Les fournisseurs de sécurité doivent cesser de faire plus de mal que de bien

  • Oct 07, 2023

Opinion: Et si l'industrie de la sécurité fonctionnait selon un principe de base: « D'abord, ne pas nuire? »

Vidéo: Ce que les fournisseurs de sécurité peuvent faire pour gagner en crédibilité

Sécurité

  • 8 habitudes des travailleurs à distance hautement sécurisés
  • Comment trouver et supprimer les logiciels espions de votre téléphone
  • Les meilleurs services VPN: comment se comparent les 5 meilleurs?
  • Comment savoir si vous êtes impliqué dans une violation de données – et que faire ensuite

Tout comme les médecins, fournisseurs de sécurité prescrire des remèdes aux maux de leurs clients.

Contrairement aux médecins, non Le serment d'Hippocrate existe pour les fournisseurs de sécurité. Et si notre industrie fonctionnait selon un principe de base tel que « D’abord, ne pas nuire? » Au lieu de cela, les fournisseurs de sécurité continuent d'ajouter de nouveaux des couches de complexité, et donc de nouvelles surfaces d'attaque, dans le but de résoudre un problème de sécurité sur la pile ci-dessous.

Leur justification? Que c’est mieux que ne rien faire ou mieux que ce que le client avait mis en place la veille.

Lire aussi: Cybersécurité: Comment concevoir une stratégie gagnante

Cet argument est myope et témoigne d’un manque de compréhension du risque qu’ils font courir à leurs clients. Est-ce intentionnel ou simple ignorance de la part des vendeurs? Et que peuvent faire les entreprises pour se protéger? Comment parvenir à une nouvelle philosophie industrielle de la cybersécurité, axée sur des solutions viables et engagée à ne causer aucun préjudice?

Le remède est pire que le mal

Apple, Google et Microsoft ont dépensé des millions de dollars, tant en technologie qu'en développeurs, pour verrouiller le système d'exploitation et construire des sous-systèmes de résilience pour rendre l'exploitation très coûteuse pour l'attaquant en termes de temps et de travail -- par exemple exemple, jailbreak ou évasion du bac à sable.

Et pourtant, les fournisseurs de sécurité (y compris bon nombre des plus grandes marques de sécurité des points finaux, des réseaux et des conteneurs) introduisent de nouvelles vulnérabilités et des risques supplémentaires en brisant les limites de sécurité par défaut établies dans toutes les principales opérations systèmes.

De nombreux fournisseurs de sécurité des points finaux et des réseaux introduisent de nouvelles surfaces d'attaque en ajoutant de la complexité. Au lieu de s’intéresser à la cause profonde d’un problème, ils continuent de se diversifier et d’appliquer des solutions ponctuelles.

Parfois, ces solutions enfreignent les principes de conception sécurisée par défaut établis par les fournisseurs de plateformes. Les fournisseurs de logiciels de point final et antivirus qui n’utilisent pas la séparation des privilèges et le sandboxing créent donc une nouvelle et vaste surface d’attaque au niveau de privilèges le plus élevé du point final.

Les appliances de sécurité réseau sont essentiellement Logiciel antivirus intégrés au point d'observation critique d'un réseau et souffrent du même diagnostic que ci-dessus.

Les fournisseurs de sécurité d'infrastructure exposent les flux de données des machines virtuelles invitées à un analyseur complexe exécuté sur l'hôte avec les privilèges root. Le fournisseur de sécurité de conteneurs Le corollaire de cela serait d'exposer les flux de données d'un conteneur à un agent s'exécutant avec un niveau de privilège élevé sur l'hôte.

En plus des comportements clairement à risque ci-dessus, il existe tout un sous-ensemble de solutions que j’appelle homéopathiques. Essentiellement, ces mesures ne font aucun mal, mais ne résolvent aucun problème non plus. Vous pouvez répertorier en toute sécurité la plupart des solutions de gouvernance, de risque et de conformité (GRC) dans ce sous-ensemble.

Lire aussi: Sélection des fournisseurs: ce qui doit figurer dans une bonne politique

En tant qu'industrie, nous ne rendons pas service à nos clients et à la confiance qu'ils nous accordent lorsque nous non seulement résolvons leurs véritables problèmes de sécurité, mais que nous les exposons à bien pire. Cet appareil réseau sur le port Tap représente un risque systémique d’ordre plus élevé que tout ce qu’ils ont enduré la veille de son installation.

Huile de serpent ou solution? Comment faire la différence

D'après mon expérience, beaucoup professionnels de l'informatique d'entreprise se sentent confus par les affirmations des vendeurs et les attaques contradictoires qu’ils se lancent.

Voici quelques conseils et questions qui vous aideront à vous débarrasser du bourbier de messages contradictoires et à découvrir la vérité derrière le battage médiatique.

  1. Dans quelle mesure le produit est-il facile à acquérir ? Si le logiciel est gardé secret, méfiez-vous. Les logiciels non testés en externe sont susceptibles d’avoir des défauts ou des squelettes invisibles dans le placard proverbial.
  2. Le produit est-il écrit dans un langage géré? Les langages gérés comme C#, Python et Go sont beaucoup moins susceptibles de souffrir de problèmes de corruption de mémoire que C ou C++.
  3. Quels sont les composants open source et tiers du produit ? Comprendre l'équilibre entre les éléments propriétaires et open source et les risques associés. Demandez un rapport d'analyse FOSS, un outil comme FOSSologie ou similaire. Assurez-vous de les tenir responsables des composants FOSS ou tiers obsolètes.
  4. Le fournisseur déploie-t-il des pratiques de développement sécurisé (SDL)? Renseignez-vous sur leur processus SDL et les mesures d'audit du code. Obtenez une confirmation documentée.
  5. Le produit brise-t-il la conception de sécurité par défaut du système d'exploitation ? Tout produit fonctionnant en dehors des limites bien établies du système d’exploitation créera plus de problèmes de sécurité qu’il n’en résoudra. Demandez-vous s'ils exécutent des analyseurs complexes dans des bacs à sable et utilisent la séparation et le courtage des processus de privilèges? Un « oui » ferme, c’est ce que vous voulez entendre. Le produit désactive-t-il les technologies d'atténuation des exploits telles que la randomisation de la disposition de l'espace d'adressage (ASLR)? Un non catégorique dans ce cas.

Une prescription pour les vendeurs

  1. Utilisez les paradigmes du système d’exploitation pour la sécurité. Les fournisseurs de systèmes d’exploitation ont travaillé dur et réalisé l’investissement. Profitez de la sécurité stricte qu’ils déploient. Restez en mode utilisateur et améliorez l’hygiène de sécurité.
  2. Utilisez les principes de développement sécurisé établis. Obtenez des conseils à ce sujet! (N'hésitez pas à me contacter directement pour vous présenter les meilleurs consultants en talents.)
  3. Soyez transparent. Embauchez des chercheurs, obtenez des commentaires concrets et mettez votre produit à la disposition de chercheurs externes.
  4. Composants à risque du bac à sable. Utilisez la séparation des privilèges et négociez les tâches complexes vers des processus de travail en bac à sable.
  5. Tiens-toi à jour. De nombreux fournisseurs utilisent du code et des bibliothèques open source ou tiers obsolètes qui ouvrent de nouvelles surfaces d'attaque dans le logiciel.

À la fin...

Nous devons opérer un changement éthique dans le secteur de la cybersécurité. La majorité des solutions s’apparentent aux « remèdes » saignants des âges sombres. Considérez-vous chanceux si vous n'en mourez pas.

Je suis dans cette industrie depuis plus de 20 ans. Notre boussole morale est brisée et nous devons agir pour le bien commun plutôt que pour notre auto-promotion et remplir nos poches. Nous devons agir avant un événement massif de type « extinction ». UN rançongiciel à propagation automatique L'attaque pourrait un jour se propager à l'aide d'une vulnérabilité antivirus ou via un dispositif de sécurité réseau qui infecterait toutes les pièces jointes des e-mails entrants dans son sillage.

Lire aussi: Les 10 meilleures façons de sécuriser votre téléphone Android

Nous ne pouvons pas nous permettre une telle catastrophe. Je mets au défi mes collègues leaders du secteur de la sécurité d’apporter les changements nécessaires pour faire évoluer le secteur dans notre intérêt à tous.

Sinan Eren est directeur général de Fide. C'est un entrepreneur en série avec plus d'une décennie d'expérience dans le domaine de la sécurité, travaillant pour Turkcell, Entercept (acquis par McAfee), Immunity Inc. et Preto Inc. Sinan est titulaire d'un diplôme de l'Université technique d'Istanbul et est co-auteur du livre populaire Le manuel des Shellcoders.

13 technologies plus sûres que les mots de passe

Histoires connexes

  • Qu’est-ce qu’un malware? Tout ce que vous devez savoir sur les virus, chevaux de Troie et logiciels malveillants
  • Services VPN 2018: Le guide ultime pour protéger vos données sur Internet
  • Sécurité 101: voici comment garder vos données privées, étape par étape