Ensemble de 20 contrôles conçus pour aider les organisations à protéger leurs systèmes et leurs données des vecteurs d’attaque connus!!!!!

Sécurité

Ensemble de 20 contrôles conçus pour aider les organisations à protéger leurs systèmes et leurs données des vecteurs d’attaque connus!!!!!

 

1. Inventaire des matériels autorisés et non autorisés.

Les organisations doivent gérer activement tous les périphériques matériels sur le réseau, de sorte que seuls les périphériques autorisés soient autorisés à y accéder et que les périphériques non autorisés puissent être rapidement identifiés et déconnectés avant qu’ils ne causent des dommages.

Pourquoi est-ce si important? Les attaquants scannent en permanence l’espace d’adressage des organisations, attendant que de nouveaux systèmes non protégés soient connectés au réseau. Ce contrôle est particulièrement important pour les organisations qui autorisent BYOD. Car les pirates informatiques recherchent spécifiquement les périphériques qui sortent et sortent du réseau de l’entreprise.

 

2. Inventaire des logiciels autorisés et non autorisés.

Les organisations doivent gérer activement tous les logiciels sur le réseau, de sorte que seuls les logiciels autorisés sont installés. Les mesures de sécurité telles que la liste blanche des applications peuvent permettre aux entreprises de trouver rapidement les logiciels non autorisés avant leur installation.

Pourquoi est-ce si important? Les attaquants recherchent des versions vulnérables de logiciels exploitables à distance. Ils peuvent distribuer des pages Web hostiles, des fichiers médiatiques et d’autres contenus, ou utiliser des exploits à jour zéro qui profitent de vulnérabilités inconnues. Par conséquent, une bonne connaissance des logiciels qui ont été déployés dans votre organisation est essentielle pour la sécurité des données et la confidentialité.

 

3. Configurations sécurisées pour le matériel et les logiciels.

Les entreprises doivent établir, mettre en œuvre et gérer la configuration de sécurité des ordinateurs portables, des serveurs et des postes de travail. Les entreprises doivent suivre une gestion stricte de la configuration et mettre en œuvre des processus de contrôle du changement pour empêcher les attaquants d’exploiter les services et les paramètres vulnérables.

Pourquoi est-ce si important? Les fabricants et les revendeurs conçoivent les configurations par défaut des systèmes d’exploitation et des applications pour une facilité de déploiement et d’utilisation, et non une sécurité forte. Les services et les ports ouverts, ainsi que les comptes ou mots de passe par défaut, peuvent être exploitables dans leur état par défaut, de sorte que les entreprises doivent développer des paramètres de configuration avec de bonnes propriétés de sécurité.

 

4. Évaluation continue de la vulnérabilité et mesures correctives.

les mises à jour de logiciels, les correctifs, les mises à jour, les avis de sécurité et les bulletins sur les menaces) afin d’identifier et de remédier aux vulnérabilités que les attaquants pourraient autrement utiliser pour pénétrer dans leurs réseaux.

Pourquoi est-ce si important? Dès que les chercheurs rapportent de nouvelles vulnérabilités, une course commence entre toutes les parties concernées: Culprits s’efforcent d’utiliser la vulnérabilité pour une attaque, les vendeurs déploient des correctifs ou des mises à jour, et les défenseurs commencent à effectuer des évaluations des risques ou des tests de régression. Les attaquants ont accès aux mêmes informations que les autres et peuvent tirer parti des lacunes entre l’apparition de nouvelles connaissances et la réparation.

 

5. Utilisation contrôlée des privilèges administratifs.

Ce contrôle exige des entreprises qu’elles utilisent des outils automatisés pour surveiller le comportement des utilisateurs et suivre la façon dont les privilèges administratifs sont attribués et utilisés afin d’empêcher l’accès non autorisé aux systèmes critiques.

Pourquoi est-ce si important? L’utilisation abusive des privilèges administratifs est la principale méthode utilisée par les attaquants pour se propager au sein d’une entreprise. Pour obtenir des identifiants administratifs, ils peuvent utiliser des techniques d’hameçonnage, déchiffrer ou deviner le mot de passe d’un utilisateur administratif, ou élever les privilèges d’un compte utilisateur normal à un compte administratif. Si les entreprises ne disposent pas des ressources nécessaires pour surveiller ce qui se passe dans leur environnement informatique, il est plus facile pour les attaquants d’obtenir un contrôle total de leurs systèmes.

 

6. Maintenance, surveillance et analyse des journaux d’audit.

Les organisations doivent recueillir, gérer et analyser des journaux d’événements pour détecter les activités aberrantes et enquêter sur les incidents de sécurité.

Pourquoi est-ce si important? Le manque de journalisation et d’analyse de sécurité permet aux pirates de cacher leur emplacement et leurs activités dans le réseau. Même si l’organisation victime sait quels systèmes ont été compromis, il lui sera difficile de comprendre ce qu’un agresseur a fait jusqu’ à présent et de réagir efficacement à l’incident.

 

7. Protection des courriels et des navigateurs Web.

Les entreprises doivent s’assurer que seuls les navigateurs Web et les clients de messagerie entièrement pris en charge sont utilisés dans l’entreprise afin de minimiser leur surface d’attaque.

Pourquoi est-ce si important? Les navigateurs Web et les clients de messagerie électronique sont des points d’entrée très courants pour les pirates informatiques en raison de leur complexité technique et de leur grande flexibilité. Ils peuvent créer du contenu et usurper des utilisateurs en prenant des mesures qui peuvent introduire du code malveillant et entraîner la perte de données précieuses.

 

8. Défenses contre les logiciels malveillants.

Les entreprises doivent s’assurer qu’elles peuvent contrôler l’installation et l’exécution du code malveillant à plusieurs endroits de l’entreprise. Ce contrôle recommande d’utiliser des outils automatisés pour surveiller en permanence les postes de travail, les serveurs et les appareils mobiles avec des fonctionnalités antivirus, anti-espions, pare-feu personnels et IPS basées sur l’hôte.

Pourquoi est-ce si important? Les logiciels malveillants modernes peuvent évoluer et évoluer rapidement, et ils peuvent entrer par n’importe quel nombre de points. Par conséquent, les systèmes de protection contre les logiciels malveillants doivent pouvoir fonctionner dans cet environnement dynamique grâce à une automatisation, une mise à jour et une intégration à grande échelle avec des processus tels que la réponse aux incidents.

9. Limitation et contrôle des ports, protocoles et services de réseau.

Les organisations doivent suivre et gérer l’utilisation des ports, protocoles et services sur les périphériques réseau afin de minimiser les fenêtres de vulnérabilité disponibles pour les attaquants.

Pourquoi est-ce si important? Les attaquants recherchent des services réseau accessibles à distance et vulnérables à l’exploitation. Les exemples courants incluent les serveurs Web mal configurés, les serveurs de messagerie et les services de fichiers et d’impression, ainsi que les serveurs DNS (Domain Name System) qui sont installés par défaut sur une variété d’appareils. Par conséquent, il est essentiel de s’assurer que seuls les ports, protocoles et services ayant un besoin opérationnel validé fonctionnent sur chaque système.

 

10. Capacité de récupération de données.

Les entreprises doivent s’assurer que les systèmes et données critiques sont correctement sauvegardés au moins une fois par semaine. Ils doivent également disposer d’une méthodologie éprouvée pour la récupération rapide des données.

Pourquoi est-ce si important? Les attaquants apportent souvent des modifications importantes aux données, aux configurations et aux logiciels. Sans sauvegarde et restauration fiables, il est difficile pour les entreprises de se remettre d’une attaque.

 

11. Configurations sécurisées pour les périphériques réseau.

Les organisations doivent établir, mettre en œuvre et gérer activement la configuration de sécurité des dispositifs d’infrastructure réseau, tels que les routeurs, les pare-feu et les commutateurs.

Pourquoi est-ce si important? Tout comme pour les systèmes d’exploitation et les applications (voir Contrôle de sécurité critique 3), les configurations par défaut des dispositifs d’infrastructure réseau sont conçues pour faciliter le déploiement et non pour assurer la sécurité. En outre, les périphériques réseau sont souvent moins bien configurés au fil du temps. Les attaquants exploitent ces failles de configuration pour accéder à des réseaux ou utiliser une machine compromise comme système de confiance.

 

12.Boundary Defense.

Les organisations doivent détecter et corriger le flux d’informations entre les réseaux de différents niveaux de confiance, en mettant l’accent sur les données qui pourraient nuire à la sécurité. La meilleure défense réside dans les technologies qui offrent une visibilité et un contrôle approfondis du flux de données dans l’environnement, telles que les systèmes de détection et de prévention des intrusions.

Pourquoi est-ce si important? Culprits utilise souvent des faiblesses de configuration et d’architecture sur les systèmes périmétriques, les périphériques réseau et les machines clientes accédant à Internet pour obtenir un accès initial au réseau d’une organisation.

13. Protection des données.

Les organisations doivent utiliser des processus et des outils appropriés pour atténuer le risque d’exfiltration des données et assurer l’intégrité des renseignements de nature délicate. La meilleure façon d’assurer la protection des données est de combiner le chiffrement, la protection de l’intégrité et les techniques de prévention des pertes de données.

Pourquoi est-ce si important? Alors que de nombreuses fuites de données sont des vols délibérés, d’autres cas de perte ou de dommages de données sont le résultat de mauvaises pratiques de sécurité ou d’erreurs humaines. Pour réduire ces risques au minimum, les entreprises doivent mettre en œuvre des solutions qui peuvent aider à détecter l’exfiltration des données et atténuer les effets de la compromission des données.

 

14. Accès contrôlé basé sur le besoin de savoir.

Les organisations doivent pouvoir suivre, contrôler et sécuriser l’accès à leurs actifs critiques et déterminer facilement quelles personnes, quels ordinateurs ou quelles applications ont le droit d’accéder à ces actifs.

Pourquoi est-ce si important? Certaines organisations n’identifient pas et ne séparent pas soigneusement leurs actifs les plus critiques des données moins sensibles, et les utilisateurs ont accès à des données plus sensibles qu’ils n’en ont besoin pour faire leur travail. Par conséquent, il est plus facile pour un initié malveillant – ou un attaquant ou un programme malveillant qui prend le contrôle de son compte – de voler des informations importantes ou de perturber les opérations.

 

15. Contrôle d’accès sans fil.

Les organisations doivent disposer de processus et d’outils pour suivre et contrôler l’utilisation des réseaux locaux sans fil (RLS), des points d’accès et des systèmes clients sans fil. Ils doivent utiliser des outils d’analyse de vulnérabilité réseau et s’assurer que tous les périphériques sans fil connectés au réseau correspondent à un profil de configuration et de sécurité autorisé.

Pourquoi est-ce si important? Les périphériques sans fil sont un vecteur pratique pour les attaquants qui souhaitent maintenir un accès à long terme à l’environnement informatique, puisqu’ils ne nécessitent pas de connexion physique directe. Par exemple, les clients des services sans fil utilisés par les employés lorsqu’ils voyagent sont infectés régulièrement et utilisés par la suite comme portes dérobées lorsqu’ils sont reconnectés au réseau de l’organisation.

 

16. Account Monitoring and Control.

Il est essentiel pour les entreprises de gérer activement le cycle de vie des comptes utilisateurs (création, utilisation et suppression) afin de réduire au minimum les opportunités pour les attaquants de les exploiter. Tous les comptes du système doivent être révisés régulièrement, et les comptes des anciens entrepreneurs et employés doivent être désactivés dès que la personne quitte l’entreprise.

Pourquoi est-ce si important? Les attaquants exploitent fréquemment des comptes d’utilisateurs inactifs pour obtenir un accès légitime aux systèmes et aux données d’une organisation, ce qui rend la détection de l’attaque plus difficile.

 

17. Évaluation des compétences en matière de sécurité et formation appropriée pour combler les lacunes.

Les organisations doivent identifier les connaissances et les compétences spécifiques dont elles ont besoin pour renforcer la sécurité. Pour ce faire, il faut élaborer et exécuter un plan pour cerner les lacunes et y remédier au moyen de politiques, de planification et de programmes de formation.

Pourquoi est-ce si important? Il est tentant de penser que la cyberdéfense est avant tout un défi technique. Toutefois, les mesures prises par les employés sont également essentielles au succès d’un programme de sécurité. Les attaquants utilisent souvent le facteur humain pour planifier les opérations, par exemple, en rédigeant soigneusement des messages d’hameçonnage qui ressemblent à des courriels normaux, ou en travaillant dans la fenêtre de temps du correctif ou de la révision du journal.

 

18. Sécurité des applications logicielles.

Les entreprises doivent gérer le cycle de vie de sécurité de tous les logiciels qu’elles utilisent afin de détecter et corriger les failles de sécurité. Ils doivent notamment vérifier régulièrement qu’ils n’utilisent que les versions les plus récentes de chaque application et que tous les correctifs pertinents sont installés rapidement.

Pourquoi est-ce si important? Les attaquants tirent souvent parti des vulnérabilités des applications Web et d’autres logiciels. Ils peuvent injecter des exploits spécifiques, y compris des débordements de tampon, des attaques d’injection SQL, des scripts cross-site et le clik-jacking de code, pour prendre le contrôle des machines vulnérables.

 

19. Réponse et gestion des incidents.

Les organisations doivent élaborer et mettre en œuvre une intervention appropriée en cas d’incident, qui comprend des plans, des rôles définis, de la formation, une supervision de la gestion et d’autres mesures qui les aideront à détecter les attaques et à contenir les dommages plus efficacement.

Pourquoi est-ce si important? Les incidents de sécurité font maintenant partie de notre quotidien. Même les grandes entreprises bien financées ont du mal à suivre l’évolution de la cyber-menace. Malheureusement, dans la plupart des cas, la chance d’une cyberattaque réussie n’est pas “si” mais “quand”. Sans plan d’intervention en cas d’incident, une organisation peut ne pas découvrir une attaque avant qu’elle n’inflige un préjudice grave ou qu’elle ne soit en mesure d’éradiquer la présence de l’agresseur et de rétablir l’intégrité du réseau et des systèmes.

 

20. Tests de pénétration et exercices Red Team.

Le contrôle final exige que les organisations évaluent la force globale de leurs défenses (la technologie, les processus et les personnes) en effectuant régulièrement des tests de pénétration externe et interne. Cela leur permettra d’identifier les vulnérabilités et les vecteurs d’attaque qui peuvent être utilisés pour exploiter les systèmes.

Pourquoi est-ce si important? Les attaquants peuvent exploiter l’écart entre les bonnes intentions défensives et leur mise en œuvre. Comme la fenêtre de temps entre l’annonce d’une vulnérabilité, la disponibilité d’un correctif du fournisseur et l’installation d’un correctif. Dans un environnement complexe où la technologie évolue constamment, les organisations devraient périodiquement tester leurs défenses pour identifier les lacunes et les corriger avant qu’une attaque ne se produise.

 

 

Découvrez vos actifs d’information et évaluez leur valeur. Effectuez une évaluation des risques et réfléchissez aux attaques potentielles contre vos systèmes et données (y compris les points d’entrée initiaux, la propagation et les dommages). Priorisez les contrôles  autour de vos actifs les plus risqués.
Prenez note de chaque domaine où il n’existe aucune capacité de sécurité ou pour lequel des travaux supplémentaires sont nécessaires.
Élaborez un plan pour adopter les nouveaux contrôles de sécurité les plus utiles et améliorer l’efficacité opérationnelle de vos contrôles existants.
Obtenir l’adhésion de la direction au plan et prendre des engagements commerciaux à l’égard des ressources financières et humaines nécessaires.
Mettre en œuvre les contrôles. Surveillez les tendances qui pourraient présenter de nouveaux risques pour votre organisation. Mesurez les progrès et la réduction des risques et communiquez vos résultats.

Leave a Reply

Your email address will not be published. Required fields are marked *