L'ANSSI arbeitet seit mehreren Monaten an der Umsetzung der europäischen NIS2-Richtlinie ins Französische. Empfangen, eine Premiere wurde im Internet verbreitet, zunächst online veröffentlicht LeMagIT, que plusieurs journaux ont décortiqué.
Im Zuge der Veröffentlichung einer endgültigen Fassung hat dieses Dokument eine wichtige Perspektive auf die Annäherung von Behörden an den Ort dieses neuen Gesetzes zur Sicherung von Informationssystemen für „wichtige“ oder „wesentliche“ Entitäten eingenommen Frankreich.
Wir schlagen in diesem Blog vor, die Regeln zu analysieren, die sich auf die Identitätsdomäne, das Wissen, die Verwaltung und den Schutz von Identitäten, den Zugang und die Jahresabschlüsse beziehen.
Les annuaires, „cœur de confiance des systèmes d'informations“
Sie sind in der Jahresreferenz des Unternehmens beschäftigt. Keine Überraschung für erfahrene Familienangehörige mit ANSSI. Im letzten Jahr wurde es veröffentlicht ein Leitfaden mit Empfehlungen sur l'administration de l'annuaire d'Active Directory (AD), präzisiert in seiner Einleitung, dass „Als ein AD sich im Zentrum der Infrastruktur eines SI befindet (Authentifizierungsbestimmungen, Zuweisung von Zugriffsrechten zu Ressourcen, Sicherheitsrichtlinien usw.)“ Ich war der Meinung, dass der SI sich im Laufe des Jahres ausruhen würde. In diesem Zusammenhang wurde ein Kompromiss zwischen AD und SI zu einem globalen Kompromiss geführt. »
Vor mehr als einem Monat wurde die Agence Nationale de Santé (ANS) mit Beiträgen der ANSSI veröffentlicht Aktionsplan Kümmern Sie sich um die Einrichtungen des Gesundheitswesens, denn „die jährliche Technik ist […] das wichtigste Mittel zur Ausbreitung, weil sie hohe Privilegien erhalten, sie ständig verletzen und ihnen Schaden zufügen“.
In der Tat, wenn man die Informationssysteme seiner Opfer kurz vor Schwachstellen oder auf der Durchquerung einer Katastrophenkampagne bricht, ist diese erste Kompromittierung mit seltenen dramatischen Konsequenzen verbunden.
Für die Organisation besteht die Notwendigkeit, die Rechte von Personen zu erlangen und auszunutzen, die es ihnen ermöglichen, sich über das Informations- und Zusatzsystem sensibler Daten zu infiltrieren:
„Während ich über die Verwaltungsgewalt im Vertrauen verfügt, bin ich davon ausgegangen, dass die Informationssysteme des Unternehmens […] völlige Kompromisse mit Konsequenzen für das Unternehmen eingehen, die gerade notwendig sind.“ Sie rekonstruieren alles oder eine Partei seiner Informationssysteme. »
Alle im Laufe des Jahres erforderlichen Beeinträchtigungen der Verwaltungsgewalt im Informationssystem sind grundsätzlich erforderlich Active Directory, aber auch Entra ID, Ping, Okta und mehr. In der im Umlauf befindlichen Fassung des Dokuments zur Umsetzung der NIS2-Richtlinie sind die ANSSI aufgrund zahlreicher Klagen im Hinblick auf die Sicherheit der Verwaltungs- und Jahresabschlüsse betroffen.
Wissen, was man schützen sollte
L'ANSSI schlägt eine Reihe von Hygienemaßnahmen und Systemsegmentierungen vor, die für alle betroffenen Unternehmen zugänglich und realisierbar sind, unter der Bedingung, dass sie alle erforderlichen Ressourcen nutzen.
Die Ziele Nr. 4 und Nr. 5 wurden im Vorfeld der „wesentlichen“ Entitäten des Kartographen in einer ersten Zeit notamiert und von ihnen, den geregelten Informationssystemen und dem staatlichen Ökosystem kontrolliert. „Wichtige“ Unternehmen sind von diesen Einschränkungen nur dann ausgenommen, wenn sie eine Kartographie ihres Ökosystems pflegen und die an ihren Informatikaktivitäten beteiligten Mitarbeiter und die Liste der Verbindungen mit ihren internen Systemen notieren.
Eine der Schwierigkeiten, die sich auf die Identitätsdomäne auswirken, ist nur dann möglich, wenn die verschiedenen Zugangsmöglichkeiten, die für Schützlinge erforderlich sind, vollständig sichtbar sind. Die älteren Infrastrukturelemente wurden teilweise als „Vermächtnis“ bezeichnet und sind nicht undurchsichtig. De même pour Die Verantwortung für den Service und den Zugang zu Maschinen, nicht rezensieren, die Quellen und Abhängigkeiten werden nicht während der gesamten Zeit fortgesetzt. Für den Zugriff auf interne und externe Geräte ist es schwierig, die Eingänge und Aktivitäten dieser Ressourcen zu kontrollieren und zu verfolgen.
Dies ist definitiv nicht der Fall Fusions- und Übernahmeszenarien – Sie laufen in bestimmten Sektoren, die von NIS2 abgeschnitten sind – sie sind auf die Vereinheitlichung zweier unterschiedlicher Informationssysteme angewiesen, ohne dass die für die Sache verantwortlichen Administratoren ihre Familien mit den für sie verantwortlichen Ressourcen so gut wie möglich ausstatten müssen. Die Aufsichtsbehörden sind im Rahmen von Fusionen und Übernahmen nicht unbedingt erforderlich, um das gesamte Gründungsrisiko zu vermeiden. Schatten IT », nicht rezensierte Systeme in der Infrastruktur eines Unternehmens, das nicht konform ist.
Das Ziel 7 betrifft Patching Die Schwachstellen wirken sich auf alle Logiken oder Systeme aus. Am Rande der Identität schließen sich die Hauptakteure den Organisationen an, die noch mehr Versionen ihrer Identität nutzen.Active Directory Oder Sie wenden sich an die Protokolle, notamment du NTLMv1 Sie haben kein LDAP-Protokoll. Derzeit gibt es Lösungen – bestimmte kostenlose Lösungen – dauerhaft.Identifier ce type de faiblesses, Die Eliminierung oder Verlängerung der Sicherheitskontrollen erfolgt, wenn der Zugriff auf die Bedingung oder die Authentifizierung mehrerer Faktoren erfolgt.
Hygiene und Reinigung
Die Artikel sind überaus relevant für die Sicherheit von Identitäten und den Zugang zu den Zielen 9, 10, 13, 14, 15, 16. Diese Artikel werden seit zwei Wochen aus der Praxis bestätigt und sind verpflichtet, die alten Rechnungen schnell zu deaktivieren Mitarbeiter ; changer régulièrement les mots de passe ; respektiere das Prinzip der mindersten Privilegien; Vermeiden Sie die Teilnahme an Rechnungen…
In den Zielen 9, 14, 15 und 16, la Segmentierung der Ressourcen und des Zugriffs auf Ebenen Figure de manière importante. Der Anspruch besteht darin, ausschließlich die Verwaltungskompetenzen für Verwaltungsmaßnahmen zu nutzen und Maßnahmen zu ergreifen, die die „Transparenz der durchgeführten Verwaltungsmaßnahmen“ gewährleisten. Sie haben immer den Vorteil, dass sie auf die „wesentlichen“ Einheiten achten, damit die Verwaltungsmaßnahmen im Rahmen eines Informationssystems wirksam werden und die Posten, die mit dieser Wirkung enden, ihre Arbeit verrichten.
Die gleiche Dynamik liegt in der Kette ihrer Untergebenen, den Beamten und Beamten, die den Informationssystemen der beteiligten Unternehmen beim Durchqueren des Zugangs zur Entfernung Authentizität verleihen. Dieser Zugang ist leider durch einen Authentifizierungsmechanismus geschützt Monofabrikant Mindestens und multifaktoriell für die „wesentlichen“ Einheiten.
Für Authentifizierungen Active Directory, diese Bemühungen sind nicht besonders kritisch, möglicherweise haben sie keinen guten Zugang zu den Kontrollen, die ihnen zur Verfügung stehen MFA Passen Sie die Zugriffsbedingung an. Die Maßnahmen, die ohne den Rückgriff auf eine kommerzielle Plattform durchgeführt werden können, sind daher die Bemühungen, die Integrität der Stufen 0 und 1 zu gewährleisten und zu respektieren (für Organisationen, die das von Microsoft vorgefertigte Modell übernommen haben). Porte aux attaques.
Die Serviceleistungen stellen auch Probleme und wichtige Probleme dar. Es wurde jedoch festgestellt, dass das Dokument keinen ausdrücklichen Verweis enthält, die Artikel betreffend „automatische Prozesse“ im Objekt 13 und die Gewissheit, dass dieser Zugang vorliegt. Alle Unternehmen müssen sich darauf verlassen, dass diese Wettbewerbe ausschließlich für die Erfüllung der von ihnen definierten Funktionen genutzt werden, und stellen ihnen ihre Gegenleistung für die Erfüllung anderer Aufgaben zur Verfügung. Wenn Sie während Ihres Aufenthalts keine regelmäßigen Änderungen vornehmen, wird das Gerät auch mit anderen Zugangskontrollen in Verbindung gebracht.
Des failles et faiblesses inquiétantes
Auf bestimmte Fragen kann es ankommen, dass die ANSSI nicht mehr in die Umsetzung von NIS2 übergeht. Wenn es um die MFA geht, wird beispielsweise der Originaltext der europäischen Richtlinie als „multifaktorielle Authentifizierungsanwendung oder Authentifizierungslösungen“ bezeichnet. wo ist es angebracht ». In diesen beiden Wochen können mehr oder weniger strenge Interpretationen erzwungen werden.
Die aktuelle Fassung der französischen Umsetzung nimmt eine Position als Gegenpartei ein. Für „wichtige Entitäten“ darf die MFA nicht durch eine bestimmte Klausel verhängt werden. Die Installation eines Authentifizierungsmechanismus mit mehreren Schritten reicht aus, um die Konformität zu gewährleisten. Auch im Kader des Schutzes von Zugangsprivilegien wurde mir die MFA nicht auferlegt zusätzlich Anforderungen an die Segmentierung in Ebenen und die Durchführbarkeit von Aktionen. Eine entscheidende Maßnahme ist mit dem Geist der europäischen Richtlinie und den Anforderungen der Cybersicherheit verbunden.
Das bedeutet, dass es sich um die „wesentlichen“ Unternehmen handelt, die für die MFA-Quellen nicht erforderlich sind, um in der Ferne Zugang zu einem Informationsebenensystem zu erhalten – zum Beispiel für externe Mitarbeiter. Sie haben zum Beispiel Zugang zu Privilegien für andere Protéger les ouvertures de session de comptes d'administrateurs de domaine ? Selon Microsoft, das MFA kann 99,9 % der Angriffe blockieren – aber es gibt keine Möglichkeit, seine Anwendung in unseren Strukturen zu kritisieren?
Die aktuelle Version erscheint realistisch und zugänglich. In einem solchen Fall sieht die ANSI alternative Maßnahmen vor, die aufgrund der von ihnen initiierten Richtlinie nicht unbedingt erforderlich sind. Eine Organisation, die beispielsweise nicht in der Lage ist, das MFA auf den Fernzugriff (Ziel 9) zu übertragen, die Passwörter zu ändern (Ziel 13), die Rechte einzelner Personen für Benutzer oder Maschinen zu erhöhen (Ziel 13), Wenn Sie Verwaltungsmaßnahmen im Rahmen eines Verwaltungsgerichts (Ziel 14) durchführen, dürfen Sie sich nicht an die Bedingungen halten, um andere Risiken zu minimieren und die damit verbundenen Risiken zu verringern.
Es ist offensichtlich, dass einige dieser Richtlinien technische Schwierigkeiten erschweren, was jedoch unmöglich ist. Missbräuche, eine Vielzahl von Organisationen, die diese Art von Regulierungen auf die Legislatur legen – es liegt einfach daran, Fälle zu vermeiden, bei denen das Risiko von Angriffen gering ist. Die Anzahl der Ausnahmen oder Abweichungen, die möglich sind, besteht nicht, und das Risiko, die Tür vor Futures-Angriffen zu verlieren, ist geringer als die der Unternehmen, die Skrupel haben. Es ist nicht schlimm, dass die Anwälte sich nicht dazu entschlossen haben, bestimmte Anforderungen dieser Anforderungen zu erfüllen.
Fazit
Ich hoffe, dass diese erste Woche vor dem Datum, das durch die europäische Richtlinie verhängt wurde, mehr als ein paar Monate dauern wird. Sie kümmert sich um Organisationen, die eine vorrangige Projektidee entwickeln.
Es ist offensichtlich, dass die auferlegten Maßnahmen zu den „wesentlichen“ Wesen gehören, die zur Modernisierung beitragen und die Sicherheit des Autors von Infrastrukturkritiken gewährleisten. In einem unsicheren geopolitischen Kontext müssen Frankreich und Europa zunächst den Bedrohungen durch schwächelnde Angriffe entgegentreten. Darüber hinaus weisen bestimmte Organismen in der Nationalmannschaft, die vor dem öffentlichen Sektor vermerkt wurden, auf einen alarmierenden Reifegrad der Cybersicherheit hin.
Heureusement, plusieurs sociétés et organisations ont déjà proactivement pris dessesures se conformee aux achtete du document zirculé by ANSSI. Die Cybersicherheits-Beteiligten haben in den vergangenen Jahren beispielsweise eine große Anzahl von Teilnehmern gebildet, die bereits an ihren Reihen- und Bastionsprojekten gearbeitet haben. Auch wenn diese Beispiele nur im öffentlichen Sektor zugänglich sind, kann es sein, dass Sie Erfahrungs- und Fachwissensrückerstattungen im Rahmen des Infrastruktur-Infrastruktur-Ensembles ansammeln.
Kommentar Silverfort Kann es hilfreich sein, die NIS2-Konformität zu gewährleisten?
Silverfort Kann bei der Konformität mit diesen Richtlinien hilfreich sein. Vor 1 Monat, ohne dass Änderungen an Ihrer Infrastruktur erforderlich waren, kann unsere Plattform Folgendes bedeuten:
- Ziel 5:
- Die Zugriffs- und Privilegiengruppe wird in den nächsten Jahren schnell erfasst und umfasst die Quellen und Abhängigkeiten für jede Authentifizierung
- Bewirken Sie eine vollständige Überprüfung der Dienstleistungs- und Hybridrechnungen
- Ziel 9:
- Identifikator schnellt die Rechte ein, die bei der Segmentierung in Sicherheitszonen gewährt werden können
- Ziel 10:
- Schützen Sie Ihren Fernzugriff (RDP, RDS, SSH, PowerShell, PsExec, WMI) mit einer MFA-Lösung Ihrer Wahl (kompatibel mit Microsoft Authenticator, Ping, Duo, Okta usw.). Yubico oder andere FIDO2-Chips)
- Ziel 13:
- Identifikator für Unternehmen, die über übermäßige Privilegien verfügen, und für die Arbeitgeber seit über 20 Jahren Zugang haben
- Warnen Sie oder sperren Sie jeden vorläufigen Zugang zu einem Dienstanbieter, der sich in seinem gewohnten Verhalten befindet
- Journalisieren Sie den Zugang zur Jahresintegrität
- Ziele 14 und 15:
- Warten Sie, bis das MFA in der Sitzungsperiode auf den Posten der Verwaltungsarbeit endet
- Benachrichtigen Sie uns oder blockieren Sie Zugriffsversuche, die die Segmentierungsregeln nach Ebenen, beispielsweise zwischen Ebene 1 und Ebene 0, nicht beachten
- Benachrichtigen Sie uns oder sperren Sie die Versuche der Bastion-Kontur, zum Beispiel durch den Vermittler eines Dienstleistungsunternehmens
- Ziel 16:
- Journalisieren Sie die Authentifizierungen von Menschen und Maschinen in der Jahresintegrität und beziehen Sie sich auf ihre Quellen und Ziele
Erfahren Sie mehr darüber, was Sie nicht tun sollten Silverfort Möglicherweise helfen Sie bei der Entscheidungsfindung in Bezug auf die Identitätssicherheit, Fordern Sie hier eine Demo an.