Serveur d'impression

Ce que nous devrions apprendre cette fois – Serveur d’impression

Par Titanfall , le 7 septembre 2019 - 10 minutes de lecture

Là où Capital One s'est trompé, ce que la banque a fait de bien, et d'autres éléments clés à retenir de la dernière méga-violation.

En cas de violation majeure des données, les responsables de la sécurité et les dirigeants d'entreprises de toutes tailles, n'hésitent pas à poser la même question: "Comment pouvons-nous empêcher cela de nous arriver?"

Leur question reste la même alors que les entreprises continuent de renforcer leurs moyens de défense et que les cybercriminels continuent de s'y frayer un chemin. La priorité est maintenant la violation de Capital One, révélée cette semaine, qui a compromis les données personnelles appartenant à 100 millions d'Américains et à 6 millions de Canadiens.

Les données les plus concernées provenaient d'applications pour cartes de crédit: noms, adresses, codes postaux, codes postaux, numéros de téléphone, adresses électroniques, dates de naissance, revenus déclarés par les personnes. Néanmoins, l'attaquant a eu accès à 140 000 numéros de sécurité sociale et à 80 000 comptes bancaires liés de clients de cartes de crédit sécurisées, ainsi qu'environ un million de numéros d'assurance sociale d'utilisateurs canadiens.

De nouveaux détails concernant la brèche sont apparus depuis le premier rapport. Nous savons maintenant que Paige Thompson, le suspect sous la garde du FBI, a eu accès à ces informations par une erreur de configuration incorrecte dans un pare-feu pour applications Web (WAF), qui permettait l'exécution de commandes privilégiées à l'aide d'informations d'identification Capital One disposant de privilèges suffisants pour accéder aux données de la banque. Thompson est un ancien employé d'Amazon Web Services (AWS), où Capital One stockait ses informations.

Capital One n’a peut-être pas été la seule entreprise dont Thompson a été victime. L’attaquant, connu sous le pseudonyme "erratic", a maintenu un canal Slack dans lequel elle partageait des détails sur sa vie personnelle et ses activités en ligne. À la fin du mois de juin, elle a publié un commentaire répertoriant plusieurs bases de données d'entreprise qu'elle a localisées en pénétrant dans des serveurs cloud Amazon mal sécurisés. Jusqu'à présent, aucune autre entreprise n'a confirmé qu'il y avait eu infraction.

À mesure que les enquêtes se poursuivent et que de nouvelles mises à jour apparaissent, les entreprises peuvent (et devraient) considérer ce que Capital One a commis de mal, ce qui a bien fonctionné et comment elles peuvent tirer les leçons de cet incident:

Cela aurait dû être repéré
Un certain nombre de signaux d'alarme auraient pu alerter Capital One sur cette activité bien avant que la société en soit informée en juillet, explique Avivah Litan, vice-présidente de la recherche chez Gartner.

"C'est la même vieille histoire", explique-t-elle. "Toute cette activité est en cours d'enregistrement, mais personne ne prête attention aux journaux ou aux alertes indiquant que l'attaque est en cours." Un WAF mal configuré est une erreur d'application, pas une erreur de nuage, ajoute Litan. Cela aurait pu arriver n'importe où. Mais Capital One, qui s’est présenté comme une entreprise férue de technologie, aurait dû se rendre compte. Le géant financier a été parmi les premiers à adopter le cloud et à transférer ses données sur AWS il y a cinq ans.

"Peu d'entreprises ont dépensé autant de temps et d'argent qu'elles ont dépensé", dit-elle.

Une partie du problème est simplement qu'il y a trop de données. Litan conseille d'adopter l'analyse comportementale des utilisateurs et des entités pour analyser les données pour détecter les anomalies. De nombreuses entreprises l'utilisent pour déterminer une base d'activité normale et rechercher des anomalies allant au-delà. "Ces systèmes sont trop compliqués pour être déchiffrés par les humains", note-t-elle. "Il y a trop de choses à faire." Capital One utilise l’analyse comportementale sur certains systèmes, dit-elle, mais elle n’a pas été utilisée sur ces journaux.

Il est également intéressant de noter que les experts en sécurité dans le cloud connaissent depuis longtemps le type de vulnérabilité exploitée dans la faille Capital One, déclare Chris Wysopal, CTO de Veracode. La falsification de requête côté serveur se produit lorsqu'un attaquant peut contrôler les requêtes émises par un serveur; ces demandes ont souvent des privilèges plus élevés et fournissent un meilleur accès aux données sensibles, explique-t-il.

"Dans l'affaire Capital One, il semble qu'un WAF fourni par le fournisseur, qui agissait en tant que serveur, a permis à un attaquant de manipuler des requêtes côté serveur et d'exploiter ses privilèges pour obtenir des données sensibles", a déclaré Wysopal, ajoutant que d'autres sociétés peut avoir eu accès aux données via la même vulnérabilité. Il prévoit que des attaques similaires se poursuivront à l'avenir.

Divulgation responsable Réduction du temps de réponse
En guise de signe d'approbation pour Capital One, il n'a fallu que deux jours pour enquêter et confirmer une violation après avoir été alerté de l'attaque. Thompson n'a pas hésité à partager les détails de la violation sur GitHub et les plateformes de médias sociaux. Une pirate à chapeau blanc a remarqué ses messages et a informé Capital One d'une intrusion potentielle via son programme de divulgation responsable le 17 juillet 2019. Des responsables ont ouvert une enquête qui avait conduit à la découverte de l'infraction le 19 juillet et à son annonce le 29 juillet. Thompson avait a violé la société quelques mois plus tôt, entre le 22 et le 23 mars de cette année.

"Il faut généralement beaucoup plus de temps aux entreprises pour identifier une violation et les pirates à chapeau blanc ont joué un rôle important dans la réduction de la fenêtre d'exposition", explique Casey Ellis, CTO de Bugcrowd. Quand un pirate informatique à chapeau blanc découvre un bogue, poursuit-il, il est important que les organisations clarifient un processus permettant au chercheur de signaler un problème en toute sécurité.

Grâce à son processus de divulgation responsable, Capital One a pu enquêter sur la vulnérabilité et la réparer avant que des dommages supplémentaires ne soient causés. La banque dit qu'il est peu probable que les données compromises aient été utilisées à des fins frauduleuses ou diffusées par Thompson.

Conseils pour rester proactif
Compte tenu de l'ouverture de Thompson sur GitHub, Slack et d'autres plates-formes, il convient de se demander pourquoi Capital One n'a pas remarqué ses données partagées avant un chercheur en sécurité. "L'un des problèmes avec la sécurité est qu'elle est vraiment réactive et non préemptive", déclare Litan. Si Capital One l’avait remarqué plus tôt, cela aurait pu réduire le délai entre la violation et sa découverte.

"L'univers de l'information est incroyablement rapide et vaste", a déclaré Jim Zuffoletti, PDG de SafeGuard Cyber. "Une des choses qui se répète encore et encore est l'endroit où les gens font les choses – GitHub, Slack, etc." Être proactif sur les médias sociaux peut aider les sociétés de services financiers, ainsi que d’autres victimes potentielles, à détecter les nouvelles menaces. Zuffoletti conseille aux entreprises de penser aux médias sociaux à la fois comme vecteur de chasse à la menace et comme partie de leur surface d’attaque.

Elissa Shevinsky, PDG de Faster Than Light, encourage la stratégie de "défense en profondeur" selon laquelle les organisations placent plusieurs couches entre les données sensibles et la surface où un attaquant pourrait pénétrer. Les entreprises doivent également effectuer des tests de pénétration au moins une fois par an, ajoute-t-elle.

Il est également important que les entreprises assument la responsabilité de leurs propres configurations et travaillent avec des fournisseurs de cloud, ajoute Litan, citant le modèle de responsabilité partagée. "Capital One connaît son rôle, elle connaît le rôle d'AWS, mais il est important que les gens sachent qu'il s'agit d'une responsabilité partagée", dit-elle. Une chose que l’entreprise peut faire est de mettre une posture de «refus par défaut» dans toutes les applications. Cela refuse tout accès sauf autorisation expresse, ce qui empêche l'accès aux données dans tous les cas sauf les cas légitimes.

"Il y a une autre leçon importante à tirer ici, à savoir qu'une violation de données peut toucher n'importe qui", déclare Shevinsky. "Nous ne voulons pas y penser, mais cela vaut la peine d'avoir un plan d'intervention d'urgence prêt au cas où."

Contenu connexe:

Black Hat USA revient à Las Vegas avec des formations techniques pratiques, des briefings de pointe, des démonstrations d'outils open-source Arsenal, des solutions de sécurité de premier plan et des fournisseurs de services dans le Business Hall. Cliquez pour plus d'informations sur la conférence et pour vous inscrire.

Kelly Sheridan est la rédactrice en chef de Dark Reading, où elle se concentre sur les nouvelles et l'analyse en matière de cybersécurité. Journaliste spécialisée dans les technologies de l'information, elle avait auparavant travaillé pour InformationWeek, où elle couvrait Microsoft, et Insurance & Technology, où elle couvrait les … Voir la Biographie complète

Plus d'idées

Click to rate this post!
[Total: 0 Average: 0]

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.