Serveur d'impression

Quelle est la différence entre une vulnérabilité de sécurité et une menace de sécurité? – Serveur d’impression

Par Titanfall , le 19 août 2019 - 8 minutes de lecture

"Ce sont deux choses différentes", a déclaré Jason Kemsley, directeur technique chez Uptime Solutions. Tout en réfutant l'idée que la distinction est simplement sémantique, il reconnaît leur interdépendance. "Ils vont de pair. Une menace doit utiliser une vulnérabilité pour causer des dégâts. Donc, s’il n’ya pas de vulnérabilité, la menace ne peut rien faire, et s’il n’ya pas de menace, vous pouvez avoir autant de vulnérabilités que vous le souhaitez sans vous à tout risque. "

Joseph Lee, membre du personnel de réseautage chez Managed 24/7, ajoute un troisième élément: "De la même manière que vous avez obtenu votre triangle de feu – de chaleur, d'oxygène et de carburant pour déclencher un incendie – vous avez besoin d'un acteur menaçant , l’atout qu’ils veulent endommager ou exploiter, et la vulnérabilité, qui est leur chemin. "

Il existe également différents types de menaces. Il y a le distributeur de ransomware, qui cryptera votre serveur ou vos lecteurs individuels avec le souci de gagner rapidement de l'argent et, dit Lee, "vous avez des APT – des menaces persistantes avancées – qui, à mon avis, sont beaucoup plus effrayantes. La plupart du temps , ils sont des acteurs de la très haute technologie et ont accès à des méthodes beaucoup plus complexes d’exploitation de vos vulnérabilités. Ils accèdent à un réseau sur une longue période pour mener une attaque plus ciblée et plus calculée. "

Habituellement, explique Lee, les APT passent inaperçus pendant des mois et la plupart du temps, ils ne causent aucun dommage: ils ne font que récupérer vos données et les vendre à quelqu'un d'autre.

Menaces internes et externes

Mais l'acteur menaçant ne réside pas toujours en dehors de l'organisation. L'influence étrangère dans les élections et les médias sociaux restant un sujet de conversation populaire, il est facile d'oublier que la menace la plus grave est généralement proche. Comme l'explique Kemsley, "98% des incidents de sécurité sont causés par une personne physique au sein d'une organisation plutôt qu'à l'extérieur, c'est pourquoi il est si important de former le personnel aux menaces qui lui sont cachées".

Lee accepte. "Les menaces internes sont la plus grande menace pour un réseau. Ils n'ont pas besoin de super ordinateurs et de ceux qui exploitent les vulnérabilités: ils peuvent simplement imprimer ce dont ils ont besoin et sortir par la porte. Cela peut être n'importe qui, même Bob qui est assis à l'autre fin du bureau et n’a pas eu d’augmentation de salaire cette année ".

C'est la nature très basique des menaces internes qui les rend si insidieuses et la raison pour laquelle les tests de pénétration traditionnels (ou "stylo") ne sont pas très efficaces. Le meilleur pare-feu au monde, avec chaque port fermé, ne peut pas atténuer une malveillance interne ou une erreur innocente, par exemple un membre de l’équipe qui attache des données confidentielles à un courrier électronique mal adressé. L'audit des connaissances et des pratiques de votre personnel est donc un élément essentiel de l'identification des vulnérabilités avant qu'elles ne soient exploitées par les acteurs des menaces.

Identifier des facteurs hors de votre contrôle

"Vous ne pourrez jamais arrêter le type de courriels qui conduisent à l'envoi de la chasse sous-marine à votre organisation, mais vous pouvez éduquer vos utilisateurs", a déclaré Kemsley. "La façon dont votre organisation gère ces e-mails entrants est une chose à laquelle vous pouvez et devez vous soucier. Nous vivons dans un monde où les gens aiment penser que, si vous injectez assez d'argent, un problème disparaîtra. Mais vraiment, juste les personnes devant passer un examen de conduite, les entreprises doivent commencer à chercher des moyens de former leurs utilisateurs aux menaces à la sécurité dont ils doivent être conscients. "

En nous encourageant à penser à la sécurité de bas en haut, Kemsley établit une analogie avec un réseau. Plus les failles (ou vulnérabilités) de ce réseau sont petites, moins il y a de chances que la menace passe.

"Il existe des moyens de gérer les menaces en comprenant ce qu'elles sont et en se durcissant contre elles", a déclaré Lee. "Mais un acteur de la menace ne se soucie pas de ce que vous faites: il va essayer d'entrer de toute façon; vous devez essayer d'atténuer cela comme vous le pouvez. Le haut de ma liste est la formation des employés."

Former le personnel et auditer leurs problèmes de sécurité n'est pas un travail ponctuel. C'est quelque chose qui doit faire partie de la culture organisationnelle. La plupart des entreprises avec lesquelles Kemsley travaille exigent que le personnel regarde une vidéo de 45 secondes tous les lundis matin, ce qui les garde au courant des menaces qu’ils pourraient rencontrer cette semaine-là.

D'autres mesures plus pratiques peuvent être mises en œuvre au niveau de l'entreprise, souvent par le biais des ressources humaines. "Vous devez appliquer une politique de privilège minimum pour vous assurer que les personnes ne disposent pas de tous les accès dans le monde", a déclaré Lee. "Divisez les responsabilités afin qu'il soit nécessaire à deux personnes ou plus d'accéder à certaines tâches (…).

Connaissez votre domaine

"Nous voyons généralement deux types de clients", a déclaré Kemsley, décrivant les organisations dont la vulnérabilité a été exploitée et les entreprises plus avisées qui "réfléchissent et font tout ce qui est en leur pouvoir car elles doivent respecter les règles de conformité en vigueur" à". Habituellement, explique-t-il, "ceux de l'ancien groupe n'ont généralement rien fait pour atténuer les vulnérabilités internes, tandis que ceux du second groupe ont généralement consenti des investissements importants et reconnaissent que le personnel est le point faible.

"Cependant, pour une société de gestion externalisée telle que Uptime Solutions, la seule différence dans leur traitement est peut-être que les besoins du client exploité sont un peu plus urgents, ce qui prouve que, quelle que soit la position de votre entreprise, l'identification et la résolution des vulnérabilités nécessitent une méthodologie, approche par étapes qui se concentre d’abord sur la collecte d’informations. "

"La première étape pour pouvoir faire face à une vulnérabilité est de connaître votre succession", a déclaré Lee. "Où sont vos serveurs, que font-ils fonctionner, qui sont vos fournisseurs, quelles versions de correctifs sont appliquées et quels périphériques vos utilisateurs utilisent-ils?"

La compilation de ce type de données nécessite un registre d’actifs bien géré, ce qui, selon Lee, est un autre travail à plein temps. Les solutions de gestion des appareils mobiles (MDM) telles que Microsoft Intune peuvent aider, mais cela peut être difficile, bien que pas impossible, de vendre dans un environnement BYOD. "Vous devez obtenir l'adhésion des employés là-bas, ce que vous pouvez faire avec leur contrat de travail, mais je connais aussi des entreprises qui offrent un supplément à la fiche de paie pour ceux qui souhaitent adhérer au BYOD, à condition qu'ils soumettre à MDM ", a déclaré Lee.

Vulnérabilité contre menace

Identifier et corriger les vulnérabilités, et maintenir un haut niveau de sensibilisation du personnel, revient à souscrire une assurance: vous espérez ne jamais avoir besoin de l'utiliser. Cependant, lorsque vous ne pouvez contrôler que la moitié de l'équation – les vulnérabilités auxquelles votre organisation est soumise – il est essentiel d'adopter ce contrôle partiel pour pouvoir traiter de l'autre côté de la médaille: les menaces qui cherchent à exploiter les failles dans ton filet.

Cela coûte de l'argent, ce qui explique pourquoi les technologies de l'information et la cybersécurité ont besoin d'une représentation au niveau du conseil. Heureusement, c'est une tendance émergente. "Chaque fois que le NHS est piraté, vous obtenez une représentation plus large des TI au niveau du conseil. Vous avez encore des conseils de la vieille école qui veulent juste que la cybersécurité disparaisse parce qu'ils ne le comprennent pas, mais cela devient moins le cas le temps passe."

Les menaces pour la sécurité et les vulnérabilités pour la sécurité sont donc très différentes, et la façon dont l’organisation considère le premier doit indiquer comment elle traite le dernier, en ce qui concerne tout, des budgets et des ressources à la stratégie et à la formation du personnel. C'est une approche ascendante qui doit être sanctionnée de haut en bas.

Click to rate this post!
[Total: 0 Average: 0]

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.