Transposição francesa da diretiva NIS2 – em matéria de identidade, quais são as medidas atendidas?
L'ANSSI trabalha depuis plusieurs mois sur la transposition da directiva européenne NIS2 en droit français. Recentemente, uma estreia lançada foi circulada na Internet, inicializada mise en ligne par LeMagIT, que plusieurs journaux ont décortiqué.
Após a publicação de uma versão definitiva, este documento forneceu uma perspectiva importante sobre a abordagem das autoridades no lugar desta nova loi de segurança de sistemas de informações de entidades «importantes» ou «essenciais» em França.
Neste blog propomos analisar as regras que representam o domínio da identidade, para saber, o gerenciamento e a proteção de identidades, acessos e anuários.
Índice analítico
Les annuaires, « coração de confiança dos sistemas de informação »
A ação do seu emprego é feita no documento de referência dos anuários da entidade. Sem surpresa para os especialistas familiares com ANSSI. O ano passado, celle-ci avait déjà publié um guia de recomendações na administração do anoActive Directory (AD), precisa em sua introdução que “Lorsque qu'un AD está colocado no coração da infraestrutura de um SI (gestão de autenticações, atribuição de direitos de acesso a recursos, configuração de políticas de segurança, etc.) Ele também considerou que o SI repousa no AD. Nesse contexto, um comprometimento do canal AD é um comprometimento global do SI. »
Dois meses mais tarde, a Agência Nacional de Saúde (ANS) foi publicada com contribuições da ANSSI plano de ação Cuide dos estabelecimentos de saúde, de acordo com «a técnica anual é […] o principal meio de propagação, até que os atacantes obtenham privilégios elevados, permitindo-lhes infliger mais de dégâts».
Na verdade, mesmo que um ataque inicialize os sistemas de informação das vítimas em meio a sistemas de vulnerabilidade ou através de uma campanha de hameçonnage, este primeiro comprometimento traz raras consequências dramáticas.
A deficiência para a organização é impedir a obtenção e a exploração de identificadores de usuários com privilégios, permitindo a infiltração mais ampla no sistema de informação e a extração de dados sensíveis:
« Quando o atacante dispõe dos direitos de administração sobre o coração de confiança, considera-se que os sistemas de informação da entidade […] são totalmente comprometidos com as consequências para a entidade, que pode ser necessária apenas quando necessária. de reconstruir todos ou uma parte de seus sistemas de informação. »
Todo o comprometimento dos direitos de administração do sistema de informações é necessário pelos anuários – principalmente Active Directorymas também Entra ID, Ping, Okta e muito mais. Na versão em circulação do documento de transposição da directiva NIS2, a ANSSI exige nombreuses acções destinadas a garantir a segurança das contas de administração e dos anuários.
Saber o que é protegido
A ANSSI propõe também medidas de higiene e segmentação de sistemas que sejam acessíveis e realizáveis por todas as entidades envolvidas, na condição de todos e com escassez de recursos necessários.
Os objetivos nº 4 e nº 5 foram anotados antes da necessidade das entidades «essenciais» do cartógrafo em um primeiro momento, e auditados regularmente pela suíte, os sistemas de informações regulamentados e o ecossistema de prestatários. As entidades «importantes» são isentas dessas restrições, mas precisam manter uma cartografia de seu ecossistema, incluindo, notadamente, os fornecedores que contribuem para suas atividades informáticas e a lista de interconexões com seus sistemas internos.
Uma das dificuldades atuais que afetam o domínio da identidade alivia apenas a plena visibilidade dos diferentes acessos necessários para a existência de protegidos. Os elementos de infraestrutura mais antigos, parcialmente escritos como “legados”, são opacos. De mesmo modo contas de serviço e acesso a máquinas, não o recenseamento, as fontes e as dependências não são sempre contínuas. Ao mesmo tempo em que os acessos internos e externos são difíceis de controlar e rastrear as entradas e atividades operadas nesses recursos.
Essa défis se manifesta également dans des cenários de fusões e aquisições – correntes em certos setores desormados cobertos pelo NIS2 – quando se trata de unificar dois sistemas de informações distintos, sem que os administradores encarregados da sala não soientem familiares com os recursos desortados sob sua responsabilidade. Os reguladores de auditoria serão também necessários no quadro de fusões-aquisições para evitar todo o risco de incorporação de « sombra TI », de sistemas não-recensados, na infraestrutura de uma entidade que apresenta não-conformidade.
O objetivo 7 diz respeito a ele patching vulnerabilidades afetam todos os sistemas ou lógicas. No perímetro da identidade, os principais parceiros serão as organizações que utilizam mais de vieilles versões d'Active Directory ou aplicativos que utilizam protocolos faíveis, incluindo NTLMv1 ou LDAP não-chiffré. Felizmente, existem soluções – certas gratuitas – permettant d'identificador ce type de faiblesses, de eliminar progressivamente ou adicionar controles de segurança, como a condição de acesso ou o multifator de autenticação.
Higiene e camadas
Os artigos mais pertinentes sobre a segurança de identidades e o acesso interviennent nos objetivos 9, 10, 13, 14, 15, 16. Esses artigos recuperam boas práticas, déjà bien connues, os rendantes obrigatórios: desativam rapidamente as contas dos antigos empregados; alterar regularmente as senhas; respeitar o príncipe de muitos privilégios; evite as contas compartilhadas…
Nos objetivos 9, 14, 15 e 16, la segmentação de recursos e acesso em níveis figura de maneira importante. A ANSSI exige a utilização exclusiva de contas de administração para as ações de administração, e as medidas garantem «a traçabilidade das ações de administração realizadas». Elle durcit também davantage essas atençãos para as entidades «essenciais», para que essas ações de administração sejam efetuadas a partir de um sistema de informação e de postos de trabalho dedicados a esse efeito.
O mesmo dinamismo diz respeito à cadeia de sub-tratores, prestatários e fornecedores, que são autenticados em sistemas de informação das entidades envolvidas através do acesso à distância. Este acesso deve ser desordenado e protegido por um mecanismo de autenticação monofator ao mínimo, e multifator para entidades «essenciais».
Para autenticações Active Directory, esses esforços são especialmente críticas, mas esse acesso não é benéfico para o nativo dos controles atuais como o MFA adaptif ou acesso condicional. Parmi as medidas realizáveis sem recursos para uma plataforma comercial, portanto, esses esforços de encerramento e respeito pela integridade dos níveis 0 e 1 (para organizações que adotaram o modelo pré-configurado pela Microsoft) são um efeito essencial para fechar a porta aux ataques.
As contas de serviço representam também problemas e questões importantes. Embora o fato de o documento não ter sido explicitamente referenciado, os artigos referentes aos “processos automáticos” no objetivo 13 recuperam certamente esse acesso. Todas as entidades devem garantir que essas contas sejam utilizadas exclusivamente para cumprir funções bem definidas, e evitem seu desvio para cumprir outras tarefas. Se suas senhas não puderem ser modificadas regularmente, o faudra também executará outros controles de acesso.
Des falhas e falhas inquietantes
Sobre certas questões, on peut se demander pourquoi l'ANSSI ne vas plus loin dans sa transposition de NIS2. No que diz respeito ao MFA, por exemplo, o texto original da diretiva europeia exige «a utilização da autenticação multifatorial ou de soluções de autenticação continue […] na entidade, où apropriado ». Estes dois últimos podem forçar menos interpretações mais ou menos rigorosas.
L'ébauche actuelle de la transposition française adota uma posição peu contraignante. Para as entidades «importantes», nenhuma cláusula não impõe o MFA. Coloque um mecanismo de autenticação no lugar com um passe suficiente para demeurer conforme. Mesmo no quadro de proteção de acesso privilegiado, na hora de não ver o MFA imposto adicional exigências de segmentação em níveis e planejamento de ações. Uma medida aura foi alinhada com o espírito da diretiva europeia e com as exigências das garantias cibernéticas.
Embora muitas vezes seja mais surpreendente no que diz respeito às entidades «essenciais», para aqueles que o MFA não é necessário para o acesso distante através de um sistema de níveis de informação – por exemplo, para os prestatários externos. Qu'en est-il d'outres acessos privilegiados, por exemplo, para proteger as aberturas de sessão de contas de administradores de domínio? De acordo com a Microsoft, o MFA pode bloquear 99,9% dos ataques – para que não seja imposto mais fermentar seu aplicativo em nossas críticas de estruturas?
A versão atual é muito realista e acessível. Em uma declaração de caso, a ANSSI prevê algumas medidas alternativas “quando as razões técnicas ou operacionais não permitem pas” a mise en œuvre da diretiva inicial prevista. Assim, uma organização que não pode, por exemplo, colocar o MFA nos acessos distantes (objetivo 9), alterar as senhas (objetivo 13), criar contas individuais para os usuários ou cartões automáticos (objetivo 13), ou realizar ações de administração a partir de uma conta de administração (objetivo 14) pode menos demeurer conforme a condição de encontrar outras vezes para mitigar os riscos associados.
É evidente que algumas dessas diretivas podem ser técnicas difíceis, mas impossíveis. Infelizmente, muitas organizações adotam esse tipo de regulamentação de forma legível – é simplesmente uma questão de cobrir muitos casos que reduzem verdadeiramente os riscos de ataques. O número de exceções ou derrogações possíveis não é surpreendente e corre o risco de deixar a porta aberta para ataques de futuros a entidades menos escrupulosas. Não é certo que a ANSSI não decida fazer uso de certas exigências.
Conclusão
On se réjouit de voir esta estreia ébauche prendre me plusieurs mois avant la date butoir imposta pela directiva europeia. Algumas organizações tiveram uma ideia inicial de projetos a serem priorizados.
É evidente que as medidas impostas, nomeadamente para as entidades «essenciais», contribuem para a modernização e para a segurança das críticas às infra-estruturas. No contexto geopolítico de todos os tempos mais incertos, a França e a Europa provavelmente se prepararão contra as ameaças de ataques debilitantes. Além disso, certos organismos da elite nacional, especialmente no setor público, têm um nível de maturidade de segurança cibernética alarmante.
Heureusement, plusieurs sociétés et organizações devem esperar proativamente as medidas se estiverem em conformidade com os dados do documento circulado pela ANSSI. Os participantes dos Assises da Cybersécurité nos últimos anos, por exemplo, constaram um grande número de participantes que se dedicaram a trabalhar em suas estruturas de projetos de tiering et bastion. Mesmo que esses exemplos sejam mais correntes em seu setor privado que público, você pode esperar que o retorno da experiência e o conhecimento acumulado sejam lucrados com o conjunto de infraestruturas do país.
Comentário Silverfort pode ajudar na mise em conformidade com NIS2?
Silverfort pode ajudar na mise em conformidade com estas diretivas. Em 1 mês de semana, e sem necessidade de modificações, lourdes em sua infraestrutura, nossa plataforma pode ser:
- Objetivo 5:
- Recenser rapidamente o conjunto de acessos e privilégios em cada ano, e inclui as fontes e dependências de cada autenticação
- Efetuar um recenseamento completo de contas de serviço e contas híbridas
- Objetivo 9:
- Identifica rapidamente as contas de privilégios pré-selecionadas à segmentação em zonas de segurança
- Objetivo 10:
- Proteja seu acesso remoto (RDP, RDS, SSH, PowerShell, PsExec, WMI) com uma solução MFA de sua escolha (compatível com Microsoft Authenticator, Ping, Duo, Okta, clés Yubico ou outros jatos FIDO2)
- Objetivo 13:
- Identifica as contas que possuem privilégios excessivos, os acessos que empregam as velhas senhas
- Alertar ou bloquear todas as tentativas de acesso à proveniência de uma conta de serviço que não seja de seu comportamento habitual
- Jornalista de acesso à integração anual
- Objetivos 14 e 15:
- Etendre le MFA à abertura de sessão nos postos de trabalho dos administradores
- Alertar ou bloquear as tentativas de acesso que não respeitam as regras de segmentação por níveis, por exemplo, entre o nível 1 e o nível 0
- Alertar ou bloquear as tentativas de contorno do bastião, por exemplo, pelo intermediário de uma conta de serviço
- Objetivo 16:
- Jornalize as autenticações de humanos e máquinas na integração anual, compreendendo suas fontes e destinos
Para saber mais sobre a forma não Silverfort você pode ajudá-lo a aliviar suas deficiências em termos de segurança de identidade, exija uma demonstração aqui.