Le blâme d’un stagiaire de SolarWinds est le symptôme de «défaillances de sécurité»

  • FrançaisFrançais



  • Lors d’un témoignage devant les comités de surveillance de la Chambre des États-Unis et de la sécurité intérieure la semaine dernière, les anciens et actuels PDG de SolarWinds ont accusé un stagiaire d’avoir créé un mot de passe de serveur FTP faible et de l’avoir divulgué sur GitHub – un acte qui peut ou non avoir contribué à un piratage de la chaîne d’approvisionnement qui impacté les utilisateurs de la plate-forme de surveillance des performances informatiques Orion de la société de technologie.

    Mais les leaders d’opinion de l’Infosec disent que blâmer un stagiaire ignore les véritables racines du problème, y compris les politiques d’informations d’identification insuffisantes et les pratiques de gestion des accès – comme en témoigne en partie la simplicité du mot de passe lui-même: «solarwinds123».

    «En rejetant le blâme sur un stagiaire pour avoir défini un mot de passe de production en 2017… Solarwinds a révélé des échecs de cybersécurité profonds et systémiques à de nombreux niveaux de l’organisation», a déclaré Marc Rogers, directeur exécutif de la cybersécurité chez Okta. «La capacité de ce stagiaire à définir un mot de passe« solarwinds123 »sur un système de production critique met en évidence des problèmes fondamentaux liés à la politique de mot de passe, à la gestion des systèmes et à l’audit.»

    «Tous ces échecs suggèrent une organisation aux prises avec des problèmes de sécurité systémiques, un programme de gestion de la sécurité inefficace et un manque de contrôles techniques ou de conformité aux normes de l’industrie», a poursuivi Rogers. «En se concentrant sur le fait qu’un stagiaire a divulgué le mot de passe via son GitHub privé, il manque également clairement le point. Oui, cet événement était troublant, mais le voyage qu’il a fallu pour y arriver a été jonché d’échecs et d’occasions manquées qui l’auraient empêché de se produire en premier lieu.

    Interrogé sur «solarwinds123» lors de l’audience du Congrès de vendredi dernier, l’ancien PDG Kevin Thompson a qualifié le mot de passe «d’erreur commise par un stagiaire. Ils ont enfreint nos politiques relatives aux mots de passe et ont publié ce mot de passe… sur leur propre compte GitHub privé. Dès qu’il a été identifié et porté à l’attention de mon équipe de sécurité, ils l’ont retiré. »

    Le PDG actuel de SolarWinds, Sudhakar Ramakrishna, qui a remplacé le Thompson récemment retraité le 7 décembre 2020, a également déclaré qu’un stagiaire avait défini le mot de passe de l’entreprise sur l’un de ses serveurs GitHub en 2017. Pendant tout ce temps, les informations d’identification de SolarWinds n’ont jamais changé. .

    «Ainsi, un stagiaire qui n’a travaillé que 3 mois (2017) avait accès au serveur FTP et les informations d’identification n’ont pas été permutées après son départ. Donc, solarwinds123 est le mot de passe pour plus de 2,5 ans, » tweeté chercheur indépendant Vinoth Kumar, ajoutant un emoji qui rit si fort. C’est Kumar qui a découvert le mot de passe exposé, accessible en ligne depuis au moins juin 2018, jusqu’à ce que SolarWinds corrige le problème en novembre 2019.

    La première activité suspecte liée à la chaîne d’approvisionnement SolarWinds L’attaque du malware Sunburst a eu lieu en septembre 2019, avant que le mot de passe du serveur ne soit retiré de GitHub. Cependant, aucune connexion à l’attaque SolarWinds et au mot de passe divulgué n’a été établie jusqu’à présent. De plus, une déclaration que SolarWinds a fournie à SC Media a déclaré que le mot de passe était en fait pour une application tierce qui n’était pas connectée aux systèmes informatiques de SolarWinds – bien que cela n’ait pas été mentionné lors du témoignage public.

    «Nous avons déterminé que les informations d’identification utilisant ce mot de passe étaient destinées à une application de fournisseur tiers et non à l’accès aux systèmes informatiques SolarWinds», indique le communiqué. «De plus, l’application tierce ne s’est pas connectée aux systèmes informatiques SolarWinds. En tant que tel, nous avons déterminé que les informations d’identification utilisant ce mot de passe n’avaient rien à voir avec l’attaque Sunburst ou une autre violation de nos systèmes informatiques. »

    Le mot de passe gaffe a exposé SolarWinds au ridicule de la représentante Katie Porter, D-Californie, qui a déclaré à Ramakrishna: «J’ai un mot de passe plus fort que Solarwinds123 pour empêcher mes enfants de regarder trop de YouTube sur leur iPad.»

    Les experts d’Infosec ont également réprimandé l’entreprise pour son manque de références solides.

    «Les derniers développements concernant le mauvais choix de mot de passe du stagiaire SolarWinds mettent en évidence la mauvaise hygiène des mots de passe et l’importance pour les entreprises de donner la priorité à la gestion des mots de passe», a déclaré Joseph Carson, scientifique en chef de la sécurité et RSSI-conseil chez Thycotic.

    «L’hygiène des mots de passe devrait faire partie de la formation des employés et de la formation sur la cyber-sensibilisation», a poursuivi Carson. “Les organisations doivent aider les employés à déplacer les mots de passe en arrière-plan afin qu’ils n’aient pas à choisir ou à se souvenir des mots de passe.” De cette façon, ils ne font pas d’erreurs classiques comme l’implémentation de mots de passe faibles ou recyclés, ou même des variations légèrement modifiées de mots de passe communs ou réutilisés.

    «De nombreux gestionnaires de mots de passe sont gratuits», a déclaré Carson. “Utilisez des mots de passe longs uniques, tels que des phrases de passe, et utilisez un gestionnaire de mots de passe pour que tous vos mots de passe restent uniques mais faciles…”

    Comme l’a noté Kumar dans son tweet, SolarWinds a également commis une grave erreur en ne faisant pas pivoter ses mots de passe. «En admettant que le mot de passe a été effectivement mis en œuvre en 2017 et n’a pas été modifié avant 2020, l’ancien PDG de Solarwinds a clairement indiqué que ces problèmes étaient probablement de longue date et systémiques», a déclaré Rogers.

    Il y a aussi la question de savoir combien d’accès au réseau les stagiaires temporaires de bas niveau auraient dû être accordés en premier lieu. Rogers a qualifié cela de «l’échec complet de la mise en œuvre ou de l’application du contrôle d’accès basé sur les rôles (RBAC)», demandant «À quels autres systèmes de production ce stagiaire, ou d’autres à ce niveau, ont-ils accès?»

    «D’après mon expérience, les organisations qui permettent aux employés débutants un accès privilégié à des systèmes de production comme celui-ci sont généralement un« Far West »lorsqu’il s’agit de contrôler l’accès pour tous les systèmes, pas seulement pour un seul.

    «Toute entreprise dotée d’un modèle de sécurité efficace basé sur les rôles, d’une technologie qui applique la RBAC et d’un audit rigoureux des journaux d’accès des utilisateurs n’aura pas besoin de prendre en compte les activités des stagiaires, car ce problème particulier aura déjà été résolu», a poursuivi Rogers.

    Au lieu ou en plus de l’accès basé sur les rôles, les entreprises pourraient également adopter une approche basée sur les risques, en plaçant le plus de contrôles d’accès sur leurs actifs, joyaux de la couronne – ceux qui généreraient les conséquences les plus graves en cas de violation et d’accès, a déclaré Brandon Hoffman, RSSI chez Netenrich.

    «De plus, comprendre l’identité et contrôler l’accès d’un point de vue fédéré aurait également permis d’éviter ce problème», a poursuivi Hoffman. «Ces deux tâches sont des processus de sécurité de base qui doivent être mis en place avant que d’autres contrôles plus complexes ne soient mis en œuvre. Il est probable que SolarWinds dispose de ces processus, mais peut-être qu’ils n’ont pas été mis à jour à la fréquence requise ou que quelque chose est passé entre les mailles du filet. »

    La nécessité de tels contrôles met en évidence l’importance de concepts tels que la gestion des identités et des accès (IAM), la gestion des accès privilégiés (PAM) et les politiques de confiance zéro.

    «La gestion des identifications et des accès est le sale boulot effectué dans les tranchées de nos programmes de cybersécurité», a déclaré Rick Holland, RSSI et vice-président de la stratégie chez Digital Shadows. «Les concepts de moindre privilège et d’authentification multifacteur ne sont pas passionnants, mais essentiels. L’IAM à l’échelle de l’entreprise est un défi avec des systèmes disparates, mais devrait être une priorité absolue. »

    Bien sûr, même avec de meilleurs mots de passe et une meilleure gestion des accès, des incidents se produiront toujours, c’est pourquoi les entreprises doivent également se concentrer sur la résilience et l’atténuation pour éviter de devenir les prochains SolarWinds. «Les mauvais mots de passe seront sélectionnés et risquent inévitablement de fuir», a déclaré Tim Wade, directeur technique de l’équipe CTO chez Vectra. «Le succès consiste à détecter, à réagir et à se remettre d’un tel événement avant que des dommages matériels ne soient causés, à ne pas faire la course d’un imbécile pour empêcher les stagiaires d’agir comme des stagiaires.»

    «Donc, si, oui, la politique et les contrôles nécessaires pour se protéger contre une mauvaise sélection de mots de passe et les fuites sont précieux, ce qui est plus révélateur, c’est que l’on semble s’attendre à ce que la sécurité soit capable d’éliminer l’erreur humaine. Ce ne sera pas le cas, et pourtant, nous devons être en sécurité malgré cela.

    En fin de compte, lorsqu’une cyberattaque se produit, l’entreprise victime et ses dirigeants doivent accepter la responsabilité et l’obligation de rendre des comptes, ont déclaré les experts. Cela signifie ne pas faire d’un stagiaire un bouc émissaire.

    «Ce n’est pas un problème interne, mais plutôt un problème de gestion», a déclaré Rogers. «Les organisations devraient… considérer l’impact à long terme de blâmer les membres du personnel subalternes pour des échecs de cette ampleur. La confiance est un élément clé de tout programme de sécurité réussi. En tant que responsables de la sécurité, nous sommes convaincus que nos employés se manifesteront en cas d’incident, et nos employés sont convaincus que nous ne tirerons pas sur le messager ni ne le punirons pour nos échecs collectifs. Sans cette confiance, tout programme de sécurité est un château construit sur le sable. »

    “Le … buck s’arrête ici, l’analogie est appropriée”, a déclaré Holland. ” Sarbanes-Oxley a établi la responsabilité du PDG et du directeur financier pour les documents financiers, mais la responsabilité doit s’étendre au-delà. Le PDG est responsable de tout environnement qui permet à un employé, à un stagiaire ou à un entrepreneur de faire une erreur. Nous avons besoin de plus de responsabilité du PDG et de moins de blâme sur les victimes. »

    «À cent pour cent, c’était une mauvaise performance», a déclaré Hoffman. «Il existe un décalage important entre la gestion d’entreprise et la sécurité. Avoir une forte conscience de la sécurité serait lorsque la haute direction comprend qu’une brèche ne peut pas être liée aux actions d’un seul individu – la plupart du temps. Si des contrôles appropriés étaient en place, l’action d’une seule personne, en particulier un stagiaire, n’aurait pas créé un problème aussi important. »

    Le journaliste principal Joe Uchill a contribué à ce rapport.

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *