Selon un rapport de l’entreprise de cybersécurité Continuity Software, les systèmes de stockage ont une posture de sécurité nettement plus faible que les deux autres couches de l'infrastructure IT, à savoir les équipements informatiques (PC et serveurs) et les réseaux. L’analyse des données de plus de 400 dispositifs de stockage d'entreprise a révélé qu’en moyenne, chaque dispositif de sécurité d'entreprise était exposé à 6 300 problèmes de sécurité discrets liés à 15 vulnérabilités. L’analyse a concerné des équipements de fournisseurs comme Brocade, Cisco, Dell EMC, IBM, Hitachi Data Systems et NetApp.
« Parmi les trois principales catégories d'infrastructure IT (calcul, réseau et stockage), c'est souvent le stockage qui présente la plus grande valeur, tant du point de vue de la sécurité que de l'activité », a déclaré dans un communiqué Gil Hecht, fondateur et CEO de Continuity. « Les vulnérabilités de sécurité et les mauvaises configurations des dispositifs de stockage représentent une menace importante, d'autant plus que, ces dernières années, les entreprises ont été particulièrement ciblées par des attaques de ransomware. Pourtant, d'après notre analyse, la posture de sécurité de la plupart des systèmes de stockage des entreprises est étonnamment faible », a ajouté le CEO de Continuity.
« Les entreprises doivent agir immédiatement pour mieux protéger leurs systèmes de stockage et leurs systèmes de sauvegarde afin de garantir la sécurité de leurs données contre les ransomwares et autres cyberattaques », a encore déclaré M. Hecht. Sur les 15 vulnérabilités majeures détectées dans le cadre de cette recherche, trois étaient particulièrement critiques et exposaient à des risques de sécurité très élevés. Le rapport rapporte également que 170 principes de sécurité n'ont pas été correctement suivis par les équipes des entreprises ayant fait l’objet de cette analyse.
Les protocoles vulnérables, parmi les principaux risques de sécurité
Les trois principales vulnérabilités mises en évidence par le rapport concernent l'utilisation de protocoles ou de paramètres de protocole vulnérables, des vulnérabilités CVE (Common Vulnerabilities and Exposure) non corrigées et des problèmes de droits d'accès. D'autres vulnérabilités importantes concernent la gestion et l'authentification non sécurisées des utilisateurs, ainsi qu'une journalisation insuffisante. Le rapport souligne que les protocoles ou paramétrages de protocoles vulnérables sont souvent liés à l'absence de désactivation, ou à l'autorisation par défaut de l’usage des anciennes versions, de protocoles de stockage comme SMB (Server Message Block) version 1 et NFS (Network File System) version 3. Les protocoles ou paramétrages de protocoles vulnérables résultent également de l'utilisation de suites comme TLS (Transport Layer Security) 1.0 et 1.1, SSL (Secure Sockets Layer) 2.0 et 3.0, que les experts en sécurité ne recommandent plus.
Le rapport indique également que les outils de gestion des vulnérabilités couramment utilisés par les entreprises ne détectent pas beaucoup de CVE relatives au stockage, mais se concentrent plutôt sur le système d'exploitation des serveurs, les équipements réseau traditionnels et les produits logiciels. Ce qui signifie qu’un grand pourcentage de dispositifs de stockage (près de 20%) sont exposés. Plus de 70 vulnérabilités CVE différentes ont été détectées dans les environnements couverts par la recherche. Les principaux problèmes liés aux droits d'accès concernent un grand nombre de dispositifs affectés par une configuration incorrecte, notamment un accès illimité au stockage partagé, une configuration de zonage et de masquage non recommandée, la possibilité d'atteindre des éléments de stockage à partir de réseaux externes, etc. La gestion et l'authentification non sécurisées des utilisateurs renvoient à une série de problèmes, notamment l'utilisation non recommandée d'utilisateurs locaux, l'utilisation de comptes d'administration non individuels, la non-application des restrictions de gestion des sessions et la séparation inappropriée des tâches ou des rôles.
Des vulnérabilités identifiées dans plusieurs technologies de stockage
Continuity a compilé des données anonymes provenant de plus de 20 environnements de clients en Amérique du Nord et en EMEA (Europe, Moyen-Orient et Afrique), couvrant les services bancaires et financiers, le transport, la santé, les télécommunications et d'autres secteurs industriels. L'analyse a porté sur la configuration de systèmes de stockage par blocs, objets et IP, de SAN/NAS, de serveurs de gestion du stockage, d'appliances de stockage, de SAN virtuels, de commutateurs réseau de stockage, d'appliances de protection des données, de systèmes de virtualisation du stockage et d'autres dispositifs de stockage.
Le moteur de détection automatique des risques de Continuity Software a été utilisé dans le cadre de la recherche pour évaluer les multiples erreurs de configuration et vulnérabilités au niveau du stockage qui pourraient constituer une menace pour la sécurité des données de l'entreprise. « Nous avons fait appel à des spécialistes des données, mais nous avons essentiellement utilisé la collecte des informations brutes. Nous l'avons fait avec nos propres outils de cartographie des données. Ainsi, l’un des problèmes auquel sont confrontées les entreprises, dans tous les aspects de la gestion de l’IT, et pas seulement pour les données et le stockage, concerne la visibilité, c'est-à-dire de trouver tous leurs actifs, de comprendre comment ils sont configurés, de capturer les données de configuration, de les suivre au fil du temps », a expliqué Doron Pinhas, directeur technique de Continuity.
Selon le CTO, une partie de la méthodologie de Continuity consistait à utiliser une vaste base de connaissances décrivant les vulnérabilités possibles. Continuity a également utilisé sa technologie pour examiner les données recueillies et déterminer les vulnérabilités existantes. Elle a ensuite entré les informations dans une base de données pour les analyser à l'aide de diverses métriques. Parmi les autres problèmes moins importants détectés par l'étude, le rapport cite l'utilisation incorrecte des fonctions de protection contre les ransomwares, les API/CLI non documentées et non sécurisées, de même que la vulnérabilité et le manque de surveillance de la gestion de la chaîne d'approvisionnement des logiciels de stockage. Le rapport note également qu'il existe une faible corrélation entre l'emplacement géographique et la maturité de la sécurité du stockage, ce qui signifie que la fréquence et la gravité des menaces observées ne changent pas en cas de changement de lieu.
Comment se protéger
Parmi les recommandations formulées dans le rapport, on peut citer l'évaluation des régimes de sécurité interne existants pour vérifier qu'ils prennent suffisamment en compte l'infrastructure de stockage, l'identification des éventuelles lacunes en matière de connaissances sur la sécurité du stockage et l'élaboration/amélioration des programmes de sécurité pour combler ces lacunes. Le rapport encourage également le recours à l'automatisation pour évaluer en permanence l'état de la sécurité des infrastructures de stockage. « Nous recommandons notamment aux clients de cartographier rapidement les classifications de données, un domaine pour lequel les RSSI reconnaissent qu'ils ne sont pas doués », a déclaré Doron Pinhas. « Les entreprises devraient vraiment se forger une vision très claire de leurs bases de sécurité, en particulier connaître leurs actifs, comprendre comment ils peuvent être attaqués, et avoir une très bonne image de la surface d'attaque. La bonne nouvelle, c'est que nous disposons de ressources et de technologies », a-t-il ajouté. Dans un rapport similaire publié par Gartner le mois dernier, le cabinet d'études a déclaré que la plupart des attaques par ransomware ciblaient des ensembles de données non structurées sur des partages réseau. Dans le genre, les solutions de stockage de fichiers centralisées représentent une cible très attractive pour le chiffrement contre rançon et/ou l'exfiltration de grandes quantités de données.