations dans le rapport qui examinent les contrôles spécifiques que les entreprises modifient d’un taux d’échec par défaut à un taux de réussite. Quels sont ceux qu’ils remarquent ?
Cependant, d’un autre côté, quels sont ceux qui allaient par défaut qu’ils ont délibérément mal configurés ? Et quels sont les impacts avec quelques-uns de ces types de choses ?
Le point à retenir.
THQ :
Donc, résumez la situation des vulnérabilités pour nous dans un quelques phrases. Qu’est-ce que les entreprises devraient éliminer de votre étude de recherche ?
Et de même, quelle serait votre prescription pour toutes les vulnérabilités actives existantes ?
TS :
Le point à retenir De tout cela, si vous jetez un coup d’œil aux vulnérabilités et au paysage des dangers pour la toute première fois, cela ressemble à une montagne à gravir. 25 000 vulnérabilités publiées l’an dernier, près de 200 000 dans le domaine relativement inconnu. Comment faites-vous face à cette difficulté ?
Si vous pouvez façonner l’objectif de manière à vous concentrer uniquement sur les éléments sur lesquels vous devez vous concentrer et suivre vos informations sur les risques via la ligne de défense informée des risques pour découvrez ce que les étoiles de danger exploitent en fait, les vulnérabilités qu’elles utilisent réellement, et superposez qu’avec l’intelligence que vous avez de votre propre environnement, vous devez être en mesure de protéger adéquatement les joyaux de la couronne dans votre environnement.
Donnez la priorité à ce qu’il est essentiel d’examiner, car une vulnérabilité d’intensité moyenne sur un actif crucial sera plus importante à repérer qu’une vulnérabilité de haute gravité sur un testeur dans un laboratoire.
THQ :
Et quelles actions pouvons-nous entreprendre pour améliorer le scénario à partir d’ici ?
TS :
Ce que nous essayons de faire avec ce rapport est de clarifier les dangers dans l’environnement. Non seulement ceux qui sont exploités, mais ceux qui sont exploités par les courtiers d’accès préliminaires, les affiliés, des choses comme ça.
Nous savons maintenant à quoi ressemblait ce paysage des risques en 2022 et comment cela peut façonner ce est important de jeter un coup d’œil en 2023, non seulement du côté des vulnérabilités, mais également du côté des erreurs de configuration.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
