Les traces que les objets connectés industriels doivent générer

En naviguant sur le site de l’OWASP, je suis tombé « accidentellement » sur le projet de sécurité. Ce projet propose une liste intéressante d’événement qui doit être intégré à tout objet connecté : destinés aux usages personnels, en entreprise et industriels.

Une liste à utiliser lors de l’élaboration des objets connectés, mais aussi lors du choix d’une solution à utiliser.

Bilan des usages des mots de passe en entreprise

La société LastPass, qui propose une solution de coffre-fort à mot de passe dans le cloud destinée aux particuliers et entreprises, a publié un rapport sur la sécurité des mots de passe en entreprise, « The Password Exposé ».

Continuer la lecture de Bilan des usages des mots de passe en entreprise

Les ennuis ne sont pas terminés pour Equifax

70 class-actions ont été lancée contre Equifax suite à la divulgation le 7 septembre dernier du vol des données personnelles de plus de 143 millions de consommateurs américains. Pour rappel, une class-actions est un recours collectif en justice qui permet à un grand nombre de personnes, de poursuivre une personne, une entreprise ou une institution publique.

De nombreuses personnes se sont plaintes que leurs données personnelles dont leurs numéros de carte de crédit ont été utilisés dans des lieux qu’ils n’ont jamais visités, notamment dans des hôtels. Ainsi, une habitante de la ville de Seattle a indiqué dans un reportage que son identité a déjà été utilisée 15 fois : elle reçoit de nombreuses lettre de confirmation d’acceptation de crédits de grandes chaînes de magasins américaines telles que Macy, Kohl, etc. Son avocat pointe du doigt Equifax : elle a lancé une class-action contre Equifax pour négligence qui a conduit à la perte de données personnelles.

Le sites de cabinets d’avocats à la recherche de victimes pour lancer des class-actions contre Equifax fleurissent sur Internet… restera à prouver que les transactions malveillantes des plaignants sont issues de la perte de données d’Equifax !

Il s’agit probablement de la plus grande class-action de l’histoire de la justice américaines.

A suivre.

La CVE-2017-8225, ouvre-t-elle la voie à un nouveau IoT botnet ?

La CVE-2017-8225 est une vulnérabilité, datant de mars 2017, qui concerne plus de 1250 modèles de caméras de la gamme Wireless IP Camera (P2) WIFICAM fabriquée en Chine. La vulnérabilité est critique, car elle permet une exécution de code à distance (le pire des vulnérabilités) sur la caméra à travers le serveur web qui permet sa configuration en utilisant un navigateur web. Le site Shodan, qui référence les systèmes connectés à Internet, indique que prêt de 185 000 caméras connectées sont concernées par cette vulnérabilité.

L’histoire aurait pu s’arrêter là. Sauf qu’un chercheur en cyber sécurité a découvert, dans un forum, un échange intéressant qui traite de l’exploitation de cette vulnérabilité. L’échange démontre une collaboration entre plusieurs personnes pour développer des scripts (armement) qui utilisent Shodan pour identifier les cibles potentielles (découverte) ainsi que la compromission et enfin l’utilisation de Netcat pour prendre les commandes et le contrôle à distance (C2) des caméras compromises (cf. ma publication sur la Cyber Kill Chain pour comprendre les étapes d’une attaque qui s’applique à ce cas). Le niveau de collaboration est assez poussé puisqu’un des acteurs de l’échange a proposé de partager sa clé d’API qui permet d’utiliser la version premium de Shodan afin d’exporter la liste des IP vulnérable. L’export permet d’intégrer simplement aux scripts les cibles à attaquer.

… une nouvelle activité est née : le “MDLC” pour Malware Development Life Cycle.

A quand la convergence IDaaS, CASB et EMM pour la sécurité des accès aux systèmes d’information ?

Trois grandes technologies, à savoir l’IDaaS, le CASB et l’EMM, se généralisent pour la sécurité des accès aux systèmes d’information, notamment à travers des terminaux mobiles de type smartphone et tablette. Leur intégration dans les usages mobiles n’est pas encore transparente pour l’expérience utilisateur… voire, même dans certains cas, dans l’amélioration de la sécurité du système d’information. Probablement, que certaines solutions du marché sont plus intégrées que d’autres, cet article a pour objectif de traiter la problématique de l’usage des trois technologies et leur mise en oeuvre dans le système d’information de manière globale.

Continuer la lecture de A quand la convergence IDaaS, CASB et EMM pour la sécurité des accès aux systèmes d’information ?

Le Gartner publie son “hype cycle” 2017 des technologies de sécurisation des usages dans le cloud

Le Gartner a publié son analyse sur le développement et l’adoption des technologies de sécurisation des usages du cloud, Hype Cycle for Cloud Security in 2017. Les technologies qui me semblent pertinentes aujourd’hui ou en rupture demain : Immutable Infrastructure, Container security, Key Management as a Service, Software-Defined Perimeter, Private Cloud Computing, Cloud Access Security Broker, microsegmentation (Software-Defined Segmentation), IDaaS et le Cloud Security Assessments.

Continuer la lecture de Le Gartner publie son “hype cycle” 2017 des technologies de sécurisation des usages dans le cloud

Ne confondons plus sécurité du cloud et sécurité dans le cloud

La souscription à des services dans le cloud n’a jamais été aussi aisée. Cette simplicité permet à tout acteur de l’organisation de souscrire à ces services sur ses propres budgets, dans beaucoup de cas sans en référer à la direction du système d’information, sans se soucier de la responsabilité de l’organisation et notamment sur les services et les données de ses clients et de ses partenaires (exposition aux attaques, non-conformité légale et réglementaire, etc.)

Cet article a pour objectif de repositionner la sécurité liée aux usages dans le cloud.

Continuer la lecture de Ne confondons plus sécurité du cloud et sécurité dans le cloud

Nouvelle approche de cyber-défense : les leurres pour détecter les attaques furtives

Passer d’une posture du “potentiel scénario de menace” que doit être adressé avec des mesures de protection à une approche proactive et intelligente de la cybersécurité : la tromperie, nouvelle arme contre les menaces du cyberespace !

Le principe de fonctionnement des honeypots a été repris et adapté par certains éditeurs de solutions de sécurité des Systèmes d’Information pour être applicable aux contextes des réseaux internes. Ces nouvelles solutions, désignées par Deception Technology, sont plus dynamiques, adaptables à la personne malveillante qui y accèdent et enfin déployables dans différents points du Système d’Information.

Reprenons un peu l’anatomie d’une attaque informatique : une personne malveillante aura besoin d’utiliser un point d’entrée dans le Système d’Information cible :

  • Si elle est située à l’extérieur d’un site physique de sa cible, cette personne malveillante compromettra un poste de travail d’un collaborateur de l’organisation ou un serveur exposé sur Internet
  • Si elle est située dans un établissement de l’organisation, elle connectera un PC qui dispose d’outils de piratage

À partir de ces points d’ancrage , la personne malveillante tentera de trouver d’autres composants du Système d’Information pour :

  1. modifier et/ou substituer des données
  2. installer un programme capable d’altérer son fonctionnement ou déclencher une destruction de son contenu
  3. rebondir vers d’autres composants en exploitant des vulnérabilités ou des données collectées, ex. comptes utilisateurs ou d’administrateurs, pour continuer ses méfaits

Ces mouvements dans le Système d’Information compromis, désignés par « déplacements latéraux », sont généralement complexes à détecter, car menés très discrètement sur une longue période pour augmenter le caractère furtif de l’attaque. Certaines organisations se rendent compte que leur Système d’Information a été compromis longtemps après la fin de l’attaque lorsque la personne malveillante active les programmes malveillants qu’il a déployé ou lorsqu’elle publie les données exfiltrées. Ces attaques passent généralement sous le radar des dispositifs de sécurité existants lorsqu’elles menées par des professionnels de la cybercriminalité, voire de certains états, qui disposent de moyens largement supérieurs aux moyens de leurs cibles.

Par ailleurs, la complexité du Système d’Information et son extension au-delà des murs des entreprises (dans le Cloud ou chez des partenaires) rend complexe une supervision efficace de la sécurité. Seuls les composants et les applications sensibles du Système d’Information sont supervisés. Un pan complet du Système d’Information est ainsi laissé à la merci d’une personne malveillante qui y positionnera des charges destinées à terme à s’attaquer aux composants et applications sensibles.

C’est dans ce contexte de menaces que la technologie de déception peut jouer un rôle actif dans la sécurité d’un Système d’Information de plus en plus complexe et étendu. Le principe de la technologie de déception repose sur la mise en place de leurres dans différents réseaux du Système d’Information.

L’avantage de disposer de ce type de solution de sécurité est de pouvoir interagir avec la personne qui y accède en présentant à ses requêtes et commandes des réponses adéquate, tout en enregistrant ses requêtes et commandes. Son efficacité tient dans le fait que si une personne s’y connecte et commence à utiliser les services proposés, il y a de fortes chances qu’il s’agit d’une personne malveillante en déplacement latéral dans le Système d’Information.

Par ailleurs, l’analyse des enregistrements permet de comprendre les intentions de l’intrus : cherche-t-il des données particulières ? Collecte-t-il toutes les données qu’il trouve ? Qu’installe-t-il dans les serveurs ? La compréhension des intentions de l’intrus permet d’adapter la posture à adopter dans le cadre de la réponse à l’incident de sécurité : bloquer l’attaque ou superviser les mouvements dans le Système d’Information pour comprendre ses intentions.

Oui, vous l’avez compris le fonctionnement de la technique de déception repose sur le principe que l’attaquant fait confiance dans l’infrastructure qu’il tente de compromettre et qu’il pense collecter de l’information pertinente, la gratification, pendant son déplacement latéral … un comble : mais pourquoi ne ferait-il pas confiance dans un Système d’Information dont il vient d’exploiter des faiblesses ? Je revois à un document du DARPA déclassifiés en 2007 qui avait, dès 1973, planché sur l’efficacité des techniques de déception [1]. Encore plus loin dans le temps, Sun Tzu mettait en avant ce type d’approche dans son écrit “L’art de la guerre” : “Toute campagne guerrière doit être réglée sur le semblant ; feignez le désordre, ne manquez jamais d’offrir un appât à l’ennemi pour le leurrer, simulez l’infériorité pour encourager son arrogance, sachez attiser son courroux pour mieux le plonger dans la confusion : sa convoitise le lancera sur vous pour s’y briser.”.

Les premières solutions de leurres pour la sécurité des Systèmes d’Informations datent de 15 ans avec les honeypots. Malheureusement, leur caractère statistique fait qu’ils sont facilement détectables et rapidement inefficaces : il ne faut pas sous-estimer l’intelligence des personnes malveillantes. Ces solutions avaient comme finalité la recherche en cybersécurité et étaient destinées à être exposées sur Internet.

De nouvelles solutions sont apparues ces dernières années et qui proposent des leurres dynamiquement adaptables aux contextes de d’accédant. Ces leurres se déploient dans tout le Système d’Information pour y proposer de « l’information intéressante » à une personne malveillante (de la donnée ou des comptes d’utilisateurs). Ces vraies-fausses informations pouvant être intégrées à des cookies, des entrées dans la base de registre, des fichiers locaux, des partages réseaux, des bases de données voire même des entrées dans les tables ARP des composants réseaux…

En terme de déploiement, deux approches :

  • A base d’agents : efficace pour intégrer dans les composants et applications existantes du Système d’Information des leurres. Ce type de déploiement permet d’intégrer dans l’existant des leurres (tokens).
  • A base de systèmes complets : à positionner dans les segments réseaux du Système d’Information. Ce type de déploiement permet de disposer d’une haute capacité d’interaction avec l’accédant sans contrainte par rapport à l’existant. Certaines solutions peuvent émuler certains produits particuliers tels que les Point of Sales voire des services très spécifiques, par exemple : Swift ou encore se baser sur des clones d’applications existantes dans le Système d’Information.

Le Gartner [2] distingue 4 types d’approche :

Source : Gartner (July 2015)

Sans se positionner pour le moment sur le marché, le Gartner a réalisé une première analyse des principaux éditeurs :

Deception Provider Network Endpoint Application Data
Allure Security Technology X
Attivo Networks X X Partial
CyberTrap X X Partial
Cymmetria X X Partial
ForeScout X
GuardiCore X X X Partial
Hexis Cyber Solutions X
illusive networks X Partial
LogRhythm X
Percipient Networks X
Rapid7 X
Shape Security X
Specter X X Partial
TrapX Security X X Partial
TopSpin Security X X X

Source: Gartner (July 2015)

Des leurres dans le SI and so what ? Au-delà de la compréhension des intentions des personnes malveillantes, les leurres permettent aussi d’initialiser l’investigation sur la compromission avérée du Système d’Information.

Le déploiement des leurres doit principalement être accompagné d’un capacité de réaction à une intrusion efficace et continue en 24/7.

A mon sens, cette solution doit faire face à deux limites :

  • La validité juridique qui doit être instruite un peu plus (je ne suis pas juriste!) ;
  • Le traitement des employés un peu trop curieux qui “surfent” dans le Système d’Information sans mauvaises intentions et qui “tombent accidentellement” sur les leurres.

Pensez-vous que la technologie de déception aura un avenir ? Annonce-t-elle une évolution des centres opérationnels de sécurité (SOC) en leur proposant de nouvelles options pour enrichir leurs outils de corrélation des événements de sécurité (SIEM) ?

Dans l’attente des retours d’expérience sur ce type d’approche.

[1] On Countering Strategic Deception  http://documents.theblackvault.com/documents/defenseissues/OnCounteringStrategicDeception.pdf

[2] Emerging Technology Analysis: Deception Techniques and Technologies Create Security Technology Business Opportunities https://www.gartner.com/doc/reprints?id=1-2LSQOX3&ct=150824&st=sb&aliId=87768

Sécurité des objets connectés et sécurité des systèmes d’information : même combat

La sécurité des objets connectés est au cœur l’actualité et des inquiétudes des organisations qui basent le développement de leurs activités sur cette nouvelle tendance.

Dans une précédente publication [1], j’avais mis en avant 13 bonnes pratiques à considérer pour concevoir des objets connectés. A posteriori, je me suis rendu compte que j’avais succinctement (re)situé les raisons de l’(in)sécurité des objets connectés.

Par ailleurs, en écrivant cette publication, je me suis rendu compte que les maux qui conduisent à l’(in)sécurité des objets connectés sont également la cause de l’(in)sécurité des systèmes d’information des entreprises.

Continuer la lecture de Sécurité des objets connectés et sécurité des systèmes d’information : même combat

Faire changer périodiquement les mots de passe ne semble plus une bonne idée

Qui ne s’est pas agacé ou entendu geindre de devoir changer son mot de passe « trop » régulièrement ?

Il semble que la sécurité attendue par le changement périodique des mots de passe ne soit plus au rendrez-vous. Le NIST ouvrira prochainement la voie pour bannir cette pratique.

Continuer la lecture de Faire changer périodiquement les mots de passe ne semble plus une bonne idée