avec l’augmentation des violations de données, les organisations doivent plus que jamais s’assurer de disposer de tous les contrôles de sécurité nécessaires pour protéger leurs données. En réponse aux menaces de sécurité croissantes, L’institut SANS, en collaboration avec le Center for Internet Security (CIS) et d’autres organisations, a développé les 20 contrôles de sécurité critiques (CSC) pour une cyberdéfense efficace., Le SCC de CIS fournit aux professionnels de L’informatique un ensemble d’actions prioritaires et ciblées pour les aider à arrêter les cyberattaques les plus dangereuses et à assurer la sécurité des données.
Cet article de blog explique les 20 contrôles dans le SCC CIS et pourquoi chacun d’entre eux est critique, puis propose 5 étapes pour mettre en œuvre les contrôles de manière pragmatique.
la liste complète des contrôles de sécurité critiques de CIS, version 6.1
le CSC de CIS est un ensemble de 20 contrôles (parfois appelés le dessus 20 De SANS) conçus pour aider des organisations à protéger leurs systèmes et données des vecteurs connus d’attaque., Il peut également être un guide efficace pour les entreprises qui ne disposent pas encore d’un programme de sécurité cohérent. Bien que les contrôles de la CEI ne remplacent aucun système de conformité existant, les contrôles correspondent à plusieurs cadres de conformité majeurs (par exemple, le cadre de cybersécurité du NIST) et à des réglementations (par exemple, PCI DSS et HIPAA).
Les 20 contrôles sont basés sur les dernières informations sur les attaques courantes et reflètent les connaissances combinées des experts en criminalistique commerciale, des testeurs de pénétration individuels et des contributeurs d’agences gouvernementales américaines.
#1., Inventaire des appareils autorisés et non autorisés.
les organisations doivent gérer activement tous les périphériques matériels sur le réseau, de sorte que seuls les périphériques autorisés aient accès et que les périphériques non autorisés puissent être rapidement identifiés et déconnectés avant d’infliger des dommages.
Pourquoi est-ce essentiel? Les attaquants analysent en permanence l’espace d’adressage des organisations, attendant que de nouveaux systèmes non protégés soient connectés au réseau., Ce contrôle est particulièrement critique pour les organisations qui autorisent le BYOD, car les pirates recherchent spécifiquement les appareils qui vont et viennent du réseau de l’entreprise.
#2. Inventaire des logiciels autorisés et non autorisés.
les organisations doivent gérer activement tous les logiciels sur le réseau, de sorte que seuls les logiciels autorisés sont installés. Des mesures de sécurité telles que la liste blanche des applications peuvent permettre aux organisations de trouver rapidement des logiciels non autorisés avant leur installation.
Pourquoi est-ce essentiel?, Les attaquants recherchent des versions vulnérables de logiciels pouvant être exploitées à distance. Ils peuvent distribuer des pages web hostiles, des fichiers multimédias et d’autres contenus, ou utiliser des exploits zero-day qui tirent parti de vulnérabilités inconnues. Par conséquent, une bonne connaissance des logiciels déployés dans votre organisation est essentielle pour la sécurité et la confidentialité des données.
#3. Configurations sécurisées pour le matériel et les logiciels.
Les entreprises doivent établir, mettre en œuvre et gérer la configuration de sécurité des ordinateurs portables, des serveurs et des postes de travail., Les entreprises doivent suivre une gestion stricte de la configuration et mettre en œuvre des processus de contrôle des modifications pour empêcher les attaquants d’exploiter les services et les paramètres vulnérables.
Pourquoi est-ce essentiel? Les fabricants et les revendeurs conçoivent les configurations par défaut des systèmes d’exploitation et des applications pour faciliter le déploiement et l’utilisation, et non pour garantir une sécurité renforcée. Les services et ports ouverts, ainsi que les comptes ou mots de passe par défaut, peuvent être exploitables dans leur état par défaut, de sorte que les entreprises doivent développer des paramètres de configuration avec de bonnes propriétés de sécurité.
#4., Évaluation continue de la vulnérabilité et remédiation.
les organisations doivent continuellement acquérir, évaluer et prendre des mesures sur de nouvelles informations (p. ex.,mises à jour logicielles, correctifs, avis de sécurité et bulletins de menaces) pour identifier et corriger les vulnérabilités que les attaquants pourraient autrement utiliser pour pénétrer leurs réseaux.
Pourquoi est-ce essentiel?, Dès que les chercheurs signalent de nouvelles vulnérabilités, une course commence entre toutes les parties concernées: les coupables s’efforcent d’utiliser la vulnérabilité pour une attaque, les fournisseurs déploient des correctifs ou des mises à jour, et les défenseurs commencent à effectuer des évaluations des risques ou des tests de régression. Les attaquants ont accès aux mêmes informations que tous les autres et peuvent tirer parti des écarts entre l’apparition de nouvelles connaissances et la remédiation.
#5. Utilisation contrôlée des privilèges administratifs.,
ce contrôle oblige les entreprises à utiliser des outils automatisés pour surveiller le comportement des utilisateurs et garder une trace de la façon dont les privilèges administratifs sont attribués et utilisés afin d’empêcher tout accès non autorisé aux systèmes critiques.
Pourquoi est-ce essentiel? L’utilisation abusive des privilèges administratifs est une méthode principale pour les attaquants de se propager à l’intérieur d’une entreprise. Pour obtenir des informations d’identification administratives, ils peuvent utiliser des techniques de phishing, déchiffrer ou deviner le mot de passe d’un utilisateur administratif, ou élever les privilèges d’un compte d’utilisateur normal en compte administratif., Si les organisations ne disposent pas de ressources pour surveiller ce qui se passe dans leurs environnements informatiques, il est plus facile pour les attaquants de prendre le contrôle total de leurs systèmes.
#6. Maintenance, surveillance et analyse des journaux d’Audit.
les organisations doivent collecter, gérer et analyser les journaux d’événements pour détecter les activités aberrantes et enquêter sur les incidents de sécurité.
Pourquoi est-ce essentiel? Le manque de journalisation et d’analyse de la sécurité permet aux attaquants de masquer leur emplacement et leurs activités sur le réseau., Même si l’organisation victime sait quels systèmes ont été compromis, Sans enregistrements de journalisation complets, il lui sera difficile de comprendre ce qu’un attaquant a fait jusqu’à présent et de réagir efficacement à l’incident de sécurité.
#7. Protection des e-mails et des navigateurs Web.
les organisations doivent s’assurer que seuls les navigateurs web et les clients de messagerie entièrement pris en charge sont utilisés dans l’organisation afin de minimiser leur surface d’attaque.
Pourquoi est-ce essentiel?, Les navigateurs Web et les clients de messagerie sont des points d’entrée très courants pour les pirates en raison de leur grande complexité technique et de leur flexibilité. Ils peuvent créer du contenu et usurper les utilisateurs en prenant des mesures qui peuvent introduire du code malveillant et entraîner la perte de données précieuses.
#8. Défenses Contre Les Logiciels Malveillants.
les Organisations doivent s’assurer qu’ils peuvent contrôler l’installation et l’exécution de code malveillant à de multiples points dans l’entreprise., Ce contrôle recommande d’utiliser des outils automatisés pour surveiller en permanence les postes de travail, les serveurs et les appareils mobiles avec des Antivirus, des anti-spyware, des pare-feu personnels et des fonctionnalités IPS basées sur l’hôte.
Pourquoi est-ce essentiel? Les logiciels malveillants modernes peuvent se déplacer rapidement et changer rapidement, et ils peuvent entrer par n’importe quel nombre de points. Par conséquent, les défenses contre les logiciels malveillants doivent pouvoir fonctionner dans cet environnement dynamique grâce à une automatisation à grande échelle, à une mise à jour et à une intégration avec des processus tels que la réponse aux incidents.
#9. Limitation et contrôle des Ports, protocoles et Services réseau.,
les organisations doivent suivre et gérer l’utilisation des ports, des protocoles et des services sur les périphériques réseau afin de minimiser les fenêtres de vulnérabilité disponibles pour les attaquants.
Pourquoi est-ce essentiel? Les attaquants recherchent des services réseau accessibles à distance qui sont vulnérables à l’exploitation. Les exemples courants incluent les serveurs Web mal configurés, les serveurs de messagerie et les services de fichiers et d’impression, ainsi que les serveurs DNS (domain name system) installés par défaut sur divers périphériques., Par conséquent, il est essentiel de s’assurer que seuls les ports, protocoles et services ayant un besoin métier validé s’exécutent sur chaque système.
#10. Les Données De Capacité De Récupération.
Les entreprises doivent s’assurer que les systèmes et les données critiques sont correctement sauvegardés au moins une fois par semaine. Ils doivent également disposer d’une méthodologie éprouvée pour la récupération des données en temps opportun.
Pourquoi est-ce essentiel? Les attaquants apportent souvent des modifications importantes aux données, aux configurations et aux logiciels. Sans sauvegarde et récupération fiables, il est difficile pour les organisations de se remettre d’une attaque.
#11., Configurations sécurisées pour les périphériques réseau.
les organisations doivent établir, mettre en œuvre et gérer activement la configuration de sécurité des périphériques d’infrastructure réseau, tels que les routeurs, les pare-feu et les commutateurs.
Pourquoi est-ce essentiel? Tout comme pour les systèmes d’exploitation et les applications (voir contrôle de sécurité critique 3), les configurations par défaut des périphériques d’infrastructure réseau sont conçues pour faciliter le déploiement et non pour la sécurité. En outre, les périphériques réseau deviennent souvent moins configurés en toute sécurité au fil du temps., Les attaquants exploitent ces failles de configuration pour accéder aux réseaux ou utiliser une machine compromise pour se faire passer pour un système de confiance.
#12. Limites De La Défense.
les organisations doivent détecter et corriger le flux d’informations entre les réseaux de différents niveaux de confiance, en mettant l’accent sur les données qui pourraient nuire à la sécurité. La meilleure défense réside dans les technologies qui offrent une visibilité et un contrôle approfondis sur le flux de données dans l’environnement, telles que les systèmes de détection et de prévention des intrusions.
Pourquoi est-ce essentiel?, Les coupables utilisent souvent des faiblesses de configuration et d’architecture sur les systèmes périmétriques, les périphériques réseau et les machines clientes accédant à internet pour obtenir un accès initial au réseau d’une organisation.
#13. La Protection Des Données.
les organisations doivent utiliser des processus et des outils appropriés pour atténuer le risque d’exfiltration des données et assurer l’intégrité des informations sensibles. La protection des données est mieux réalisée grâce à la combinaison de techniques de cryptage, de protection de l’intégrité et de prévention de la perte de données.
Pourquoi est-ce essentiel?, Alors que de nombreuses fuites de données sont un vol délibéré, d’autres cas de perte ou de dommage de données sont le résultat de mauvaises pratiques de sécurité ou d’erreurs humaines. Pour minimiser ces risques, les organisations doivent mettre en œuvre des solutions qui peuvent aider à détecter l’exfiltration des données et à atténuer les effets de la compromission des données.
#14. Accès contrôlé basé sur le besoin de savoir.
les organisations doivent être en mesure de suivre, de contrôler et de sécuriser l’accès à leurs actifs critiques, et de déterminer facilement quelles personnes, ordinateurs ou applications ont le droit d’accéder à ces actifs.
Pourquoi est-ce essentiel?, Certaines organisations n’identifient pas et ne séparent pas soigneusement leurs actifs les plus critiques des données moins sensibles, et les utilisateurs ont accès à des données plus sensibles qu’ils n’en ont besoin pour faire leur travail. Par conséquent, il est plus facile pour un initié malveillant — ou un attaquant ou un logiciel malveillant qui s’empare de son compte — de voler des informations importantes ou de perturber les opérations.
n ° 15. Sans Fil De Contrôle D’Accès.
les organisations doivent avoir des processus et des outils en place pour suivre et contrôler l’utilisation des réseaux locaux sans fil (Lan), des points d’accès et des systèmes clients sans fil., Ils doivent effectuer des outils d’analyse des vulnérabilités du réseau et s’assurer que tous les périphériques sans fil connectés au réseau correspondent à un profil de configuration et de sécurité autorisé.
Pourquoi est-ce essentiel? Les périphériques sans fil sont un vecteur pratique pour les attaquants pour maintenir un accès à long terme dans l’environnement informatique, car ils ne nécessitent pas de connexion physique directe. Par exemple, les clients sans fil utilisés par les employés lorsqu’ils voyagent sont infectés régulièrement et plus tard utilisés comme portes dérobées lorsqu’ils sont reconnectés au réseau de l’organisation.
#16. Surveillance et contrôle des comptes.,
Il est essentiel pour les organisations de gérer activement le cycle de vie des comptes d’utilisateurs (création, utilisation et suppression) afin de minimiser les opportunités pour les attaquants de les exploiter. Tous les comptes du système doivent être régulièrement examinés et les comptes des anciens entrepreneurs et employés doivent être désactivés dès que la personne quitte l’entreprise.
Pourquoi est-ce essentiel? Les attaquants exploitent fréquemment les comptes d’utilisateurs inactifs pour obtenir un accès légitime aux systèmes et aux données d’une organisation, ce qui rend la détection de l’attaque plus difficile.
#17., Évaluation des compétences en matière de sécurité et formation appropriée pour combler les lacunes.
les organisations doivent identifier les connaissances et les compétences spécifiques dont elles ont besoin pour renforcer la sécurité. Cela nécessite l’élaboration et l’exécution d’un plan pour identifier les lacunes et les corriger par le biais de politiques, de programmes de planification et de formation.
Pourquoi est-ce essentiel? Il est tentant de penser que la cyberdéfense est avant tout un défi technique. Cependant, les actions des employés sont également essentielles au succès d’un programme de sécurité., Les attaquants utilisent souvent le facteur humain pour planifier les exploitations, par exemple, en élaborant soigneusement des messages de phishing qui ressemblent à des e-mails normaux, ou en travaillant dans la fenêtre de correction ou de révision des journaux.
#18. Sécurité Des Logiciels D’Application.
les organisations doivent gérer le cycle de vie de la sécurité de tous les logiciels qu’elles utilisent afin de détecter et de corriger les faiblesses de sécurité. En particulier, ils doivent vérifier régulièrement qu’ils n’utilisent que la plupart des versions de chaque application et que tous les correctifs sont installés rapidement.
Pourquoi est-ce essentiel?, Les attaquants tirent souvent parti des vulnérabilités des applications web et d’autres logiciels. Ils peuvent injecter des exploits spécifiques, y compris les débordements de tampon, les attaques par injection SQL, les scripts intersite et le click-jacking de code, pour prendre le contrôle des machines vulnérables.
#19. Intervention et gestion des incidents.
les organisations doivent élaborer et mettre en œuvre une réponse appropriée aux incidents, qui comprend des plans, des rôles définis, de la formation, une surveillance de la gestion et d’autres mesures qui les aideront à détecter les attaques et à contenir les dommages plus efficacement.
Pourquoi est-ce essentiel?, Les incidents de sécurité font désormais partie intégrante de notre vie quotidienne. Même les grandes entreprises bien financées ont du mal à suivre l’évolution du paysage des cybermenaces. Malheureusement, dans la plupart des cas, la chance d’une cyberattaque réussie n’est pas « si” mais « quand ». »Sans plan de réponse aux incidents, une organisation peut ne pas découvrir une attaque tant qu’elle n’a pas infligé de dommages graves, OU être en mesure d’éradiquer la présence de l’attaquant et de restaurer l’intégrité du réseau et des systèmes.
#20. Tests de pénétration et exercices de L’équipe rouge.,
Le contrôle final oblige les organisations à évaluer la force globale de leurs défenses (la technologie, les processus et les personnes) en effectuant régulièrement des tests de pénétration externes et internes. Cela leur permettra d’identifier les vulnérabilités et les vecteurs d’attaque qui peut être utilisé pour exploiter des systèmes.
Pourquoi est-ce essentiel? Les attaquants peuvent exploiter l’écart entre les bonnes intentions défensives et leur mise en œuvre, comme la fenêtre de temps entre l’annonce d’une vulnérabilité, la disponibilité d’un correctif fournisseur et l’installation d’un correctif., Dans un environnement complexe où la technologie évolue constamment, les organisations doivent tester périodiquement leurs défenses pour identifier les lacunes et les corriger avant qu’une attaque ne se produise.
mise en œuvre des contrôles: une approche pragmatique
obtenir de la valeur des contrôles de sécurité critiques de la CEI ne signifie pas nécessairement mettre en œuvre les 20 contrôles à la fois. Peu d’organisations disposent du budget, des ressources humaines et du temps nécessaires pour mettre en œuvre l’ensemble des contrôles simultanément., Une approche plus pragmatique de la mise en œuvre des contrôles comprend les étapes suivantes:
- découvrez vos actifs d’information et Estimez leur valeur. Effectuez une évaluation des risques et réfléchissez aux attaques potentielles contre vos systèmes et vos données (y compris les points d’entrée initiaux, la propagation et les dommages). Priorisez les contrôles CIS autour de vos actifs les plus risqués.
- Comparez vos contrôles de sécurité actuels aux contrôles CIS. Notez chaque domaine où aucune capacité de sécurité n’existe ou où des travaux supplémentaires sont nécessaires.,
- élaborez un plan pour adopter les nouveaux contrôles de sécurité les plus précieux et améliorer l’efficacité opérationnelle de vos contrôles existants.
- obtenir l’adhésion de la direction pour le plan et former des engagements sectoriels pour le soutien financier et personnel nécessaire.
- mettre en Œuvre les contrôles. Gardez un œil sur les tendances qui pourraient introduire de nouveaux risques pour votre organisation. Mesurez les progrès et la réduction des risques, et communiquez vos conclusions.
vous voulez en savoir plus sur 20 contrôles de sécurité critiques?, Visitez le site web officiel de la CEI, Centre de la Sécurité sur Internet: https://www.cisecurity.org/controls/
