The Butterfly Effect (2)

Le SANS Institute a publié son rapport annuel sur les vingt failles de sécurité les plus critiques sur Internet. L’on constate que les failles restent sensiblement inchangées depuis les deux années précédentes mais que leur positionnement a ce pendant pris une autre allure.

Comme d’habitude, la liste compte les dix failles les plus importantes sur les systèmes Windows ainsi que les dix failles les plus importantes sur les systèmes UNIX.

Ce rapport relativement complet (plus de 100 pages) apporte une certaine quantité d’éléments techniques à prendre en considération, principalement lorsqu’il s’agira pour les entreprises de définir les différentes priorités à accorder à certains risques.

SANS Institute - Top 20 most critical Internet security vulnerabilities

Résumé des 20 failles:

Catégorie ‘Windows’

1. Services et serveurs web
2. Services sur les postes clients
3. Services d’accès à distance
4. SQL Serveur (MSSQL)
5. Authentification Windows
6. Navigateurs web
7. Application de partage de fichiers
8. Mécanisme LSAS
9. Clients de messagerie électronique
10. Messagerie instantanée

Catégorie ‘UNIX’

1. BIND (serveur DNS)
2. Serveur Web
3. Authentification
4. Systèmes de contrôles de versions (CVS)
5. Services de messagerie
6. SNMP
7. SSL
8. NIS/NFS mal configurés
9. Bases de données
10. Noyau (kernel)

Computerworld.com - 9 questions to ask when evaluating a security threat

Pour les flemmards, le résume est dans la suite de l’article..

1. Est-ce que la menace affecte les logiciels que nous utilisons?

Le fait qu’un logiciel soit interdit au sein du réseau n’implique pas nécessairement qu’il n’y soit pas installé…

2. S’agit-il d’une menace interne ou externe ?

S’il s’agit d’une menace interne, vous avez certains avantages: plus grande facilité de remonter à la source (contrôle du réseau IP et journalisation des activités) et menace de licenciement.

3. Quelle est la difficulté de l’attaque?

S’agit-il de saisir une simple URL ou de comprendre un mécanisme complexe permettant l’exploitation de la faille ? Quelles sont les compétences nécessaires ?

4. Quel est l’impact en cas de réussite ?

Cette réponse vous apporte les éléments décisifs à mettre en oeuvre pour assurer votre sécurité (mesures préventives) ou réduire l’impact de l’attaque (mesures correctives) et dans quels délais.

5. Quand a eu lieu la dernière sauvegarde ?

Quelle quantité de travail perdrez-vous ? Quelle quantité de travail pouvez-vous perdre ? Si la seconde réponse est un délai inférieur à la première réponse, vous êtes en situation critique. De plus, avez-vous testé l’efficacité de la dernière sauvegarde ?

6. Etes-vous en mesure de répondre à ce genre de menace ?

La majorité des failles régulièrement annoncées consistent en des variations de failles existantes. Avez-vous une mesure préféfinie définissant dans les grandes lignes les mesures à entreprendre dans le cas d’une attaque d’un type ‘nouveau’?

7. Quel est l’état de mon réseau aujourd’hui ?

Votre structure est-elle stable ? Pouvez-vous envisager des mises à jours sans complications ? Etes-vous actuellement en phase finale d’un projet de recherche ? Avez-vous un ou plusieurs serveurs instables ces derniers temps ? Les conséquences d’une attaque réussie sur un réseau instable peuvent être largement plus dévastatrices que dans le cas d’un réseau entièrement maîtrisé.

8. La menace est-elle personnelle ?

Elle peut l’être…ou ne pas l’être, la réponse peut varier selon le ‘niveau’ auquel l’on s’attache. Votre succursale ? Votre département ? Est-ce que toute l’entreprise est visée ? Le secteur économique ? S’agit-il d’une attaque géographique ? Si un ‘oui’ se substitue à l’une des réponses à ces questions, la menace devra être considérée plus sérieusement.

9. Les mesures préventives sont-elles plus lourdes que les mesures correctives ?

Avez-vous vraiment besoin de vous protéger contre cette menace ? La continuité de votre activité est-elle en danger ?