Dans le cadre de notre série de blogs sur l'état de l'Internet, nous examinons de plus près les résultats d'un point de vue sectoriel. Plus précisément, quels sont les risques les plus couramment observés parmi les organismes de finance et d'assurance de l'échantillon ? Il va sans dire que le maintien d'une bonne hygiène en matière de cybersécurité dans le secteur de la finance et de l'assurance est primordial - ces organisations traitent régulièrement des informations personnelles et financières hautement sensibles concernant leurs clients. Les failles de sécurité dans ce domaine peuvent non seulement faire la une des journaux, mais aussi entraîner de graves complications pour les consommateurs qui en subissent les conséquences.
Comment l'équipe de recherche Censys a recueilli les données
L'équipe de Censys Research a étudié la présence de risques et de vulnérabilités dans des échantillons aléatoires de 2,2 millions d'hôtes en novembre 2021 et de 2 millions d'hôtes en juin 2022. L'équipe a ensuite sélectionné au hasard 1 % des hôtes dans chaque catégorie d'industrie ASdb afin de garantir une représentation d'une variété d'industries. L'équipe a constaté que les résultats variaient peu entre les deux dates d'observation.
Au moment de l'observation, Censys disposait de plus de 250 empreintes de détection des risques et des vulnérabilités.
Qu'avons-nous trouvé dans l'ensemble ?
Dans tous les secteurs, Censys a constaté que les mauvaises configurations représentaient environ 60 % de tous les risques visibles sur Censys. Par mauvaises configurations, nous entendons des risques tels que des services non cryptés, des contrôles de sécurité faibles ou manquants, et des certificats auto-signés. L'exposition de services, de dispositifs et d'informations représentait 28 % des risques observés, et ce groupe comprend des cas tels que l'exposition involontaire de bases de données et l'exposition d'informations d'identification.
Il est intéressant de noter que les vulnérabilités ne représentent que 12 % des risques observés dans nos instantanés de 2021 et 2022. Les vulnérabilités comprennent les logiciels en fin de vie ou obsolètes et les CVE. Ainsi, malgré le fait que les vulnérabilités critiques peuvent faire l'objet d'une grande publicité, la majorité des risques auxquels les industries sont confrontées peuvent être atténués au mieux par les meilleures pratiques d'hygiène de routine.
Les trois principaux risques observés dans tous les secteurs d'activité sont les suivants : 1) L'absence d'en-têtes de sécurité communs 2.) Les certificats auto-signés et 3.) les pages d'authentification faible non chiffrées. Pour en savoir plus sur l'analyse de ces risques par l'équipe, consultez notre blog "The Top Five Censys-VisibleRisks on the Internet".
Quels risques avons-nous observés dans le domaine de la finance et de l'assurance ?
Examinons maintenant l'analyse détaillée de la finance et de l'assurance. Ci-dessous, nous voyons les 25 premiers risques observés dans le domaine de la finance et de l'assurance à partir de l'instantané de juin 2022. Remarque : les observations de risques n'ont pas varié de manière significative entre les instantanés de 2022 et de 2021.
Que pouvons-nous déduire de ces résultats ? Tout d'abord, nous constatons que les trois principaux risques visibles sur Censys dans cet espace sont 1.) L'absence d'en-têtes de sécurité communs (~14%) 2.) Chiffres TLS faibles et (~11%) 3.) Certificats auto-signés (~9%)
Comme pour l'ensemble du secteur, l'absence d'en-têtes de sécurité communs est le risque le plus visible dans les organisations du secteur de la finance et de l'assurance échantillonnées. Les en-têtes de sécurité communs man quants (comme CSP et CORS) sont préoccupants parce qu'ils peuvent faire des services concernés la cible d'attaques par XXS ou par injection de données. Un en-tête de sécurité manquant n'est peut-être pas un chemin direct vers les joyaux de la couronne que sont les données des clients d'un organisme financier ou d'assurance, mais il peut être utilisé comme arme dans le cadre d'une chaîne d'exploitation.
Il en va de même pour le troisième risque le plus visible dans le secteur de la finance et de l'assurance : les certificats auto-signés. Les certificats auto-signés sont des certificats signés par leurs propres clés privées au lieu d'être signés par une autorité de certification de confiance. Tout service sans vérification d'identité peut être la cible d'attaques de type "man-in-the-middle" ou d'une campagne d'hameçonnage. Encore une fois, les certificats auto-signés méritent l'attention car ils peuvent être utilisés pour recueillir des informations supplémentaires sur une organisation.
Le deuxième risque le plus visible, cependant, est celui pour lequel le secteur de la finance et de l'assurance s'écarte de la vision globale de l'industrie. Alors que les algorithmes de chiffrement TLS faibles occupent la sixième place dans l'ensemble des secteurs, ce risque est le deuxième dans le secteur de la finance et de l'assurance. Les algorithmes de chiffrement TLS faibles font référence à des algorithmes de chiffrement et de déchiffrement dont les clés sont de longueur insuffisante - sans une clé d'algorithme suffisamment complexe, le risque de craquage de l'algorithme de chiffrement pourrait augmenter. Des algorithmes TLS faibles ont été relevés dans environ 11 % des cas sur les hôtes observés.
Qu'est-ce que cela signifie pour les équipes chargées de la sécurité dans les secteurs de la finance et de l'assurance ?
Comme les équipes de sécurité de nombreux secteurs, celles de la finance et de l'assurance ont la possibilité de se concentrer sur la mise en œuvre de systèmes et de processus qui les aident à maintenir une bonne hygiène de sécurité. Censys La recherche suggère que l'assurance que toutes les propriétés ont des en-têtes de sécurité, la vérification que les certificats sont signés par une autorité de certification de confiance, et l'établissement de chiffres TLS adéquats sont des domaines pertinents sur lesquels il faut concentrer l'attention en matière de sécurité.
Consultez notre rapport complet sur l'état de l'internet en 2022 pour obtenir plus d'informations sur le secteur.
Lire le rapport
