BLOG

Conséquences imprévues du COVID-19 : Exposition opérationnelle

Miniature de Lori MacVittie
Lori MacVittie
Publié le 20 avril 2020

Des temps extraordinaires nécessitent des mesures extraordinaires.

De nombreuses personnes ont prononcé cette phrase à la lumière de la COVID-19. L’une de ces mesures extraordinaires a marqué le passage au travail à distance pour beaucoup d’entre nous. Dans ce contexte, l’accès aux applications critiques est souvent discuté. Mais nous entendons rarement les détails sur la manière dont cet accès a été rendu possible.

L’un des moyens par lesquels l’accès a été rendu possible est l’ouverture du RDP. Il n’est pas surprenant que SANS ait noté que Shodan a constaté une augmentation marquée du nombre de ports RDP ouverts sur Internet à la fin du mois de mars. De nombreuses personnes s’appuient sur cette option la plus basique pour permettre l’accès à distance directement aux postes de travail.

Bien que RDP soit probablement le protocole le plus souvent mentionné en matière d’accès à distance à l’heure actuelle, il semble que les consoles opérationnelles de l’informatique soient également autorisées à traverser sans entrave le périmètre de l’entreprise. Le même blog SANS contient un graphique très intéressant qui, en plus de l’augmentation des ports RDP ouverts, montre une augmentation significative des ports ouverts fonctionnant sur 8080.

Désormais, 8080 est le port « alternatif au HTTP ». Quiconque a déployé des applications Web reconnaîtra qu'il s'agit en quelque sorte de la valeur par défaut pour les frameworks et les consoles opérationnelles.   

D’une manière générale, les consoles opérationnelles ont leurs propres méthodes de contrôle d’accès. Les identifiants sont obligatoires, il existe donc des moyens de limiter le nombre de personnes pouvant soudainement démarrer un cluster, fermer une application ou apporter des modifications à une configuration en cours d'exécution. Le problème, bien sûr, est que lorsque nous examinons le nombre d'incidents survenus en raison d'un manque de contrôle d'accès (c'est-à-dire sans identifiants requis) pour les consoles opérationnelles, il ne fait aucun doute que certaines de ces applications opérationnelles fonctionnent en mode ouvert, sans aucune protection entre elles et le grand méchant Internet.

Il est important de se rappeler que les consoles opérationnelles sont, fondamentalement, des applications . Elles sont composées de composants provenant de sources externes, comme toute autre application. Elles sont développées à l'aide des mêmes bibliothèques et frameworks que toute autre application. Elles sont déployées sur la même plateforme que toute autre application. 

Ce qui signifie qu’ils doivent être protégés, comme toute autre application, car ils sont vulnérables aux mêmes exploits que toute autre application.

Nous ne pouvons pas simplement compter sur le déplacement des applications opérationnelles vers un autre port. À l’ère de l’automatisation, où les mauvais acteurs ont accès à de vastes réseaux de robots pour rechercher les ports ouverts, ils seront trouvés. Couplé à la possibilité d'identifier une réponse sur n'importe quel port donné, les applications seront trouvées sur des ports non standard. La sécurité par l’obscurité n’est pas une stratégie viable aujourd’hui, car le temps et l’investissement financier nécessaires pour trouver des cibles sont minimes.

Nous savons grâce à nos recherches qu’un pourcentage important d’applications sont protégées par un pare-feu d’application Web. Ce que nous ne savons pas, c'est quel pourcentage de ces applications sont opérationnelles ou orientées vers le métier.

Il est peut-être temps de commencer à le découvrir.

À mesure que les organisations progressent dans leur parcours de transformation numérique , elles vont s’appuyer davantage sur des applications opérationnelles pour créer, déployer et exploiter les applications et les services d’application qui représentent l’entreprise. Ces applications opérationnelles doivent être traitées avec la même criticité que toute autre application exprimant une fonction commerciale. Ils doivent être protégés contre toute utilisation malveillante, car ils peuvent avoir et auront un impact direct sur l’entreprise s’ils sont utilisés à mauvais escient. 

Beaucoup de gens disent que c’est la nouvelle norme ; que le travail à distance sera plus acceptable et même préférable pour de nombreuses organisations une fois cette pandémie passée. Le travail à distance inclut les opérateurs d’applications et d’infrastructures qui ont besoin d’accéder aux consoles qui leur permettent de garder le contrôle. Mais ces consoles, ces applications opérationnelles, doivent être protégées contre les abus et les utilisations abusives pour que cela devienne une réalité.  Un ensemble de protections de base devrait :

  • Exiger une authentification
  • Utilisez SSL/TLS pour sécuriser la communication
  • Soyez attentif à l'accès à l'API et sécurisez-le également
  • Protégez-vous contre l'exploitation des vulnérabilités et les abus par les robots avec les services d'application appropriés

Il est (grand) temps de vous assurer que votre stratégie de sécurité inclut les applications opérationnelles ainsi que les applications critiques pour l’entreprise. Parce qu’à long terme, les applications opérationnelles seront des applications critiques pour l’entreprise.

Restez en sécurité là-bas. Personnellement et opérationnellement.