Connect the dots #14: « Mise en oeuvre de l’architecture Zero Trust «
(c) « Ils se reconnaitront ». Immense bravo à nos soignants !
Comme nous avons vu dans le précédent article, le paradigme « zero trust » consiste à ne plus faire confiance à tout composant du système d’informations, qu’il soit positionné à l’intérieur du périmètre ou à l’extérieur.
Tout doit être contrôlé: Chaque utilisateur doit prouver son identité de manière renforcée à chaque accès. Le couple « login-mot de passe » est très insuffisant car les attaquants en récupèrent des millions dans le darkweb, sans compter les attaques de phishing, où l’utilisateur dévoile par erreur sa crédentité.
On va donc mettre en place de système d’authentification renforcée avec un deuxième facteur comme le mot de passe valable une fois pendant quelques secondes, généré par le smartphone ou tout autre système (clef USB, empreintes digitales) pourvu qu’il soit différent du simple « login-mot de passe ».
De plus, l’ordinateur ou le smartphone à l’origine de la connexion seront vérifiés par rapport à la partie connue du périmètre informatique de l’entreprise. Le système d’exploitation et le navigateur web seront aussi vérifiés, notamment sur le niveau des correctifs de sécurité et la mise à jour antivirale, ainsi que l’emplacement habituel de connexion (adresse IP) de cet utilisateur ou de cet ordinateur.
Zéro surface d’attaque.
Mais le plus important dans une architecture « zero trust » est d’empêcher la compromission initiale, car c’est cela qui « efface » la différence entre l’intérieur et l’extérieur, comme dans l’histoire du Cheval de Troie.
Voici les principaux éléments de la surface d’attaque que les pirates cherchent à exploiter dans une cyber-attaque:
1- La sécurité réseau
2- Les serveurs de noms de domaine (DNS)
3- L’absence de correctifs de sécurité (patches)
4- La sécurité du poste de travail
5- La réputation des adresses IP de l’entreprise (la possibilité de spam)
6- La sécurité applicative
7- L’absence de bonnes pratiques de sécurité
8- Les tchat des hackers dans le darkweb où votre entreprise est mentionnée
9- Des fuites d’information comme des « login-mot de passe » ou des e-mails de la cible, dans le darkweb
10- La résistance de la cible aux attaques de phishing et de social engineering
La première chose à faire d’urgence est donc d’évaluer votre surface d’attaque, puis de corriger tous les points pour remonter votre score au moins à « B ». J’ai regardé les scores des différentes entités qui se sont faites pirater ces dernières semaines: Elles étaient toutes à D, E ou F. L’exemple ci-dessus est celui d’une grande ville Française. Les trois flèches bleues que j’ai ajoutées correspondent à une activité liée au télétravail.
Le premier point à corriger concerne donc la sécurité réseau: Un VPN (Réseau Privé Virtuel) certes chiffre les données entre l’ordinateur de l’utilisateur et le système de l’entreprise, mais si les attaquants savent s’y connecter ils seront alors « à l’intérieur » du système. C’est le même problème pour les accès par terminal virtuel comme le RDP (Remote Desktop) de Windows. Une fois que l’on a récupéré les identifiants, on a accès à toutes les ressources et données de cet utilisateur…
La première action consiste à supprimer tous les accès VPN et RDP du système et à les remplacer par un accès à chaque applicatif (web). Naturellement cela aura pour conséquence la multiplication des couples login-mot de passe, mais limitera l’impact d’un mot de passe dévoyé au seul applicatif concerné. (Un e-coffre-fort de mots de passe sera le bienvenu, comme les navigateurs récents proposent).
On voit dans la célèbre attaque « Solarwinds » que par l’exploitation de systèmes non mis à jour ou mis à jour avec un code malicieux généré en faisant croire à une mise à jour de l’éditeur, le RDP a été utilisé pour entrer dans les systèmes des cibles.
De même, les systèmes de transfert de fichiers « en clair » comme FTP, ou bien les protocoles de prise de main à distance comme VNC, sont des vecteurs de contamination par le réseau. Ils doivent être repérés et désactivés.
Si vous n’arrivez pas à les supprimer tout de suite, activez des systèmes à authentification à double facteur, au moins, en attendant. Vous devez également maintenir un système de « whitelist » d’adresses IP externes autorisées pour limiter le risque.
Même chose pour les partages de fichiers en SMB et les imprimantes partagées. Ce sont des vecteurs de contamination et de diffusion du ransomware. Il faut les repérer et les réduire au strict nécessaire en nombre et en habilitations (read only).
Ce n’est pas tout: Il y a des bases de données carrément directement exposées sur Internet !!! SQL Server – MongoDB – MySQL – Redis – PostgresSQL – CouchDB – ElasticSearch. Les hébergeurs cloud ne sont pas en reste, car c’est vous qui êtes responsables de la manière dont vous concevez votre architecture chez eux. Voici par exemple les services et les bases exposées chez un hébergeur cloud bien connu:
(c) Security Scorecard
Comme pour les services réseau, vous devez whitelister à minima ceux qui peuvent y accéder en attendant de rendre ces bases inaccessibles directement par Internet.
Un autre point que l’on voit clairement ici est le problème des certificats. Il y en a un qui est carrément révoqué, mais utilisé quand même. 54 ont un algorithme de chiffrement faible, 575 sont expirés, plus de 1000 sont auto-signés. Sans compter les 2000 protocoles TLS faibles et les quelque 9000 SSH (permettant un accès admin distant au serveur) faibles ! Pour rappel, les certificats contribuent au chiffrement, donc à la protection des flux réseau. Les attaquants utilisent clairement de faux certificats pour induire les utilisateurs ou les mécanismes de protection en erreur. Il faut donc repérer et éliminer tous ces certificats et algorithmes de chiffrement faibles.
Une fois que vous aurez effectué (rapidement) ces actions, il ne vous restera plus que neuf autres points à renforcer… N’oubliez pas que vos failles, les attaquants les voient aussi. Chaque jour qui passe est un jour de bonus pour les pirates. Comme disait Douglas Mac Arthur: « Les batailles perdues se résument en deux mots : -trop tard- ».