Insuffisance des listes de contrôle d'accès sur les partages et les services du réseau
Cet article fait partie d'une série dans laquelle nous examinons un récent avis conjoint sur la cybersécurité de la NSA et de la CISA sur les principaux problèmes de cybersécurité identifiés lors d'exercices en équipe rouge/bleue menés par ces organisations. Dans cet article, vous trouverez un examen plus approfondi du problème spécifique, avec des scénarios réels où il s'applique, ainsi que des stratégies d'atténuation qui peuvent être adoptées pour le limiter ou le surmonter. Cet article développe les informations fournies par le rapport NSA/CISA.
-
Les listes de contrôle d'accès (ACL) sont essentielles pour définir les autorisations d'accès aux partages et aux services du réseau. Pourtant, comme le signalent la National Security Agency (NSA) et la Cybersecurity and Infrastructure Security Agency (CISA), des listes de contrôle d'accès insuffisantes ou mal configurées constituent une erreur de configuration très répandue en matière de cybersécurité. Cet article se penche sur le rôle essentiel des ACL, sur les problèmes qu'elles posent couramment et sur les stratégies permettant de renforcer la sécurité grâce à une gestion efficace des ACL.
Comprendre le rôle des listes de contrôle d'accès dans la cybersécurité
Les listes de contrôle d'accès sont essentielles au maintien de l'intégrité et de la confidentialité des données. Une gestion insuffisante des listes de contrôle d'accès peut entraîner des accès non autorisés et des violations de données, ce qui en fait des cibles privilégiées pour les acteurs malveillants.
Les listes de contrôle d'accès peuvent être aussi granulaires ou de haut niveau que nécessaire, en spécifiant des utilisateurs individuels ou des groupes entiers d'utilisateurs. Ceci est utile pour un contrôle plus fin ou pour faciliter l'administration des ACL au niveau de l'organisation. Elles reflètent souvent, d'une manière ou d'une autre, la structure organisationnelle (les départements ou les équipes correspondent à des groupes spécifiques, par exemple).
L'aspect administratif des ACL
La gestion des listes de contrôle d'accès implique un effort administratif important. Par exemple, la modification des listes de contrôle d'accès pour refléter les changements dans les exigences d'accès peut être un processus complexe, nécessitant des mises à jour manuelles ou des systèmes automatisés. Cette surcharge peut parfois conduire à un accès trop permissif dans l'intérêt de la commodité, créant ainsi des vulnérabilités potentielles en matière de sécurité.
Risques et erreurs de configuration dans le monde réel
- Accès non autorisé aux données : Les attaquants exploitent les faiblesses de l'ACL pour accéder à des données sensibles sur des lecteurs partagés, en utilisant des outils tels que l'énumération des partages ou des logiciels malveillants personnalisés.
- Menaces de ransomware : Les acteurs des rançongiciels utilisent des outils de recherche de vulnérabilités pour identifier et exploiter les partages en libre accès.
- La commodité au détriment de la sécurité : Des autorisations trop larges dues à la commodité administrative peuvent entraîner des failles de sécurité involontaires.
- Suppression inadéquate de l'accès : Souvent, les systèmes sont plus efficaces pour accorder l'accès que pour le révoquer, ce qui entraîne des risques potentiels pour la sécurité lorsque les utilisateurs quittent l'organisation.
Bonnes pratiques pour une gestion efficace des LCA
- Modèle du moindre privilège : Mettre en place des listes de contrôle d'accès basées sur le principe du moindre privilège, en n'accordant que l'accès nécessaire.
- Audits et mises à jour réguliers : Examinez et mettez à jour en permanence les listes de contrôle d'accès afin de les adapter à l'évolution des rôles et des besoins de l'organisation. Recherchez les informations critiques stockées dans les partages accessibles, comme les informations d'identification ou d'autres informations privilégiées.
- Surveillance complète : Conservez des journaux détaillés pour détecter et enquêter efficacement sur les incidents de sécurité. Évitez toute exception aux listes de contrôle d'accès (par exemple, ne consignez pas les modifications administratives).
- Gestion automatisée des LCA : Utiliser des logiciels ou des outils pour la gestion des LCA afin de minimiser les erreurs humaines et de rationaliser les processus.
- Gestion centralisée des listes de contrôle d'accès : Outre l'automatisation, la gestion des listes de contrôle d'accès doit être centralisée afin de faciliter la gestion des autorisations et des accès en un seul endroit, plutôt que de les répartir sur plusieurs systèmes.
- Règles basées sur les groupes : Gérer les listes de contrôle d'accès en fonction des groupes d'utilisateurs pour simplifier l'administration et garantir un contrôle d'accès cohérent.
- Documentation détaillée : Conservez des enregistrements détaillés des règles de l'ACL, y compris leur objectif, leur date de création et leur auteur, afin de faciliter la gestion et la révision.
- Facilité d'intégration des listes de contrôle existantes avec les systèmes tiers : Les nouveaux systèmes fournissant des ressources partagées doivent s'intégrer avec le moins de friction possible dans l'infrastructure existante, plutôt que de nécessiter une personnalisation ou des scénarios spéciaux. Cette exigence entraînera moins de bogues dans le profil de sécurité de l'organisation.
- Mettre l'accent sur une forte culture de la sécurité : Plus que d'autres erreurs de configuration, les listes de contrôle d'accès sont vulnérables aux raccourcis de commodité, car ceux-ci proviennent principalement de l'équipe informatique. Une formation et des révisions régulières devraient être exigées.
Réflexions finales
Une bonne gestion des listes de contrôle d'accès est essentielle à une stratégie de cybersécurité solide. Les organisations doivent rester vigilantes lors de la définition, de la révision et de la mise à jour des listes de contrôle d'accès, afin de s'assurer qu'elles limitent efficacement les accès non autorisés et les violations de données.