Les 9 pires pratiques de sécurité informatique – Redmondmag.com – Bien choisir son serveur d impression

En profondeur

Le jeu de la violation de données: les 9 pires pratiques de sécurité informatique

Votre organisation est coupable de combien de ces infractions liées à la sécurité des données et comment pouvez-vous les corriger? Jouez au jeu de violation de données et découvrez-le.

Lorsque la nouvelle d'une nouvelle violation de données a été annoncée cette semaine, j'ai pensé qu'il serait amusant de créer un jeu à partir des différentes manières dont les données sont violées.

J'ai même décidé de prendre des risques et de faire un joli graphique. vous pouvez l'agrandir ci-dessous ou imprimer la version .PDF pour pouvoir jouer à la maison, car le ransomware que votre PDG a téléchargé sur son iPad a verrouillé votre entreprise en dehors de son système de badges de bureau.

[Click on image for larger view.] Remarque: je réalise que cela ressemble plus à B-I-N et non à B-I-N-G-O. Les pirates nous ont contactés et nous ont limité à trois emplacements.

Passons en revue chacune de ces vulnérabilités. Certaines d’entre elles sont plus réelles que d’autres, mais ce sont toutes des pratiques terribles.

1. Réutilisation des informations d'identification
Avez-vous un compte de service pour tous vos serveurs de production? Ou pire – je l'ai vu une fois chez un client – avez-vous des serveurs liés entre tous vos serveurs de base de données et ces comptes se connectent-ils en tant qu'administrateur système?

Pour aller plus loin dans votre vie personnelle, utilisez-vous des mots de passe pour tous les sites Web? Ce n'est pas bon de le faire, même sur des sites qui n'ont pas d'impact sur vos finances. Ces sites de petite taille sont les plus susceptibles de faire l'objet d'une violation. Ensuite, le mot de passe que vous avez utilisé sur votre babillard de toilettage de chat préféré et votre banque sont désormais visibles sur le Web.

Obtenez un gestionnaire de mot de passe et créez un mot de passe unique pour chaque site auquel vous vous connectez. J'utilise 1Password, mais il existe d'autres bons gestionnaires de mots de passe. Vos mots de passe devraient ressembler à ceci:

wzFKFwVc (XrMpiquEfq / 2 = nNWJViE63j3Q; t6  

Pas comme ça:

Tigres0 $

2. Les comptes de service sont des administrateurs de domaine
Avez-vous eu des problèmes à faire en sorte que votre instance de cluster de basculement SQL Server crée un objet ordinateur que votre administrateur de domaine a "corrigé" en élevant les autorisations du compte de service à l'administrateur de domaine? (Remarque: engagez un nouvel administrateur de domaine si cela se produit.)

Toutes nos félicitations! Désormais, tous ceux qui disposent de droits d’administrateur système sur ce serveur SQL sont effectivement membres du groupe d’administrateurs du domaine.

Microsoft publie un document pratique répertoriant toutes les autorisations dont SQL Server a besoin pour fonctionner correctement – et vous devez l'utiliser.

3. Port 1433 Ouvert à Internet
C'était moins un problème dans le monde pré-cloud, mais entre les machines virtuelles du nuage ayant l'option d'adresses IP publiques et la capacité facile d'ouvrir des ports, c'est un peu plus répandu maintenant.

Si vous ne savez pas pourquoi c'est une mauvaise idée, voici un journal de SQL Server sur lequel le port 1433 était ouvert:

[Click on image for larger view.]

Vous noterez que j'ai un tas de connexions échouées pour l'utilisateur administrateur système. En effet, des robots s'exécutant sur Internet recherchent des serveurs SQL ouverts et tentent de se connecter en tant qu'administrateur système. (Les versions de SQL Server jusqu’à, y compris, les premières versions de SQL Server 2000 autorisaient des mots de passe d’administrateur système vierges. Vous pouvez toujours créer des comptes SQL Server avec des mots de passe vierges, mais si vous lisez ceci et que vous le faites, je ' je vais appeler ton patron.)

Celui-ci est facile à réparer. Segmentez correctement votre réseau – cela signifie ne pas donner d'adresse IP publique à vos serveurs de base de données – et n'ouvrez pas le port 1433 sur Internet.

4. Harponnage
Comme toujours, faites attention à ce que vous cliquez, en particulier dans les courriels. Le courrier électronique est l'un de nos principaux outils de productivité, mais c'est également la plus grande vulnérabilité en matière de sécurité de toute organisation.

Pour vous aider, utilisez un service de messagerie géré comme Office 365 ou Gmail commercial et une authentification multifactorielle (MFA). Points bonus si vous n'utilisez pas de SMS pour MFA.

Enfin, assurez-vous que votre réseau est segmenté de manière à ce que votre PDG ouvrant un courrier électronique ne puisse pas infecter vos contrôleurs de domaine ou vos serveurs de base de données.

5. Public Amazon S3 Bucket
Vous remarquerez que nombre de ces vulnérabilités impliquent de placer des données sensibles dans des lieux publics. Pensez à cela comme si vous mettiez tous vos précieux bijoux dans un seau dans la rue devant votre maison, sauf que vous le faites sur Internet.

Voici la capture d'écran pour savoir comment ne pas Pour ce faire, sur le cloud Amazon Web Services (AWS), mais vous avez également cette option sur Microsoft Azure:

[Click on image for larger view.]

Il n'y a aucune raison de rendre ces compartiments de stockage en cloud publics. Votre site Web peut se connecter à des magasins d'objets blob privés sans les rendre publics.

6. Public MongoDB sans mot de passe
Si vous effectuez une recherche sur "MongoDB sans mot de passe public", vous rencontrerez de nombreuses violations. voici un lien vers un seul d'entre eux.

La solution à ce problème est simple: mettez un mot de passe fort sur votre base de données et ne l’exposez pas sur Internet. Ce n'est pas difficile

7. SMB 1.0
Votre magasin fait-il la fête en 2003? Exécutez-vous toujours Windows XP et avez-vous des contrôleurs de domaine exécutant Windows Server 2003? Si tel est le cas, de nombreux logiciels malveillants attendent de vous attaquer.

Les versions modernes de Windows Server ne nécessitent que quelques clics de souris pour désactiver SMB 1.0. Même sur les anciennes versions, il s'agit d'un changement de registre mineur.

Les solutions à ce problème peuvent poser problème en dehors de votre environnement Windows Server, car les fournisseurs de cette longue liste fournie par Microsoft ne se soucient pas suffisamment de votre sécurité pour mettre à jour leurs produits.

8. Clés privées dans les référentiels GitHub publics
GitHub et l'intégration continue et le déploiement continu (CICD) ont changé la façon dont nous déployons les logiciels. Il a également été très facile pour les projets open source de partager et d’intégrer du code avec d’autres auteurs et contributeurs.

Malheureusement, les gens ne font pas toujours attention à leur code et laissent des choses comme des mots de passe codés en dur, des clés de cloud, des adresses IP et des noms d'hôte, et des clés SSH dans leurs référentiels publics. Vous ne devriez rien stocker de ce genre dans votre code; vous devriez utiliser un outil comme Azure Key Vault ou Vault de HashiCorp pour la gestion des secrets. Vous devez également utiliser des modèles .gitignore qui excluent les fichiers .JET privés communs que votre organisation utilise et les analyser dans votre processus CICD.

Les gens ont déjà résolu ces problèmes et vous devriez utiliser les outils qu'ils ont conçus.

9. Attaque par injection SQL
Si vous ne comprenez pas l'injection SQL, cette bande dessinée Web très connue appelée "Little Bobby Tables" l'explique très clairement. L'injection SQL se produit lorsque le code que vous transmettez à une base de données n'est pas paramétré correctement, alors que vous disposez de trop d'autorisations de base de données.

Denny Cherry, expert de SQL Server, explique très bien comment l’empêcher ici. Si vous utilisez la base de données SQL Azure, Microsoft peut également surveiller votre base de données pour détecter d'éventuelles attaques par injection SQL.

J'ai eu B-I-N. Quels sont les prix fabuleux?
Toutes nos félicitations! Vous avez été piraté et vous avez probablement été touché par un ransomware.

Ceci est un bon test pour voir si vous pouvez restaurer vos sauvegardes. (Toi avoir Si vous avez effectué des restaurations test de vos sauvegardes et que vous les avez stockées hors site, n'est-ce pas?) Si c'est le cas, vous devriez être en mesure de rétablir vos affaires là où elles étaient il y a quelques jours.

Oh, et en ce qui concerne le prix, il s’agit d’une lourde amende liée au règlement général sur la protection des données. J'espère que vous avez économisé quelques euros de ces vacances en Europe!

A propos de l'auteur

Joseph D'Antoni est un architecte et SQL Server MVP avec plus de dix ans d'expérience dans des entreprises du classement Fortune 500 et de petites entreprises. Il est actuellement consultant principal pour Denny Cherry and Associates Consulting. Il est titulaire d'une licence en systèmes informatiques de la Louisiana Tech University et d'un MBA de la North Carolina State University. Joey est le co-président du Philadelphia SQL Server Users Group. Il est un conférencier fréquent aux événements PASS Summit, TechEd, Code Camps et SQLSaturday.

Les 9 pires pratiques de sécurité informatique – Redmondmag.com – Bien choisir son serveur d impression
4.9 (98%) 32 votes