La National Security Agency (NSA) et la US Cyber Defense Agency (CISA) ont publié un nouvel avis conjoint sur les questions urgentes de cybersécurité. Les deux agences ont souligné des problèmes liés aux logiciels et aux configurations informatiques dans plusieurs agences gouvernementales américaines tout en fournissant des recommandations aux clients et aux fabricants.
Suite à de récents avertissements concernant la menace « BlackTech » contre les routeurs Cisco, la National Security Agency (NSA) et la Computer Information Security Association (CISA) ont publié un nouvel avis conjoint identifiant les dix principales « mauvaises configurations de réseau » qui conduisent à des intrusions et des incidents de sécurité. L'annonce indique que les équipes rouges (simulation d'attaques) et bleues (analyse des systèmes informatiques) des deux agences américaines ont travaillé « ces dernières années » pour évaluer les organisations et identifier les problèmes les plus courants dans les configurations informatiques.
Les analystes de la National Security Agency et de la CISA ont passé des années à essayer de comprendre comment les acteurs malveillants accèdent, se déplacent latéralement et « ciblent » les « systèmes ou informations sensibles » des agences gouvernementales américaines aux niveaux fédéral et local. Ils ont sondé « de nombreux réseaux » appartenant au ministère de la Défense (DoD), aux agences exécutives civiles fédérales, aux gouvernements des États, locaux, tribaux et territoriaux (SLTT) et au secteur privé, à la recherche de problèmes de mauvaise configuration.
L'avis officiel répertorie les 10 erreurs de configuration réseau les plus courantes détectées par les équipes rouges et bleues de la NSA et de la CISA :
Configuration par défaut des logiciels et applications
Mauvaise séparation des autorisations utilisateur/administrateur
Surveillance insuffisante du réseau interne
Manque de segmentation du réseau
Mauvaise gestion des correctifs et des mises à jour
Contrôle d'accès au système de contournement
Les méthodes d'authentification multifacteur (MFA) sont faibles ou mal configurées
Listes de contrôle d'accès (ACL) insuffisantes pour les partages et services réseau
Mauvaise propreté des documents
Exécution de code sans restriction
Ces mauvaises configurations illustrent une tendance dangereuse de « faiblesses systémiques dans de nombreuses grandes organisations », y compris celles ayant des « cyber-postures » matures. Par conséquent, la NSA et la CISA encouragent les cyber-« défenseurs » et les administrateurs informatiques à mettre en œuvre les recommandations et les mesures d'atténuation contenues dans l'avis afin de réduire le risque d'attaques réussies par des cybercriminels et des acteurs APT.
Les recommandations indiquent que les administrateurs informatiques doivent supprimer les informations d'identification par défaut, renforcer les configurations, désactiver les services inutilisés et mettre en œuvre des contrôles d'accès stricts. De plus, des mesures de correction régulières et automatisées doivent être mises en œuvre, en particulier pour les vulnérabilités connues. Les comptes et autorisations administratifs doivent également être réduits, restreints, surveillés et régulièrement audités.
La CISA a également souligné les mesures informatiques « urgentes » que les fabricants de logiciels doivent prendre pour minimiser l'incidence des erreurs de configuration de sécurité, notamment l'élimination des mots de passe par défaut, l'adoption d'une approche de conception sécurisée dans le développement de logiciels, la mise à disposition gratuite de « journaux d'audit de haute qualité » pour les clients et l'authentification multifacteur (MFA) une fonctionnalité par défaut plutôt qu'une fonctionnalité facultative. L'agence fait également la promotion de sa campagne nationale Protect Our World récemment lancée, qui présente des moyens simples mais efficaces d'aider les gens à se protéger, ainsi que leurs familles et leurs entreprises, contre les cybermenaces.