Les Attestations Mesurent Pas Toujours Votre Posture Défensive

Une attestation, par définition, est une indication qui rend quelque chose évident. Dans le cas de la sécurité, spécifiquement des programmes de sécurité, cela signifie certifier de manière officielle.

Les gens me demandent souvent ce qui constitue un bon programme de sécurité. Autant j'aimerais pointer un aspect de mon périmètre de sécurité comme exemple, il y a plusieurs éléments à mettre en avant. L'industrie repose sur des attestations et des certifications pour mesurer vos défenses de sécurité. Les ingénieurs et les opérateurs vous diront que votre périmètre de sécurité réel et vos capacités d'évaluation des menaces définissent votre programme de sécurité. Je vous dirai que ce sont à la fois les attestations de conformité comme mesure et les capacités opérationnelles de votre équipe de sécurité qui définissent votre programme. Bien que les attestations seules ne soient pas une référence précise pour mesurer un programme.

Les attestations sont une nécessité dans l'industrie pour garantir la conformité avec les lois fédérales, locales et étatiques ainsi que les meilleures pratiques de l'industrie. Les normes ISO, NIST ou DoD forment la base de la plupart des attestations. NIST, par exemple, publie un ensemble de normes et de guides techniques pour aider les organisations à construire des défenses de périmètre qui soient "acceptables" pour le gouvernement. Cependant, comme je vais le souligner, juste parce que les normes sont établies ne signifie pas que la mise en œuvre est toujours exceptionnelle.

Le Déploiement d'un Outil Ne Signifie Pas Qu'il Apporte de la Valeur

Les contrôles permettent la flexibilité dans la mise en œuvre et la croissance opérationnelle et l'innovation au fil du temps. Malheureusement, certaines organisations utilisent cette flexibilité pour cocher la case, mais n'ont aucune défense réelle en place.

Un exemple principal de ce problème est les systèmes de détection/protection d'intrusion (IDS ou IPS). Comme les analyseurs de virus, la plupart des organisations investissent dans des IDS/IPS comme une pratique de sécurité standard pour se protéger contre le trafic malveillant et l'exfiltration de données. L'industrie est remplie de fournisseurs proposant diverses formes de systèmes IDS/IPS. Cependant, certaines organisations construisent des systèmes plutôt que d'acheter.

J'ai récemment quitté une organisation qui a "construit" son propre système de détection d'intrusion à partir d'outils open source. Les auditeurs se sont vu dire que le système était un "outil fantastique", et même donné des exemples de trafic. Lorsque j'ai approfondi la télémétrie que l'outil fournissait, j'ai réalisé que le trafic n'était pas du tout analysé. Au contraire, il passait par le capteur car il n'était pas configuré pour capturer aucun trafic ou alerter du tout. De plus, les identifiants utilisés pour administrer l'outil avaient été configurés par un ancien employé et n'avaient jamais été mis à jour après son départ. Ainsi, en gros, l'outil est resté inactif pendant des mois sans aucune intervention humaine. Non seulement cela met l'entreprise en danger, mais cela compromet également le périmètre.

Un auditeur avisé n'aurait pas détecté le problème car les attestations ne recherchent pas d'informations "opérationnelles" sur tous les systèmes – la norme est littéralement une couche de questions et de réponses. En fait, la plupart des attestations mesurent simplement si l'outil existe, pas la viabilité opérationnelle. De plus, la plupart des auditeurs ne sont pas suffisamment techniques pour distinguer un IDS/IPS fonctionnel d'un non fonctionnel. Le cœur de l'audit dépend de l'entreprise pour mettre son meilleur pied en avant plutôt que de répondre à des questions difficiles. Les auditeurs doivent également couvrir une vaste gamme de contrôles pendant un audit, donc le temps est un facteur important dans la qualité de leur analyse.

Une attestation seule vous dira qu'une entreprise a un programme de sécurité mature avec des contrôles. Demander à un partenaire potentiel de remplir un questionnaire fournisseur ne vous donnera pas confiance non plus. Les questionnaires présentent simplement les mêmes informations sous un format différent. Alors, comment évaluer un programme de sécurité mature?

Évaluer l'Ensemble du Programme de Sécurité Cloud

Tout d'abord, vous devriez examiner au minimum les attestations et le rapport de résultats, pas le résumé exécutif. Cela vous donnera un aperçu du programme examiné par un tiers. Deuxièmement, vous devriez absolument vérifier si l'entreprise subit un test de pénétration par un tiers ou un programme de bug bounty. Personnellement, je ne suis pas fan des bug bounties, mais je suis un fan du test de pénétration par un tiers sur une base annuelle. Les tests de pénétration vous fournissent un test structuré de vos défenses et des retours réels sur les vulnérabilités. Enfin, examinez les documents de sécurité (généralement la table des matières) que l'entreprise utilise comme base pour la mise en œuvre. Cela comprend (mais n'est certainement pas limité à) une politique de sécurité, une réponse aux incidents et la gestion des vulnérabilités. Une équipe de sécurité expérimentée proposera de partager ces documents et artefacts dans le cadre de l'activité normale.

Je fais en sorte d'évaluer chaque fournisseur et partenaire sous l'angle de l'accès aux données de l'entreprise. Cela signifie que si le partenaire ou le fournisseur gère les données de l'entreprise, il est soumis à plus d'examen qu'un fournisseur qui ne le fait pas. Gardez à l'esprit l'objectif commercial lors de l'évaluation d'un programme de sécurité. J'examine l'objectif commercial et le type d'information impliqué, puis j'évalue sous cet angle, plutôt que de traiter tous les partenaires et fournisseurs de la même manière. En cas de doute, demandez toujours plus d'informations.