Top 10 des erreurs de configuration les plus courantes en cybersécurité, selon la NSA et la CISA
La CISA et la NSA, deux agences américaines spécialisées dans la cybersécurité, ont mis en ligne un nouveau rapport pour évoquer les 10 types d'erreurs de configuration les plus courantes en matière de cybersécurité. Découvrez cette liste dans cet article !
Cette liste a été établie suite aux différents retours d'expérience des équipes Red Team et Blue Team de la CISA et de la NSA, ainsi que de leurs équipes spécialisées dans la réponse aux incidents de sécurité. Les dix points détaillés dans ce rapport sont les suivants :
1. Configurations par défaut des logiciels et des applications
2. Séparation inadéquate des privilèges de l'utilisateur et de l'administrateur
3. Surveillance insuffisante du réseau interne
4. Absence de segmentation du réseau
5. Mauvaise gestion des correctifs
6. Contournement des contrôles d'accès au système
7. Méthodes d'authentification multifacteurs (MFA) insuffisantes ou mal configurées
8. Listes de contrôle d'accès (ACL) insuffisantes sur les partages et les services du réseau
9. Mauvaise hygiène des identifiants
10. Exécution de code sans restriction
A chaque fois, la CISA et la NSA donnent des exemples concrets, avec des noms d'outils, des pistes à suivre en guise de remédiation, ainsi que les références dans les frameworks MITRE ATT&CK Enterprise Mitigations et MITRE D3FEND. Bien qu'il y ait des recommandations évidentes qui ne vous surprendront pas, il y a des éléments très intéressants : ce qui devrait vous donner des idées pour, potentiellement, améliorer la sécurité de votre infrastructure.
Sommaire
Mauvaise gestion des privilèges
La NSA et la CISA ont pu constater qu'il y avait très souvent un nombre excessif de comptes avec des privilèges élevés, y compris des comptes de service. Dans certains cas, l'utilisateur agit en tant qu'utilisateur privilégié alors que ce n'est pas nécessaire.
Plusieurs recommandations sont précisées afin d'améliorer cette situation, notamment :
- Auditer les comptes utilisateurs
- Supprimer ceux qui ne sont plus nécessaires ou inactifs
- Limiter le nombre de comptes ayant la capacité à créer de nouveaux utilisateurs
- Bannir l'utilisation de comptes à privilèges pour les tâches du quotidien (pas besoin d'être admin pour lire vos e-mails ou les articles sur IT-Connect)
- Restreindre le nombre d'administrateurs local des machines Windows
- Exécuter les applications en tant que service, sans compter administrateur (attribuer uniquement les permissions nécessaires)
- Appliquer le principe du moindre privilège avec une politique Just-in-Time Access (JIT)
"Par exemple, la méthode d'accès "Just-in-time" permet d'obtenir un accès privilégié en cas de besoin et peut permettre l'application du principe du moindre privilège (ainsi que du modèle Zero Trust) en définissant une politique à l'échelle du réseau, pour désactiver automatiquement les comptes d'administrateurs au niveau de l'Active Directory. En cas de besoin, les utilisateurs individuels peuvent demander un accès à un système pour une durée déterminée, grâce à un processus de contrôle automatisé."
Les risques liés à ADCS (Active Directory Certificates Services)
Ce rapport met en lumière les risques liés à une mauvaise configuration d'une autorité de certification Active Directory via le rôle ADCS de Windows Server. Il est notamment question du service d'inscription Web et d'une mauvaise gestion des permissions sur les modèles de certificats. Un tiers malveillant pourrait réussir à obtenir un certificat pour la machine qu'il contrôle et ainsi passer pour un hôte de confiance auprès des autres machines de l'infrastructure.
"Des acteurs malveillants peuvent exploiter des configurations erronées de l'ADCS et/ou du modèle ADCS pour manipuler l'infrastructure de certification pour qu'elle émette des certificats frauduleux et/ou élever les privilèges des utilisateurs jusqu'à ceux d'administrateur de domaine."
Protégez vos partages de fichiers
Les permissions mal gérées sur les partages de fichiers peuvent permettre aux personnes malveillantes d'accéder à des informations sensibles, mais aussi de cartographier votre environnement afin d'identifier les serveurs et leurs partages.
À ce sujet, voici quelques-unes des recommandations faites par la CISA et la NSA :
- Appliquer le principe du moindre privilège
- Appliquer une politique de gestion des droits stricte pour donner un accès uniquement aux utilisateurs autorisés (la méthode AGDLP peut vous aider)
- Appliquer des permissions restrictives sur les partages où il y a des données sensibles telles que des clés privées
- Ne pas utiliser le même mot de passe Administrateur local sur plusieurs machines
- Utiliser des mots de passe robuste : l'hygiène informatique, c'est essentiel
- Etc.
Tout ceci rejoint également la partie précédente de cet article.
Attention aux protocoles : NTLM, LLMNR, SMB, etc.
Par ailleurs, la NSA et la CISA recommandent de limiter l'utilisation de certains protocoles et de contrôler la configuration des protocoles que vous utilisez. On peut citer à titre d'exemple la nécessité de bloquer les protocoles vulnérables comme NTLM et LLMNR, mais aussi de s'assurer que la base SAM des machines Windows soit protégée contre l'énumération anonyme.
Il est également recommandé de configurer les machines Windows pour qu'elles forcent la signature SMB afin d'assurer l'authenticité et l'intégrité des messages échangés via le protocole SMB. Par défaut, ce n'est pas le cas même sur les dernières versions de Windows. "Si les serveurs SMB ne forcent pas la signature SMB, les acteurs malveillants peuvent utiliser des techniques de type "machine-in-the-middle", telles que le relais NTLM."
Ce rapport de 44 pages est disponible sur cette page. Tous les points ne sont pas abordés dans cet article, mais j'espère vous avoir donné envie de lire ce rapport ! 🙂
