Les utilisateurs de votre site WordPress peuvent-ils nuire à votre entreprise ?
Publié: 2021-03-23Vos employés peuvent-ils être une menace ? Oui, très probablement, mais dans l'ensemble sans le vouloir.
J'ai écrit récemment sur les statistiques qui mettent en évidence la plus grande source de vulnérabilités de WordPress.
Cependant, une autre partie importante de votre infrastructure est tout aussi vulnérable, sinon plus, et que nous oublions trop souvent - nos utilisateurs - qui sont directement ciblés par les mauvais acteurs.
Table des matières
- Les leçons que nous pouvons tirer de la CIA
- Pourquoi les attentats ? Que recherchent-ils ?
- D'où et comment y accèdent-ils ?
- Que puis-je faire de tout cela ?
- Que pouvons-nous apprendre de l'approche de la CIA ?
- Confidentialité
- Commencez par renforcer le processus de connexion
- Appliquez une sécurité et des politiques de mot de passe solides
- Identifier et classer les données stockées selon leurs attributs de confidentialité
- Intégrité
- Limitez les permissions et les privilèges
- Tenir un journal des changements d'utilisateurs
- Disponibilité
- Sauvegarde de vos données
- Planifier les échecs
- Menaces de sécurité pour la disponibilité de vos données
- Maintenance préventive
- Confidentialité
- Éducation, formation
- Plats à emporter
Les leçons que nous pouvons tirer de la CIA
L'hameçonnage et le faux-semblant sont deux des tactiques les plus utilisées par les cybercriminels. Ces attaques sociales incitent vos utilisateurs à donner leurs identifiants de connexion ainsi que d'autres informations personnelles. Ces détails sont ensuite utilisés dans des attaques de piratage, la violation de vos défenses de sécurité, l'accès à vos applications Web, vos systèmes, vos données.
Demandez simplement à Twitter, T-Mobile, Marriot, Amtrak ou l'hôtel Ritz, parmi une foule d'autres. Alors que ce sont les marques reconnaissables qui font la une des journaux et attirent l'attention, il est alarmant de constater que plus d'une petite entreprise sur quatre (28 %) est directement ciblée et compromise avec succès.
Ce sont quelques idées qui ressortent des recherches de Verizon. Leur rapport d'enquête sur les violations de données (DBIR) pour 2020 jette un éclairage médico-légal détaillé sur le mensonge, les motivations et les méthodes des acteurs malveillants. Ils sont clairement après une chose - vos données.
Mais cela nous permet également de comprendre comment nous pourrions planifier nos défenses pour atténuer ces atteintes à la cybersécurité.
Pourquoi les attentats ? Que recherchent-ils ?
La réponse simple est que les attaquants veulent quelque chose que vous possédez et qui a de la valeur : des données. Près d'un sur neuf (86 %) des violations réussies du système sont motivées par un gain financier. Parmi ceux-ci, la majorité (55 %) impliquent des groupes criminels organisés, définis dans le rapport comme « un criminel avec un processus, pas la mafia ».
« 86 % des violations étaient motivées financièrement »
« Les groupes criminels organisés étaient à l'origine de 55 % de toutes les infractions »
"70% perpétrés par des acteurs externes"
« 30 % ont impliqué des acteurs internes »
Comme d'autres, votre entreprise détient diverses données qui vous sont fournies en bonne volonté par des clients, des fournisseurs, des partenaires et des employés, etc. pour faciliter le traitement électronique des affaires. Une grande partie de ces données est, bien sûr, privée et sensible.
Les informations de carte de crédit et autres informations de paiement, les informations personnellement identifiables telles que les informations de sécurité sociale, les adresses e-mail, les numéros de téléphone, les adresses personnelles, etc., peuvent être collectées, utilisées et monétisées. Rappelez-vous que ce n'est pas un jeu pour eux.
Vous avez le devoir de vous assurer que ces données restent privées et protégées. Vous avez également une législation sur la protection de la vie privée et des obligations de conformité réglementaire de l'industrie, telles que le RGPD, qui exige que vous preniez toutes les mesures possibles pour protéger les données.
Par conséquent, tout plan de réponse de sécurité mis en place doit se concentrer sur la protection des données.
D'où et comment y accèdent-ils ?
Les acteurs criminels savent que s'ils peuvent mettre la main sur les informations d'identification de vos utilisateurs, leur travail est beaucoup plus facile. Par conséquent, il n'est pas surprenant qu'ils déploient de grands efforts dans des attaques de phishing et de faux-semblant de plus en plus sophistiquées, essayant d'amener vos utilisateurs à donner leurs informations de connexion au système et d'autres informations personnelles.
"Le phishing représente 22 % de toutes les violations de données réussies"
"Attaques sociales : "Les actions sociales sont arrivées par e-mail 96 % du temps."
Vos applications Web en ligne sont le vecteur d'attaque le plus courant, et les attaquants y pénètrent en utilisant les identifiants de connexion de l'utilisateur perdus ou volés, ou des attaques par force brute (exploitant des mots de passe faibles).
"Vos applications Web ont été spécifiquement ciblées dans plus de 90 % des attaques - plus de 80 % des violations de piratage impliquent la force brute ou l'utilisation d'informations d'identification perdues ou volées."
Que puis-je faire de tout cela ?
Grâce à Verizon, qui a fait l'analyse pour nous, nous sommes mieux placés pour comprendre les menaces et les méthodes. Nous pouvons maintenant commencer à adopter une approche éclairée, mesurée et logique pour renforcer nos réponses de sécurité, contrecarrer ces attaques et atténuer les dommages.
Que pouvons-nous apprendre de l'approche de la CIA ?
Hélas, nous ne parlons pas ici d'une nouvelle technologie de pointe fournie par la Central Intelligence Agency, que nous pouvons utiliser pour vaincre les méchants. Nous parlons d'un cadre élégant et flexible que vous pouvez utiliser et qui se concentre sur la protection de votre principal actif menacé, vos données, c'est de cela qu'il s'agit.
Le cadre CIA comprend trois principes fondamentaux de base conçus pour atténuer l'accès accidentel et malveillant à vos données et leur modification, à savoir :
- Confidentialité
- Intégrité
- Disponibilité
Confidentialité
La confidentialité nous demande quelles mesures vous pouvez prendre pour assurer la sécurité des données que vous détenez, en limitant l'accès des employés aux seules informations nécessaires pour leur permettre de remplir leurs fonctions.
N'oubliez pas que plus de 80 % des piratages réussis ont utilisé soit des informations d'identification d'utilisateur perdues ou volées, soit une attaque par force brute pour exploiter des mots de passe faibles tels que "admin/admin", "user/password", "user/12345678", etc.
Vous pouvez prendre plusieurs mesures pour assurer la confidentialité de vos données :
Commencez par renforcer le processus de connexion
Mettre en œuvre une authentification à deux facteurs. 2FA ajoute une couche de sécurité supplémentaire en incorporant un appareil physique dans le processus de connexion au compte utilisateur.
Un code PIN unique, limité dans le temps et à usage unique sera requis par le processus de connexion, en plus du nom d'utilisateur et du mot de passe standard, pour permettre l'accès.
Ainsi, même si les informations d'identification de connexion sont compromises, sans que l'attaquant n'ait accès à l'appareil physique, le simple fait d'exiger le code PIN suffira à contrecarrer l'attaque.
Appliquez une sécurité et des politiques de mot de passe solides
Plus de 35% des comptes d'utilisateurs utiliseront des mots de passe faibles qui peuvent facilement être piratés par des outils d'attaque par force brute.
Par conséquent, une sécurité et des politiques de mot de passe solides sont indispensables. Implémentez des politiques de sécurité des mots de passe, mais aussi des politiques d'historique et d'expiration des mots de passe. Ces mots de passe forts que vous avez maintenant appliqués devront expirer en temps opportun.
Ainsi, si les informations d'identification de vos utilisateurs sont effectivement compromises, elles ne sont utiles que tant que le mot de passe est valide. Changer le mot de passe empêchera donc toute action malveillante future.
Associée à la méthode d'authentification à deux facteurs, la mise en œuvre d'un mot de passe fort constitue une défense considérablement robuste.
Identifier et classer les données stockées selon leurs attributs de confidentialité
Entreprenez un examen des listes de contrôle d'accès actuelles pour chaque rôle, puis attribuez les privilèges d'accès aux données requis de manière appropriée, en utilisant le principe du moindre privilège.
L'accès aux données privées et sensibles doit être restreint sur la base du besoin d'en connaître et requis pour qu'un employé remplisse son rôle.
Par exemple, votre représentant du service client peut avoir besoin d'accéder à l'historique des commandes, aux détails d'expédition, aux coordonnées, etc. A-t-il besoin d'une visibilité sur les détails de la carte de crédit des clients, le numéro de sécurité sociale ou d'autres informations sensibles ou d'identification personnelle ?
Ou demandez-vous si vous fourniriez aux employés généraux le solde et les détails du compte bancaire de l'entreprise ? Ou les comptes financiers actuels et historiques de l'entreprise ? Nous prendrons cela pour un non alors.
Intégrité
L'intégrité nous demande d'examiner les mesures que nous pouvons prendre pour garantir la validité des données en contrôlant et en sachant qui peut apporter des modifications aux données, et dans quelles circonstances. Pour assurer l'intégrité de vos données :
Limitez les permissions et les privilèges
Limitez les autorisations de vos utilisateurs, en vous concentrant sur les éléments de données qui peuvent nécessiter une modification.
Une grande partie de vos données ne nécessitera jamais, ou très rarement, de modification. Parfois appelé le principe des moindres privilèges, il s'agit de l'une des meilleures pratiques de sécurité les plus efficaces, et celle qui est souvent négligée mais facilement appliquée.
Et si une attaque réussissait à accéder à vos comptes système, en mettant en œuvre des autorisations restrictives sur les données, toute violation de données et tout dommage en résultant seraient limités.
Tenir un journal des changements d'utilisateurs
Si des modifications étaient apportées aux données existantes, comment sauriez-vous quelles modifications, quand et par qui ? Pourriez-vous être sûr? La modification était-elle autorisée et valide ?
Avoir un journal d'activité complet et en temps réel vous donnera une visibilité complète de toutes les actions effectuées sur tous vos systèmes WordPress et est fondamental pour de bonnes pratiques de sécurité.
En outre, l'archivage et la création de rapports sur toutes les activités vous aideront à vous conformer aux lois sur la confidentialité et aux obligations de conformité réglementaire de votre juridiction.
Disponibilité
La disponibilité nous oblige à nous concentrer sur le maintien d'un accès facile et fiable à nos données. Ainsi, vous vous assurez que les affaires se poursuivent sans interruption, permettant aux employés d'accomplir leurs tâches, vos clients passent leurs commandes et vous pouvez exécuter et expédier ces commandes de manière sécurisée.
Les temps d'arrêt ne concernent pas seulement la perte potentielle de revenus, mais également l'érosion de la confiance de vos utilisateurs, abonnés, clients, partenaires et employés, résultant de l'indisponibilité de vos systèmes.
Sauvegarde de vos données
Sauvegardez régulièrement vos données, pensez également à stocker ces sauvegardes hors site. Voici un bon article qui développe ce thème et discute des risques de sécurité liés au stockage des fichiers de sauvegarde WordPress et des anciens fichiers sur site.
Planifier les échecs
Passez en revue les composants de l'infrastructure sur lesquels votre entreprise s'appuie ; réseaux, serveurs, applications, etc. et disposez d'un plan d'action correctif, de sorte que si l'un de ces éléments intégraux échoue, individuellement ou collectivement, vous pouvez récupérer rapidement.
Vous utilisez peut-être une société d'hébergement sur laquelle vous hébergez votre site Web WordPress et qui s'occupera de plusieurs de ces tâches en votre nom. Cependant, il est essentiel de poser les questions pertinentes pour déterminer les processus et les niveaux de service qu'ils vous fournissent et s'ils correspondent aux besoins de votre entreprise.
Par exemple, essayez de restaurer vos sauvegardes WordPress, testez vos systèmes de sécurité et simulez un processus de récupération après sinistre.
Menaces de sécurité pour la disponibilité de vos données
Du point de vue de la sécurité, la menace numéro 1 de tous les incidents enregistrés dans le rapport est celle d'une attaque par déni de service distribué (DDoS), conçue principalement en cas d'interruption, et non une tentative d'accès (piratage).
De nombreuses sociétés d'hébergement WordPress fournissent des défenses adéquates contre ces types d'attaques. Néanmoins, il est toujours prudent d'enquêter sur les services de sécurité périmétrique qu'ils proposent et si ces mesures sont suffisantes ou si vous devez renforcer vos défenses.
Maintenance préventive
La maintenance joue un rôle crucial dans la disponibilité, garantissant que votre site Web WordPress et les plugins associés sont mis à jour en temps opportun, idéalement de manière automatique, pour corriger toutes les vulnérabilités connues existantes, ce qui se traduit par des défenses de sécurité plus robustes.
Éducation, formation
Comme Benjamin Franklin l'a fait remarquer un jour, « une once de prévention vaut mieux que guérir », ce qui est aussi vrai aujourd'hui que jamais.
Et éduquer vos utilisateurs sur les pièges potentiels et identifier les menaces qui existent est une mesure préventive essentielle.
- Instaurez une formation pertinente pour les employés, éduquez-les sur l'importance des politiques de sécurité prescrites et pourquoi l'entreprise a mis en œuvre ces politiques.
- Aidez-les à comprendre les risques de sécurité, en mettant particulièrement l'accent sur les menaces sociales telles que l'hameçonnage et le faux-semblant dont nous avons parlé. Ils vous en remercieront !
Plats à emporter
Il peut sembler beaucoup plus facile de donner aux utilisateurs un accès à tout, ce qui garantit qu'ils auront toujours accès aux informations dont ils ont besoin et à beaucoup d'autres dont ils n'ont pas besoin. Ce niveau d'autorisation est souvent accordé aux utilisateurs pour éviter les demandes potentielles de modification des droits d'accès et des privilèges. Mais cela manque le point.
En mettant en œuvre les recommandations de la CIA, vous ferez un long chemin pour atténuer et limiter tout dommage en cas de violation du système en restreignant tout accès (confidentialité), et la modification (intégrité), aux données privées et sensibles. Et vous aider à respecter vos obligations légales et de conformité.
- Mots de passe forts ; réduit le succès des attaques par force brute.
- Authentification à deux facteurs ; entrave l'utilisation des informations d'identification volées
- principe du moindre privilège ; restreint l'accès aux données sur la base du besoin d'en connaître et limite la modification de ces données.
- journalisation des activités ; vous tient informé, de tout accès, modification et évolution du système.
- Assurez-vous que tous les systèmes et plugins sont mis à jour automatiquement.
Et enfin, je voudrais profiter de l'occasion pour remercier l'équipe de Verizon pour tous ses efforts dans la compilation de son rapport annuel Verizon Data Breach Investigations Report (DBIR).