Dans ce qui pourrait appartenir à la catégorie « mieux vaut tard que jamais », le gouvernement américain et l’industrie informatique intensifient leurs efforts pour faire face aux problèmes de cybersécurité apparemment galopants.
Vendredi, le département de la Sécurité intérieure a annoncé que son comité d’examen de la sécurité informatique (CSRB) procédera à un examen de la sécurité du cloud impliquant le ciblage malveillant des environnements cloud.
L’initiative se concentrera sur la fourniture de recommandations aux gouvernements, à l’industrie et aux fournisseurs de services cloud (CSP) pour améliorer la gestion de l’identité et l’authentification dans le cloud.
Les efforts initiaux examineront le piratage du cloud Microsoft du mois dernier dans lequel les chercheurs ont découvert que des pirates chinois avaient falsifié des jetons d’authentification à l’aide d’une clé de signature d’entreprise Azure Active Directory volée pour pénétrer dans les boîtes de réception de messagerie M365. Le piratage a entraîné le vol d’e-mails d’environ 25 organisations.
Le conseil s’étendra ensuite aux problèmes liés à l’infrastructure d’identité et d’authentification basée sur le cloud affectant les CSP applicables et leurs clients. Cette partie de l’examen peut avoir une importance encore plus répandue dans la résolution des processus de cybersécurité défaillants.
Les États-Unis améliorent les mesures de sécurité dans le cloud
Le rôle du CSRB est d’évaluer les incidents significatifs et les vulnérabilités de l’écosystème et de faire des recommandations basées sur les leçons apprises. Selon des représentants du gouvernement, le conseil réunit les meilleures compétences de l’industrie et du gouvernement.
« Les conclusions et les recommandations du Conseil d’administration issues de cette évaluation feront progresser les pratiques de cybersécurité dans les environnements cloud et garantiront que nous pouvons collectivement maintenir la confiance dans ces systèmes critiques », a déclaré Jen Easterly, directrice de la Cybersecurity and Infrastructure Security Agency (CISA).
Dans une annonce connexe du 8 août, le National Institute of Standards and Technology (NIST) a publié une ébauche d’une version 1.0 étendue du cadre de cybersécurité qu’il a introduite pour la première fois en 2014. Cybersecurity Framework (CSF) 2.0 est la première révision de l’outil d’évaluation de la cybersécurité. depuis lors.
Après avoir examiné plus d’un an de commentaires de la communauté, le NIST a publié la nouvelle version préliminaire du Cybersecurity Framework (CSF) 2.0 pour aider les organisations à comprendre, réduire et communiquer sur les risques de cybersécurité. Il reflète les changements dans le paysage de la cybersécurité et facilite la mise en œuvre du cadre de cybersécurité pour toutes les organisations.
« Avec cette mise à jour, nous essayons de refléter l’utilisation actuelle du cadre de cybersécurité et d’anticiper également l’utilisation future », a déclaré Cherilyn Pascoe du NIST, développeur principal du cadre.
« Le CSF a été développé pour des infrastructures critiques telles que les secteurs bancaire et énergétique, mais il s’est avéré utile partout, des écoles et des petites entreprises aux gouvernements locaux et étrangers. Nous voulons nous assurer qu’il s’agit d’un outil utile à tous les secteurs, pas seulement à ceux désignés comme critiques », a-t-elle ajouté.
Harmoniser les stratégies de cybersécurité antérieures
La Maison Blanche a ouvert jeudi une demande d’informations pour commentaires publics sur la sécurité des logiciels open source et les langages de programmation sécurisés en mémoire.
L’objectif est de poursuivre son engagement à investir dans le développement de logiciels sécurisés et de techniques de développement de logiciels. La demande de commentaires publics vise également à faire avancer l’initiative 4.1.2 du plan de mise en œuvre de la stratégie nationale de cybersécurité que la Maison Blanche a publié pour sécuriser les fondements d’Internet.
La Maison Blanche a publié le 13 juillet le Plan national de mise en œuvre de la stratégie de cybersécurité (« NCSIP »). Il identifie 65 initiatives menées par 18 départements et agences différents, conçues comme une feuille de route pour la mise en œuvre de la Stratégie nationale américaine de cybersécurité publiée en mars.
Les réponses doivent être reçues avant 17h00 HAE le 9 octobre 2023. Pour plus d’informations sur la soumission de commentaires, consultez la fiche d’information : Le Bureau du directeur national du cyberespace demande des commentaires publics sur la sécurité des logiciels open source et le langage de programmation sécurisé en mémoire.
La réponse de Microsoft peut créer un précédent
Selon Claude Mandy, évangéliste en chef de la sécurité des données chez Symmetry Systems, la violation du cloud Microsoft mentionnée ci-dessus a mis en évidence deux problèmes.
Tout d’abord, il a révélé comment les ensembles de constructions commerciales de Microsoft avaient besoin de fonctionnalités de sécurité avec d’autres produits. L’intention est d’empêcher les clients de sélectionner des produits concurrents sur une base commerciale, a-t-il déclaré.
Cela empêche les entreprises d’avoir des fonctionnalités de sécurité essentielles sans payer plus que ce qui est nécessaire. Dans ce cas, cela implique des journaux dans le processus d’authentification, selon Mandy.
La deuxième révélation est que les détails sur la façon dont la violation s’est produite et sur l’impact potentiel et les données qui pourraient être affectées sont encore vagues, sans aucune certitude fournie par Microsoft, a déclaré Mandy. Cela s’est produit malgré l’accent et l’investissement de Microsoft sur la cybersécurité en tant que source de revenus.
« En tant qu’industrie, nous exigeons plus de transparence », a-t-il déclaré à TechNewsWorld.
La leçon la plus importante de cette violation pour les organisations, a-t-il noté, est que la journalisation et la surveillance des événements de données – ou la détection et la réponse des données – est le plus grand levier dont on dispose dans le cloud pour détecter, enquêter et répondre aux incidents de sécurité, en particulier celles impliquant des tiers.
« Le plus intéressant à court terme de cet examen sera de savoir dans quelle mesure le précédent que Microsoft a créé en s’engageant à fournir ces journaux à un coût nul sera adopté ou appliqué à d’autres fournisseurs de services cloud », a-t-il déclaré.
La moitié des failles de sécurité du cloud sont ignorées
L’unité de recherche sur les menaces de Qualys a analysé l’état de la sécurité du cloud et a publié ses conclusions au début du mois.
Selon Travis Smith, vice-président de l’unité de recherche sur les menaces chez Qualys, les chercheurs ont découvert que les mauvaises configurations des fournisseurs de sécurité cloud offraient de nombreuses opportunités aux acteurs de la menace pour cibler les organisations, en particulier lorsqu’elles étaient combinées à des vulnérabilités externes qui restaient exposées et mettaient les organisations en danger.
« Parmi les trois principaux fournisseurs de sécurité cloud, les paramètres de configuration conçus pour renforcer les architectures et les charges de travail cloud n’étaient activés correctement qu’environ 50 % du temps. Dans le même ordre d’idées, 50,85 % des vulnérabilités externes restent non corrigées », a-t-il déclaré à TechNewsWorld.
Alors qu’un examen fournira une visibilité sur les risques liés au déplacement des ressources informatiques vers le cloud, il ne semble pas que les organisations tiennent compte de cet avertissement, a confié Smith.
Cette constatation n’augure rien de bon pour une meilleure cybersécurité. La première revue des chercheurs s’est concentrée sur les vulnérabilités de Log4J. Les cyber-experts constatent que Log4Shell est encore largement répandu dans les environnements cloud, avec des correctifs trouvés 30% du temps, a-t-il proposé.
Aucune solution pour la sécurité cloud basée sur des clés
La sécurité basée sur les clés aura toujours ce problème de violation. Il y a toujours, dans un certain sens, une clé principale, une clé pour les gouverner tous, a suggéré Krishna Vishnubhotla, vice-président de la stratégie produit chez Zimperium. Il ne suffit donc pas de choisir des algorithmes et des schémas cryptographiques robustes.
« La préoccupation la plus importante est de protéger les clés contre l’exfiltration et l’abus. La sécurité des clés n’est pas une bonne pratique dans la plupart des entreprises », a-t-il déclaré à TechNewsWorld.
Le multicloud et le cloud hybride sont omniprésents dans toute l’entreprise, de l’informatique à l’authentification. Par conséquent, la clé principale représente l’accès à tous les systèmes de l’entreprise.
« La vraie question est de savoir si les entreprises doivent confier leurs clés principales aux fournisseurs de cloud ou si elles doivent assumer cette responsabilité », a-t-il suggéré.
Le nouveau cadre de cybersécurité tient ses promesses
Les efforts pour mettre à jour les recommandations de sécurité pourraient être une bataille difficile au-delà des vrais cyber-experts. L’un des problèmes éternels de la cybersécurité est de savoir comment parler quantitativement de la sécurité à la direction et au conseil d’administration, a proposé John Bambenek, principal chasseur de menaces chez Netenrich.
« L’extension de ces cadres à toutes les organisations et pas seulement aux infrastructures critiques ouvre la porte à la possibilité de le faire de manière cohérente dans l’ensemble de l’économie et, espérons-le, conduira à une plus grande adhésion à l’utilisation de la sécurité pour réduire les risques commerciaux », a-t-il déclaré à TechNewsWorld.
L’ajout d’une sixième fonction, « gouverner », est un message clair aux organisations que pour réussir, il doit également y avoir des politiques et des processus gérés activement qui sous-tendent les autres domaines fonctionnels, a fait l’éloge du PDG de Viakoo, Bud Broomhead.
Par exemple, la gouvernance doit garantir que tous les systèmes sont visibles et opérationnels et que des processus et des politiques de sécurité au niveau de l’entreprise sont en place.
Aux cinq principaux piliers d’un programme de cybersécurité réussi, le NIST en a ajouté un sixième, la fonction «gouverner», qui souligne que la cybersécurité est une source majeure de risque pour l’entreprise et une considération pour la haute direction. (Crédit : N. Hanacek/NIST)
L’élargissement de la portée du cadre du NIST à toutes les formes d’organisations, pas seulement aux infrastructures critiques, reconnaît la façon dont chaque organisation est confrontée aux cybermenaces et doit avoir un plan en place pour gérer la cyberhygiène et la réponse aux incidents, a expliqué Broomhead.
« C’est déjà le cas avec la cyberassurance, et la récente mise à jour du NIST aidera les organisations non seulement à réduire leur paysage de menaces, mais aussi à mieux se positionner pour les exigences de conformité, d’audit et d’assurance en matière de cybersécurité », a-t-il déclaré à TechNewsWorld.
Un pas dans la bonne direction
La mise à jour du NIST devrait également inciter davantage d’organisations à travailler avec des fournisseurs de services gérés sur leur cyberhygiène et leur gouvernance en matière de cybersécurité, a exhorté Broomhead.
Étant donné que le NIST élargit son champ d’application pour inclure les petites organisations, beaucoup trouveront qu’un fournisseur de services gérés est le meilleur moyen de rendre leur organisation conforme au NIST Cybersecurity Framework v2.0.
La dernière mise à jour du cadre de cybersécurité est une excellente mise à jour de l’un des meilleurs cadres de risque de cybersécurité, a proposé Joseph Carson, scientifique en chef de la sécurité et CISO consultatif chez Delinea.
« C’est formidable de voir le cadre passer d’un simple objectif aux organisations d’infrastructures critiques et s’adapter aux menaces de cybersécurité en fournissant des conseils à tous les secteurs », a-t-il déclaré à TechNewsWorld.
« Cela inclut le nouveau pilier de gouvernance reconnaissant les changements dans la façon dont les organisations réagissent désormais aux menaces pour soutenir leur stratégie globale de cybersécurité. »