Introduction à l'analyse des risques de sécurité
L'analyse des risques de cybersécurité est également appelée évaluation des risques de sécurité ou cadre de risque de cybersécurité. Une évaluation des risques de sécurité identifie, évalue et met en œuvre les contrôles de sécurité clés dans les applications. Il est également utilisé pour prévenir les systèmes, logiciels et applications présentant des failles et des vulnérabilités de sécurité. Le processus de détermination des contrôles de sécurité est souvent complexe étant donné que les contrôles sont appropriés et rentables. Dans notre article, nous suivrons les directives de l'Institut national des normes et de la technologie (NIST), le NIST est une agence américaine qui relève du département du commerce.
Pourquoi avons-nous besoin d'une évaluation des risques de cybersécurité?
L'objectif principal de l'évaluation des cyberrisques ou de l'analyse des risques de sécurité est d'aider à informer les décideurs et à soutenir les réponses appropriées aux risques. Il existe de nombreuses raisons pour lesquelles une évaluation des risques est requise:
- En matière d'évaluation quantitative des risques, ils peuvent vous aider à réduire les coûts pouvant résulter d'une faille de sécurité, créant ainsi un incident de sécurité. Ils peuvent également minimiser les coûts qualitatifs tels que les dommages à la réputation de l'organisation.
- Une organisation prend conscience du risque et des menaces et comment y faire face de façon répétée et comment procéder à l'évaluation des risques pour découvrir les menaces et les vulnérabilités.
- Il peut aider une organisation à éviter tout compromis sur les actifs et les failles de sécurité.
Comment effectuer une évaluation des risques de cybersécurité?
Il existe certaines directives du NIST qui peuvent être suivies:
1. Mettre à niveau et mettre à jour le logiciel dès que le patch est disponible
L'organisation doit mettre à niveau et corriger les systèmes et logiciels dès qu'ils sont mis à disposition ou mis sur le marché. Il est recommandé d'automatiser le processus de mise à niveau car la procédure manuelle peut parfois être ignorée, mais en ce qui concerne l'automatisation, elle est planifiée pour s'exécuter dans le cadre de la portée. Les méchants continuent de regarder les correctifs et les exploits possibles, et ceux-ci peuvent plus tard devenir des attaques N-Day. Les mises à jour sont toujours signées et prouvent leur intégrité en étant partagées en toute sécurité sur les liens protégés.
2. Contrôles d'accès et privilèges
Toute organisation doit utiliser les contrôles d'accès appropriés et la gestion des accès privilégiés pour gérer les comptes d'utilisateurs et leurs contrôles. Les utilisateurs doivent recevoir exactement les contrôles dont ils ont besoin, ni moins ni plus. Si donné moins, il affectera la productivité tandis que s'il est donné plus, il peut ouvrir la voie à un exploit qui pourrait être désastreux. Le compte élevé doit être contrôlé et surveillé car il est doté de privilèges élevés et donc, s'il tombe entre de mauvaises mains, ce sera l'impact d'un compromis. Tout le compte de l'utilisateur doit également être protégé et surveillé.
3. Appliquer les politiques d'exécution des logiciels signées
Le logiciel utilisé doit accepter l'intégrité, c'est-à-dire qu'il ne doit pas être altéré ou modifié de quelque façon que ce soit, il doit être correctement signé. Cela peut être facilement vérifié en faisant correspondre des fonctions de hachage comme les valeurs SHA256 ou SHA 512. Une liste de certificats fiables doit être conservée. Si, par hasard, un logiciel modifié ou non signé est utilisé, il peut avoir été conçu pour créer des vulnérabilités et il devrait ouvrir une porte pour exposer vos systèmes aux pirates.
4. Mise en œuvre du plan de récupération du système
En cas de situation défavorable telle qu'une catastrophe comme les inondations, les tremblements de terre, il faut être prêt avec un plan de relance pour prendre soin des employés, des actifs, de l'atténuation et continuer à soutenir la fonction d'organisation à partir d'un autre endroit qui n'est pas affecté par la catastrophe. Ainsi, un plan de rétablissement doit être créé, des révisions et doivent également être exercés (testés) à intervalles réguliers.
5. Gérer activement les systèmes et les configurations
L'organisation doit procéder à un examen des logiciels présents dans le système de l'utilisateur et des contrôles d'accès activés pour les utilisateurs. Les utilisateurs devraient également être invités à formuler des demandes de suppression de logiciels ou de privilèges inutiles qui ne sont plus requis dans le cadre de leur rôle. Ce faisant, cela réduira davantage la surface d'attaque.
6. Chasse aux menaces et renseignements sur les menaces pour les intrusions sur le réseau et l'hôte
Souvent, les solutions de protection des terminaux ne sont pas entièrement capables de bloquer, détecter et supprimer la menace des systèmes, en particulier si l'attaque est ciblée et sophistiquée. Pour détecter de telles menaces, nous devons utiliser des solutions de recherche de menaces et de renseignements sur les menaces qui corréleront l'environnement de l'organisation à partir des indicateurs de menace du monde entier, et s'il y a des correspondances, cela déclenchera une alerte. Une pratique similaire devrait également être utilisée pour la mise en réseau, où nous pouvons placer IPS / IDS pour filtrer les paquets réseau afin de rechercher les activités suspectes.
7. Implémentation de fonctionnalités de sécurité matérielle modernes
Le matériel d'aujourd'hui est doté de fonctionnalités de sécurité exceptionnelles telles que l'interface UEFI (Unified Extensible Firmware Interface), les modules TPM (Trusted Platform Modules), la virtualisation du matériel, le chiffrement du disque, la sécurité des ports qui doivent être activés pour empêcher toute violation de la sécurité matérielle qui pourrait finalement reprendre des données confidentielles et briser la sécurité.
8. Séparez le réseau à l'aide de la défense basée sur les applications
Séparez les réseaux et services critiques. Déployez une sécurité réseau adaptée aux applications pour bloquer les éléments mal formés en fonction du trafic et du contenu restreint, des politiques et des autorités légales. La détection traditionnelle des intrusions basée sur les signatures connues et est efficacement réduite grâce aux techniques de chiffrement et de décalage.
9. Intégrer les services de réputation des menaces
Comme indiqué précédemment, les solutions de point de terminaison ne sont pas entièrement capables de bloquer, détecter et supprimer la menace des systèmes, surtout si l'attaque est ciblée et sophistiquée. Dans de tels cas, nous pouvons intégrer les services de réputation de menace globale (GTRS) dans notre environnement pour faire vérifier nos fichiers par rapport au grand nombre de services de réputation.
10. Authentification multifacteur
L'authentification multifacteur agit comme une défense dans une approche approfondie où nous obtenons une deuxième couche de sécurité. Le pirate trouvera la plus grande difficulté de sa vie à casser un appareil où l'authentification multifacteur est activée, il ne peut être déverrouillé que s'il est physiquement accessible ou attaqué. Les organisations doivent donc toujours déployer l'authentification multifacteur à tous les endroits où elle peut être appliquée.
Conclusion
Dans cet article, nous avons appris à définir l'analyse des risques de cybersécurité et avons également vu pourquoi elle était nécessaire. Nous avons en outre exploré diverses manières et directives qui peuvent nous aider à effectuer l'évaluation des risques.
Articles recommandés
Ceci est un guide pour l'analyse des risques de sécurité. Ici, nous discutons pourquoi avons-nous besoin et comment effectuer une évaluation des risques de cybersécurité. Vous pouvez également consulter nos autres articles connexes pour en savoir plus-
- Questions d'entretiens chez Cyber Security
- Définition de consultant en sécurité
- Qu'est-ce que la sécurité réseau?
- Types de cybersécurité