Améliorer la visibilité des actifs
et détection de vulnérabilité sur les réseaux fédéraux

by Mark Harris Le 27 octobre 2022

Je rattrapais ma lecture sur les technologies gouvernementales l'autre jour et je suis tombé sur un nouveau conseil d'administration publié par la CISA concernant les étapes à suivre dès que possible pour se conformer à la politique de cybersécurité. Bien qu'ils notent que ce n'est pas l'ensemble complet des étapes qui doivent être entreprises sur le long terme, je pense que ce conseil d'administration est une déclaration basée sur la réalité selon laquelle il faut faire PLUS pour lutter contre le risque de cyber-intrusion et que PAS assez de progrès ont été fabriqués de manière organique au cours des 25 dernières années (depuis qu'Internet est devenu accessible à tous).

Extrait du Site Web CISA.gov:

« La présente directive opérationnelle contraignante a pour objet de faire des progrès mesurables vers l'amélioration de la visibilité des actifs de l'agence et des vulnérabilités associées. Bien que les exigences de la présente directive ne soient pas suffisantes pour des opérations de cyberdéfense complètes et modernes, elles sont une étape importante pour relever les défis de visibilité actuels au niveau de la composante, de l'agence et de l'entreprise FCEB. Les exigences de la présente directive portent sur deux activités principales essentiels pour améliorer la visibilité opérationnelle d'un programme de cybersécurité réussi : découverte des actifs et énumération des vulnérabilités.

• La découverte d'actifs est un élément constitutif de la visibilité opérationnelle, et elle est définie comme une activité par laquelle une organisation identifie les actifs IP adressables du réseau qui résident sur ses réseaux et identifie les adresses IP associées (hôtes). La découverte d'actifs est non intrusive et ne nécessite généralement pas de privilèges d'accès logique spéciaux.
• L'énumération des vulnérabilités identifie et signale les vulnérabilités suspectées sur ces actifs. Il détecte les attributs de l'hôte (par exemple, les systèmes d'exploitation, les applications, les ports ouverts, etc.) et tente d'identifier les versions logicielles obsolètes, les mises à jour manquantes et les mauvaises configurations. Il valide la conformité ou les écarts par rapport aux politiques de sécurité en identifiant les attributs de l'hôte et en les associant aux informations sur les vulnérabilités connues. La compréhension de la position de vulnérabilité d'un actif dépend de la possession des privilèges appropriés, qui peuvent être obtenus via des analyses basées sur le réseau authentifié ou un client installé sur le point de terminaison hôte.

Et le CA poursuit en détaillant les ACTIONS REQUISES nécessaires et les délais :

« Avant le 3 avril 2023, toutes les agences FCEB sont tenues de prendre les mesures suivantes sur tous les systèmes d'information fédéraux entrant dans le champ d'application de la présente directive :

1. 1. Effectuez une découverte automatisée des actifs tous les 7 jours. Bien que de nombreuses méthodes et technologies puissent être utilisées pour accomplir cette tâche, cette découverte doit au minimum couvrir l'ensemble de l'espace IPv4 utilisé par l'agence.
   2. Lancer l'énumération des vulnérabilités sur tous les actifs découverts, y compris tous les appareils nomades/itinérants découverts (par exemple, les ordinateurs portables), tous les 14 jours.

• CISA comprend que, dans certains cas, la découverte complète des vulnérabilités sur l'ensemble de l'entreprise peut ne pas se terminer en 14 jours. Les processus d'énumération doivent toujours être lancés à intervalles réguliers pour garantir que tous les systèmes de l'entreprise sont analysés à une cadence régulière dans cette fenêtre.
• Dans la mesure du possible et lorsque les technologies disponibles le permettent, toutes les énumérations de vulnérabilités effectuées sur les terminaux gérés (par exemple, les serveurs, les postes de travail, les ordinateurs de bureau, les ordinateurs portables) et les périphériques réseau gérés (par exemple, les routeurs, les commutateurs, les pare-feu) doivent être effectuées avec des informations d'identification privilégiées ( aux fins de la présente directive, les analyses authentifiées basées sur le réseau et les méthodes de détection de vulnérabilité basées sur le client ou l'agent sont considérées comme répondant à cette exigence).
• Toutes les signatures de détection de vulnérabilité utilisées doivent être mises à jour à un intervalle ne dépassant pas 24 heures à compter de la dernière mise à jour de signature publiée par le fournisseur.
• Lorsque la capacité est disponible, les agences doivent effectuer le même type d'énumération des vulnérabilités sur les appareils mobiles (par exemple, iOS et Android) et d'autres appareils qui résident en dehors des réseaux sur site de l'agence.
• Toutes les méthodes alternatives de découverte d'actifs et d'énumération des vulnérabilités (par exemple, pour les systèmes dotés d'équipements spécialisés ou ceux incapables d'utiliser des informations d'identification privilégiées) doivent être approuvées par CISA.

1. 1. Initier l'ingestion automatisée des résultats de l'énumération des vulnérabilités (c'est-à-dire les vulnérabilités détectées) dans le tableau de bord de l'agence CDM dans les 72 heures suivant la fin de la découverte (ou le lancement d'un nouveau cycle de découverte si la découverte complète précédente n'a pas été terminée).
   2. Développer et maintenir la capacité opérationnelle pour lancer la découverte d'actifs à la demande et l'énumération des vulnérabilités afin d'identifier des actifs spécifiques ou des sous-ensembles de vulnérabilités dans les 72 heures suivant la réception d'une demande de CISA et fournir les résultats disponibles à CISA dans les 7 jours suivant la demande.

• CISA comprend que, dans certains cas, les agences peuvent ne pas être en mesure d'effectuer une découverte complète des vulnérabilités sur l'ensemble de l'entreprise au cours de cette période. Il est toujours nécessaire de lancer le processus de dénombrement dans ce délai, car tous les résultats disponibles fourniront à la CISA et aux agences une connaissance de la situation en réponse aux menaces imminentes.

Alors, où en sommes-nous?

Fédéral ou Entreprise, nous devons tous renouveler nos efforts pour comprendre et documenter le DÉTAIL de ce sur quoi nous parions notre existence même et le rendre plus gérable, plus défendable et plus sûr. L'infrastructure numérique dont nous savons tous qu'elle alimente notre travail réel est devenue considérablement tactique, largement sous-gérée et sous-documentée et la confiance dans sa capacité à résister au stress (cyber ou opérationnel) continue de décliner.

NetBrain a réalisé ce même scénario maintenant appelé dans le BOD et offre la possibilité de découvrir automatiquement le réseau sur une base continue, et lorsqu'il est combiné avec notre superposition des comportements réellement souhaités (nous les appelons network intents), peut garantir que le réseau fournit la connectivité, les performances et les contrôles de sécurité en temps réel nécessaires pour se conformer au mandat CISA.