Récapitulatif du webinaire de novembre, aperçu des prévisions de Forrester pour 2021

Au cas où vous auriez manqué le webinaire en novembre, vous trouverez ci-dessous les principaux points à retenir. L'intégralité du webinaire peut être visionnée ici.

En novembre, nous avons coorganisé un webinaire sur les prévisions de 2021 en matière de cybersécurité avec Joseph Blakenship, vice-président et directeur de recherche au service des professionnels de la sécurité et du risque chez Forrester, et Derek Abdine, directeur de la technologie chez Censys.

Principaux enseignements :

• Comment et pourquoi les surfaces d'attaque augmentent en taille
• Comment les RSSI et leurs organisations font face à une croissance explosive et aux défis qu'ils rencontrent dans la gestion de leurs actifs (dans le cloud, l'IoT et leur personnel à distance).
• Exposition de la surface d'attaque, en examinant les hôtes AWS uniques au fil du temps depuis COVID-19

2021 : prévisions et recommandations de Forrester

Joseph Blakenship, VP, Research Director Serving Security & Risk Professionals chez Forrester a fait 5 prédictions pour 2021 et nous en avons inclus 3 mentionnées dans le webinaire ici.

1. Le commerce de détail et l'industrie manufacturière : Ces secteurs connaîtront davantage de violations en raison du passage à la vente directe au consommateur.

2. Violations de données : 33 % des violations de données seront causées par des incidents internes, contre 25 % aujourd'hui.

3. Audit : Les résultats des audits et les pressions budgétaires conduiront à l'adoption de techniques de quantification des risques.

Recommandations de Forrester :

• Donner la priorité à la sécurité des produits : Sachez quels systèmes et applications sont orientés vers Internet et potentiellement vulnérables, en particulier dans l'informatique dématérialisée.
• Se mettre en conformité : disposer d'un processus systématique et reproductible pour identifier les actifs, les vulnérabilités potentielles de ces actifs, les risques pour l'entreprise et la manière de résoudre les risques avec les bons membres de l'équipe.
• Comprendre ce que l'on peut quantifier et planifier pour réduire les risques : disposer d'une stratégie de réduction des risques pour votre organisation.

Pour plus de détails sur les prévisions pour 2021, vous pouvez visionner le webinaire à votre convenance ici.

Aperçu des expositions de la surface d'attaque en 2020

Après avoir discuté plus largement des prédictions de cybersécurité pour 2021, nous avons décidé d'approfondir la question avec Derek Abdine, directeur technique de Censys, pour discuter de la façon dont la gestion de la surface d'attaque peut jouer un rôle dans la réduction des brèches et des cyberattaques en sécurisant vos actifs orientés vers l'Internet. Derek Abdine nous présente plusieurs exemples concrets des raisons pour lesquelles il est important de donner la priorité à la sécurité du cloud, en examinant les IP AWS uniques sur Internet en 2020. Il a exécuté des requêtes sur notre ensemble de données Enterprise pour identifier les tendances dans le temps des IP AWS uniques qui avaient des ports RDP, SSH et SMB visibles. L'exemple de SMB est présenté ci-dessous, mais d'autres exemples peuvent être trouvés dans le webinaire.

 

Qu'est-ce que le PME ?

Le protocole SMB (Server Message Block) est utilisé pour le partage de fichiers sur le réseau interne. La documentation de Microsoft indique que ce protocole "permet aux applications d'un ordinateur de lire et d'écrire dans des fichiers et de demander des services à des programmes de serveur dans un réseau informatique". Ce protocole était auparavant connu sous le nom de CIFS.

Quels sont les problèmes de sécurité liés à l'exposition des PME ?

Comme il s'agit d'un mécanisme de partage de fichiers, il n'y a aucune raison pour qu'il se trouve sur l'internet et il a un historique de vulnérabilités critiques, telles que MS06-040 (service de serveur, accessible via SMB par des tuyaux nommés), MS08-067, et MS17-010. Le protocole est connu pour sa "vermifugation", de Conficker à WannaCry, NotPetya et d'autres. Les versions vulnérables de SMB ont permis certaines des attaques de ransomware et de chevaux de Troie les plus destructrices à travers le monde. Malwarebytes Labs a mené des recherches en 2018 citant des exemples d'exploitation de versions vulnérables de SMB utilisées activement par des variantes de chevaux de Troie de groupes comme Emotet et Trickbot.

Que puis-je faire ?

La CISA a fourni de bons conseils sur les meilleures pratiques en matière de SMB en 2017. Le CERT américain recommande ce qui suit en ce qui concerne SMB : "1) désactiver SMBv1 ; et 2) bloquer toutes les versions de SMB à la frontière du réseau en bloquant le port TCP 445 avec les protocoles connexes sur les ports UDP 137-138 et le port TCP 139, pour tous les périphériques de la frontière".

Pour d'autres webinaires comme celui-ci, consultez notre page de ressources ou diffusez ce webinaire gratuit à tout moment !

Ressources

• Documentation de Microsoft sur le SMB : https://docs.microsoft.com/en-us/windows-server/storage/file-server/file-server-smb-overview#:~:text=The%20Server%20Message%20Block%20
• Malwarebytes Labs sur les acteurs de la menace utilisant les vulnérabilités SMB : https://blog.malwarebytes.com/101/2018/12/how-threat-actors-are-using-smb-vulnerabilities
• CISA - Meilleures pratiques de sécurité pour les PME : https://us-cert.cisa.gov/ncas/current-activity/2017/01/16/SMB-Security-Best-Practices