Horreurs de sécurité : la liste des dix principales erreurs de sécurité de la NSA et de la CISA

Horreurs de sécurité : la liste des dix principales erreurs de sécurité établie par la NSA et la CISA

Par Danny Bradbury • 9 November 2023

Un réseau non sécurisé est le pire cauchemar d’un défenseur de la cybersécurité et le rêve d’un attaquant. Une seule mauvaise configuration peut laisser un trou béant dans un réseau. Pourtant, que ce soit par ignorance, distraction, manque d’administrateurs ou trop grand nombre, ces erreurs de configuration sont monnaie courante. La National Security Agency (NSA) des États-Unis et la Cybersecurity and Infrastructure Security Agency (CISA) voient tellement de cas similaires apparaître qu'elles ont publié un rapport. rapport détaillant les dix plus courants. Nous les avons répertoriés ici, accompagnés d'une discussion de leurs effets potentiels et des mesures d'atténuation possibles.

Configurations par défaut des logiciels et applications

Ce SNAFU de sécurité classique implique l’utilisation d’informations d’identification d’accès administratif par défaut, qui peuvent facilement être trouvées en ligne. Ne pas les modifier laisse le contrôle administratif ouvert à toute personne pouvant accéder au portail d’accès.

Les problèmes de configuration par défaut s'étendent au-delà de l'utilisation de connexions d'usine prédéfinies. Des services comme Active Directory (fortement présentés dans les analyses des équipes) sont livrés avec des paramètres de privilèges par défaut pour différents services ou laissent les anciens services vulnérables activés par défaut.

Par exemple, pendant longtemps, Microsoft a laissé la résolution de noms de multidiffusion locale de liaison Active Directory (LLMNR) activée par défaut, même si ce service de résolution de noms datait de l'époque où le DNS n'était pas aussi omniprésent qu'aujourd'hui. Ce protocole présente un problème de sécurité que les attaquants peuvent exploiter. Microsoft a déclaré en avril 2022 qu'il supprimerait progressivement ce service au profit du mDNS plus récent et plus sécurisé.

Séparation incorrecte des privilèges utilisateur/administrateur

L'accès au moindre privilège est un principe fondamental de la sécurité moderne, mais de nombreux administrateurs laissent des comptes avec des privilèges excessifs que les attaquants peuvent exploiter. Les comptes de service sont utilisés pour accéder aux ressources, car ceux-ci disposent souvent de privilèges élevés leur permettant d'accéder à certaines ressources système. Ils constituent un atout précieux pour les attaquants.

Il existe diverses mesures correctives, notamment la restriction de l'utilisation de comptes privilégiés pour effectuer des tâches générales qui pourraient les rendre vulnérables (telles que l'accès au courrier électronique), l'audit des comptes d'utilisateurs et l'application des règles les moins strictes. accès privilégié. Nous avons également aimé l’idée de désactiver les comptes administratifs et d’en autoriser l’accès uniquement sur demande et pendant une période définie.

Surveillance du réseau interne insuffisante

Les attaquants moins expérimentés peuvent faire du bruit lorsqu’ils accèdent au réseau et s’y déplacent latéralement. Les organisations qui ne surveillent pas leurs réseaux ne capteront pas ces signaux. Dans certains cas, les équipes ont découvert que des personnes surveillaient les machines hôtes sans vérifier le réseau, ce qui signifie qu'elles pouvaient voir l'effet d'une attaque sur le serveur mais ne pouvaient pas voir d'où elle venait.

Manque de segmentation du réseau

Découper votre réseau en segments logiques crée des zones de sécurité que les utilisateurs ne peuvent traverser qu'avec les privilèges appropriés. C'est l'équivalent en réseau de la sécurisation des portes d'entrée de différentes parties du bâtiment à l'aide d'un accès par badge. Pourtant, de nombreuses organisations maintiennent leurs réseaux « plats », permettant d'accéder à n'importe quelle zone depuis n'importe où. Selon un rapport du congrès, cette défaillance du réseau du Bureau du personnel et de la gestion (OPM) a contribué à sa violation réussie en 2015.

Mauvaise gestion des correctifs

Il est décevant, mais pas surprenant, que l'incapacité à mettre à jour les applications et les systèmes d'exploitation reste un problème pour les organisations. Nous savons que l'application de correctifs sur tout le réseau peut s'avérer une lourde tâche, mais la priorisation des correctifs en fonction d'une analyse des risques appropriée peut aider à identifier les mises à jour les plus urgentes. Ce qui est étonnant, c'est que, selon le rapport, les équipes ont « fréquemment observé » des organisations qui n'avaient toujours pas corrigé MS08-067 – la vulnérabilité d'exécution de code à distance de 2008 qui a permis à Confider d'apparaître – et MS17-010, qui a permis l'attaque EternalBlue contre laquelle le malware WannaCry 2017 était basé.

Contournement des contrôles d'accès au système

Les attaquants contourneront parfois les méthodes traditionnelles contrôles d'accès au système. Une technique appelée « passer le hachage » utilise des hachages d'informations d'identification volés (peut-être à partir d'une base de données publiée sur le dark web) pour accéder aux systèmes d'authentification sans utiliser de mot de passe en texte clair.

Méthodes d'authentification multifacteur (MFA) faibles ou mal configurées

L’AMF constitue une couche de protection précieuse, mais ce n’est pas une panacée, surtout si elle est mal mise en œuvre. Les problèmes courants incluent l'utilisation d'une MFA basée sur SMS qui est soumise à l'échange de carte SIM, ou « push bombing », où les attaquants harcèlent les personnes pour authentifier l'accès. CISA conseille d'utiliser FIDO/WebAuthn comme référence pour éviter de telles attaques. Les authentificateurs basés sur des applications constituent le deuxième meilleur choix.

Listes de contrôle d'accès (ACL) insuffisantes sur les partages et services réseau

Vous avez peut-être verrouillé vos comptes de service, mais qu'en est-il de vos lecteurs réseau ? Laisser les partages réseau ouverts à des comptes non autorisés constitue une voie d’accès souvent exploitée par les attaquants. Le rapport indique qu'ils peuvent utiliser des outils open source ou de simples commandes système pour analyser les partages disponibles.

Mauvaise hygiène des titres de compétences

Selon le rapport, l’utilisation de mots de passe faciles à déchiffrer ou leur stockage en texte clair sont deux erreurs de sécurité courantes. Conserver les mots de passe en texte clair est une décision évidemment peu sûre. Pourtant, même les grandes entreprises comme comme Facebook et GoDaddy avez stocké les mots de passe de cette manière ou dans un format facilement réversible en texte clair. Même les mots de passe hachés peuvent être récupérés à l’aide de pirates de mots de passe.

Exécution de code sans restriction

La dixième erreur de configuration courante partagée dans la liste permet à des applications non vérifiées de s'exécuter sur des hôtes. Les attaquants par phishing persuadent souvent leurs victimes d'exécuter des logiciels non autorisés sur leurs machines.

Le rapport suggère que les listes qui autorisent uniquement les signatures de programmes spécifiques peuvent être utiles. Cependant, cela peut être délicat à mettre en œuvre car les programmes légitimes sont souvent disponibles en plusieurs versions, créant ainsi de nombreuses signatures. Le rapport mentionne également l'utilisation de conteneurs en lecture seule et d'images minimales.

Étapes d'atténuation

Le rapport répertorie plusieurs mesures d'atténuation de ces risques, dont beaucoup devraient être évidentes pour les professionnels de la sécurité compétents. Le fait que la NSA et la CISA aient publié des mesures d’atténuation distinctes pour les défenseurs des réseaux et les fabricants de logiciels est louable. Trop souvent, les fournisseurs échappent aux critiques pour leurs propres pratiques non sécurisées.

Les mesures d'atténuation suggérées par le fabricant dans le rapport comprenaient le respect des directives de développement de logiciels sécurisés dès le début. Cela aiderait à éliminer les bogues qui ont conduit aux correctifs logiciels ultérieurs. Les fournisseurs devraient également fournir des logiciels renforcés par défaut plutôt que d'exiger un travail supplémentaire de la part du client. Nous avons aimé l'idée de « guides d'assouplissement » qui montrent aux clients comment assouplir les paramètres de sécurité si nécessaire, ainsi que les risques associés. Il est beaucoup plus difficile d'ajouter des contrôles de sécurité que d'abandonner ceux déjà en place.

D'autres mesures attendues depuis longtemps incluent l'élimination des mots de passe par défaut. Même si des administrateurs compétents devraient les modifier, nombreux sont ceux qui ne le font pas. Concevoir un logiciel (sans parler du matériel) qui n'en dispose pas forcerait des paramètres de configuration personnalisés. Un autre est la prise en charge par défaut de la MFA et la MFA obligatoire pour les utilisateurs privilégiés.

Fournir des journaux d'audit complets et prêts à l'emploi aiderait à soutenir la surveillance du réseau et à détecter le contournement des contrôles d'accès, ajoute le rapport. Contrôle d'accès les listes avec les privilèges minimaux nécessaires peuvent rendre les choses un peu moins pratiques pour les utilisateurs, mais minimiseront également le risque pour le système en cas de comptes piratés.

Une autre suggestion est la prise en charge de l'exécution de code contrôles prêts à l'emploi dans les systèmes d'exploitation et des applications, ce qui permettrait d'éviter d'exécuter du code inhabituel. Nous en avons déjà vu une partie, comme avec l'avertissement d'Apple lors de l'exécution de code qui ne provient pas de l'App Store et la décision de Microsoft de bloquer les macros VBA sur Internet. Il y a beaucoup de place pour plus.

Il est décevant qu'un grand nombre des erreurs courantes dans cette liste concernent des plantes vivaces robustes. Ils sont tous apparus depuis des années dans des failles de sécurité et le seront pendant bien d’autres encore. En proposant des mesures d'atténuation aux clients et aux fournisseurs, la NSA et la CISA jettent au moins les bases d'une informatique plus responsable.

Libérer la puissance des cadres de sécurité avec ISMS.online

L'exploitation de cadres tels que ISO 27001 et NIST fournit aux organisations des conseils éprouvés pour élaborer des programmes de sécurité complets.

En adoptant les exigences et les contrôles décrits dans ces cadres, les entreprises peuvent systématiquement gérer les risques, protéger les actifs critiques et garantir la conformité aux réglementations en vigueur. L'approche structurée consistant à cartographier les besoins spécifiques d'une organisation selon des cadres établis libère la puissance des meilleures pratiques du secteur en matière de sécurité de l'information, fournissant ainsi une voie stratégique pour améliorer continuellement les défenses dans un paysage de menaces complexe.

En appliquant correctement les principales normes de sécurité, même les petites équipes peuvent créer des programmes efficaces qui protègent les opérations et les données. Organisez un appel avec l'un de nos experts dès aujourd'hui pour découvrir comment l'adoption d'un cadre de sécurité pourrait bénéficier à votre organisation.

Danny Bradbury

Danny Bradbury est journaliste de presse écrite spécialisé en technologie depuis 1989 et écrivain indépendant depuis 1994. Il a écrit pour des publications nationales des deux côtés de l'Atlantique et a remporté des prix pour son travail de journalisme d'investigation sur la cybersécurité.

Lire la suite de Danny Bradbury

La cyber-sécurité 15 Janvier 2026

De la sécurité périmétrique à l'identité comme bannière de sécurité

De la sécurité périmétrique à la sécurité de l'identité

Impossible aujourd'hui de jeter un œil à un événement de sécurité sans tomber sur l'expression « confiance zéro ». C'est un mot à la mode, certes…

Danny Bradbury

La cyber-sécurité 18 December 2025

Comment s'y retrouver dans le labyrinthe de la conformité en matière d'IA aux États-Unis

En matière de réglementation, le terme « États-Unis » est un oxymore. Les lois des États sont loin d'être unifiées, chaque juridiction ayant ses propres traditions…

Danny Bradbury

La cyber-sécurité 20 November 2025

Ce que les violations de Salesforce nous apprennent sur la responsabilité partagée (bannière)

Ce que les violations de données de Salesforce nous apprennent sur la responsabilité partagée

L'année 2025 n'a pas été favorable aux clients de Salesforce. Un groupe criminel peu scrupuleux a mené une série d'attaques contre ses clients, affectant finalement…

Danny Bradbury

Horreurs de sécurité : la liste des dix principales erreurs de sécurité établie par la NSA et la CISA

Configurations par défaut des logiciels et applications

Séparation incorrecte des privilèges utilisateur/administrateur

Surveillance du réseau interne insuffisante

Manque de segmentation du réseau

Mauvaise gestion des correctifs

Contournement des contrôles d'accès au système

Méthodes d'authentification multifacteur (MFA) faibles ou mal configurées

Listes de contrôle d'accès (ACL) insuffisantes sur les partages et services réseau

Mauvaise hygiène des titres de compétences

Exécution de code sans restriction

Étapes d'atténuation

Libérer la puissance des cadres de sécurité avec ISMS.online

Danny Bradbury

Articles connexes

De la sécurité périmétrique à la sécurité de l'identité

La vie après l'échéance : transformer la conformité DORA en stabilité opérationnelle

L’ère de la conformité : comment la réglementation, la technologie et le risque redéfinissent les normes commerciales

Lire la suite de Danny Bradbury

De la sécurité périmétrique à la sécurité de l'identité

Comment s'y retrouver dans le labyrinthe de la conformité en matière d'IA aux États-Unis

Ce que les violations de données de Salesforce nous apprennent sur la responsabilité partagée