Pourquoi les attestations ne sont qu'une partie de votre programme de sécurité dans le cloud

Steven Murray

5 juil. 2017

Email

1 min read

Pourquoi les attestations ne sont qu'une partie de votre programme de sécurité dans le cloud

Steven Murray

5 juil. 2017

Email

1 min read

Pourquoi les attestations ne sont qu'une partie de votre programme de sécurité dans le cloud

Les gens me demandent souvent ce qui fait un bon programme de sécurité. Autant j'aimerais désigner un aspect de mon périmètre de sécurité à utiliser comme exemple, il y a plusieurs éléments à mettre en évidence.

Les attestations ne mesurent pas toujours votre posture défensive

Une attestation, par définition, est une indication qui rend quelque chose évident. Dans le cas de la sécurité, en particulier des programmes de sécurité, cela signifie certifier de manière officielle.

Les gens me demandent souvent ce qui fait un bon programme de sécurité. Autant que je voudrais désigner un aspect de mon périmètre de sécurité à utiliser comme exemple, il y a plusieurs éléments à souligner. L'industrie s'appuie sur des attestations et des certifications pour évaluer vos défenses de sécurité. Les ingénieurs et les opérateurs vous diront que votre périmètre de sécurité réel et vos capacités d'évaluation des menaces définissent votre programme de sécurité. Je vous dirai que ce sont à la fois les attestations de conformité en tant que mesure et les capacités opérationnelles de votre équipe de sécurité qui définissent votre programme. Cependant, les attestations seules ne constituent pas un étalon précis pour mesurer un programme.

Les attestations sont une nécessité de l'industrie pour assurer la conformité aux lois fédérales, locales et d'État ainsi qu'aux meilleures pratiques du secteur. Les normes ISO, NIST ou DoD forment la base de la plupart des attestations. Le NIST, par exemple, publie un ensemble de normes et de guides techniques pour aider les organisations à construire des défenses périmétriques « acceptables » par le gouvernement. Comme je vais le souligner cependant, le fait que les normes soient établies ne signifie pas que la mise en œuvre soit toujours excellente.

Le déploiement d'un outil ne signifie pas qu'il fournit de la valeur

Les contrôles permettent la flexibilité dans la mise en œuvre et la croissance opérationnelle et l'innovation au fil du temps. Malheureusement, certaines organisations utilisent cette flexibilité simplement pour se conformer, mais n'ont en place aucune défense réelle.

Un exemple typique de ce problème est les systèmes de détection/protection d'intrusion (IDS ou IPS). Comme les scanners antivirus, la plupart des organisations investissent dans l'IDS/IPS comme une pratique standard de sécurité pour se protéger contre le trafic malveillant et l'exfiltration de données. L'industrie regorge de fournisseurs proposant diverses formes de systèmes IDS/IPS. Cependant, certaines organisations construisent des systèmes plutôt que d'en acheter.

J'ai récemment quitté une organisation qui avait "construit" son propre système de détection d'intrusion à partir d'outils open source. Les auditeurs ont été informés que le système était un « fantastique outil », et même fournissement des exemples de trafic. En creusant plus profondément dans la télémétrie fournie par l'outil, j'ai réalisé que le trafic n'était pas du tout analysé. Au contraire, il passait à travers le capteur car il n'était pas configuré pour capturer ou alerter sur le trafic. De plus, les identifiants utilisés pour administrer l'outil avaient été créés par un employé précédent et n'ont jamais été mis à jour après son départ. Ainsi, l'outil restait essentiellement inactif pendant des mois sans intervention humaine. Non seulement cela met l'entreprise en danger, mais cela compromet également le périmètre.

Un auditeur avisé n'aurait pas détecté le problème car les attestations ne recherchent pas d'informations « opérationnelles » sur tous les systèmes - la norme consiste littéralement en une couche de question et réponse. En fait, la plupart des attestations mesurent simplement si l'outil existe, pas sa viabilité opérationnelle. De plus, la plupart des auditeurs ne sont pas suffisamment techniques pour discerner un IDS/IPS fonctionnel d'un non fonctionnel. L'essentiel de l'audit repose sur l'entreprise pour montrer sa meilleure performance plutôt que de répondre à des questions difficiles. Les auditeurs doivent également couvrir un vaste éventail de contrôles pendant un audit, donc le temps est un facteur important dans la qualité de leur analyse.

Une attestation à elle seule vous dira qu'une entreprise dispose d'un programme de sécurité mature avec des contrôles. Demander à un partenaire potentiel de compléter un sondage fournisseur ne vous apportera pas plus de confiance. Les sondages ne font que présenter les mêmes informations sous un format différent. Alors, comment évaluer un programme de sécurité mature ?

Les contrôles permettent la flexibilité dans la mise en œuvre et la croissance opérationnelle et l'innovation au fil du temps. Malheureusement, certaines organisations utilisent cette flexibilité simplement pour se conformer, mais n'ont en place aucune défense réelle.

Un exemple typique de ce problème est les systèmes de détection/protection d'intrusion (IDS ou IPS). Comme les scanners antivirus, la plupart des organisations investissent dans l'IDS/IPS comme une pratique standard de sécurité pour se protéger contre le trafic malveillant et l'exfiltration de données. L'industrie regorge de fournisseurs proposant diverses formes de systèmes IDS/IPS. Cependant, certaines organisations construisent des systèmes plutôt que d'en acheter.

J'ai récemment quitté une organisation qui avait "construit" son propre système de détection d'intrusion à partir d'outils open source. Les auditeurs ont été informés que le système était un « fantastique outil », et même fournissement des exemples de trafic. En creusant plus profondément dans la télémétrie fournie par l'outil, j'ai réalisé que le trafic n'était pas du tout analysé. Au contraire, il passait à travers le capteur car il n'était pas configuré pour capturer ou alerter sur le trafic. De plus, les identifiants utilisés pour administrer l'outil avaient été créés par un employé précédent et n'ont jamais été mis à jour après son départ. Ainsi, l'outil restait essentiellement inactif pendant des mois sans intervention humaine. Non seulement cela met l'entreprise en danger, mais cela compromet également le périmètre.

Un auditeur avisé n'aurait pas détecté le problème car les attestations ne recherchent pas d'informations « opérationnelles » sur tous les systèmes - la norme consiste littéralement en une couche de question et réponse. En fait, la plupart des attestations mesurent simplement si l'outil existe, pas sa viabilité opérationnelle. De plus, la plupart des auditeurs ne sont pas suffisamment techniques pour discerner un IDS/IPS fonctionnel d'un non fonctionnel. L'essentiel de l'audit repose sur l'entreprise pour montrer sa meilleure performance plutôt que de répondre à des questions difficiles. Les auditeurs doivent également couvrir un vaste éventail de contrôles pendant un audit, donc le temps est un facteur important dans la qualité de leur analyse.

Une attestation à elle seule vous dira qu'une entreprise dispose d'un programme de sécurité mature avec des contrôles. Demander à un partenaire potentiel de compléter un sondage fournisseur ne vous apportera pas plus de confiance. Les sondages ne font que présenter les mêmes informations sous un format différent. Alors, comment évaluer un programme de sécurité mature ?

Les contrôles permettent la flexibilité dans la mise en œuvre et la croissance opérationnelle et l'innovation au fil du temps. Malheureusement, certaines organisations utilisent cette flexibilité simplement pour se conformer, mais n'ont en place aucune défense réelle.

Un exemple typique de ce problème est les systèmes de détection/protection d'intrusion (IDS ou IPS). Comme les scanners antivirus, la plupart des organisations investissent dans l'IDS/IPS comme une pratique standard de sécurité pour se protéger contre le trafic malveillant et l'exfiltration de données. L'industrie regorge de fournisseurs proposant diverses formes de systèmes IDS/IPS. Cependant, certaines organisations construisent des systèmes plutôt que d'en acheter.

J'ai récemment quitté une organisation qui avait "construit" son propre système de détection d'intrusion à partir d'outils open source. Les auditeurs ont été informés que le système était un « fantastique outil », et même fournissement des exemples de trafic. En creusant plus profondément dans la télémétrie fournie par l'outil, j'ai réalisé que le trafic n'était pas du tout analysé. Au contraire, il passait à travers le capteur car il n'était pas configuré pour capturer ou alerter sur le trafic. De plus, les identifiants utilisés pour administrer l'outil avaient été créés par un employé précédent et n'ont jamais été mis à jour après son départ. Ainsi, l'outil restait essentiellement inactif pendant des mois sans intervention humaine. Non seulement cela met l'entreprise en danger, mais cela compromet également le périmètre.

Un auditeur avisé n'aurait pas détecté le problème car les attestations ne recherchent pas d'informations « opérationnelles » sur tous les systèmes - la norme consiste littéralement en une couche de question et réponse. En fait, la plupart des attestations mesurent simplement si l'outil existe, pas sa viabilité opérationnelle. De plus, la plupart des auditeurs ne sont pas suffisamment techniques pour discerner un IDS/IPS fonctionnel d'un non fonctionnel. L'essentiel de l'audit repose sur l'entreprise pour montrer sa meilleure performance plutôt que de répondre à des questions difficiles. Les auditeurs doivent également couvrir un vaste éventail de contrôles pendant un audit, donc le temps est un facteur important dans la qualité de leur analyse.

Une attestation à elle seule vous dira qu'une entreprise dispose d'un programme de sécurité mature avec des contrôles. Demander à un partenaire potentiel de compléter un sondage fournisseur ne vous apportera pas plus de confiance. Les sondages ne font que présenter les mêmes informations sous un format différent. Alors, comment évaluer un programme de sécurité mature ?

Évaluer l'Ensemble du Programme de Sécurité Cloud

Tout d'abord, vous devriez au minimum examiner les attestations et le rapport de findings, pas le résumé exécutif. Cela vous fournira un aperçu du programme examiné par un tiers. De plus, les programmes de sécurité complets devraient inclure des stratégies de protection des données robustes telles que les procédures de sauvegarde et de récupération de base de données pour assurer la continuité des activités et l'intégrité des données lors des incidents de sécurité. Deuxièmement, vous devriez absolument vérifier si l'entreprise passe par un programme de test de pénétration tiers ou de récompense pour les bogues. Personnellement, je ne suis pas fan des récompenses pour bogues, mais je suis fan des tests de pénétration par des tiers sur une base annuelle. Les tests de pénétration vous fournissent un test structuré de vos défenses et des retours réels sur les vulnérabilités. Enfin, passez en revue les documents de sécurité (généralement le sommaire) que l'entreprise utilise comme base pour la mise en œuvre. Cela inclut (mais n'est certainement pas limité à) une politique de sécurité, une réponse aux incidents et une gestion des vulnérabilités. Une équipe de sécurité expérimentée proposera de partager ces documents et artefacts dans le cadre des affaires courantes.

Je fais en sorte d'évaluer chaque fournisseur et partenaire du point de vue de l'accès aux données de l'entreprise. Cela signifie que si le partenaire ou le fournisseur gère les données de l'entreprise, il est soumis à plus de contrôle qu'un fournisseur qui ne le fait pas. Gardez à l'esprit l'objectif commercial lors de l'évaluation d'un programme de sécurité. J'examine l'objectif commercial et le type d'informations impliquées, puis j'évalue sous cet angle, plutôt que de traiter tous les partenaires et fournisseurs de la même manière. En cas de doute, demandez toujours plus d'informations.

Connectons-vous avec un expert Bird.
Découvrez toute la puissance du Bird en 30 minutes.

En soumettant, vous acceptez que Bird puisse vous contacter au sujet de nos produits et services.

Vous pouvez vous désabonner à tout moment. Consultez la Déclaration de confidentialité de Bird pour plus de détails sur le traitement des données.

Company

Newsletter

Restez à jour avec Bird grâce aux mises à jour hebdomadaires dans votre boîte de réception.

Connectons-vous avec un expert Bird.
Découvrez toute la puissance du Bird en 30 minutes.

En soumettant, vous acceptez que Bird puisse vous contacter au sujet de nos produits et services.

Vous pouvez vous désabonner à tout moment. Consultez la Déclaration de confidentialité de Bird pour plus de détails sur le traitement des données.

Company

Newsletter

Restez à jour avec Bird grâce aux mises à jour hebdomadaires dans votre boîte de réception.

Connectons-vous avec un expert Bird.
Découvrez toute la puissance du Bird en 30 minutes.

En soumettant, vous acceptez que Bird puisse vous contacter au sujet de nos produits et services.

Vous pouvez vous désabonner à tout moment. Consultez la Déclaration de confidentialité de Bird pour plus de détails sur le traitement des données.

R

Atteindre

G

Grow

M

Manage

A

Automate

Company

Newsletter

Restez à jour avec Bird grâce aux mises à jour hebdomadaires dans votre boîte de réception.