Dois-je crypter les connexions à l'intérieur d'un réseau d'entreprise?

Quelles sont les chances réelles que quelqu'un vole son identité?

L'exécution d'une attaque MITM sur une connexion HTTP sur le même LAN est fondamentalement triviale. ARP n'est pas conçu pour être sécurisé. Certains commutateurs haut de gamme offrent une atténuation raisonnable, mais ils sont généralement assez faibles sur tout ce qui n'est pas fabuleusement cher.

Un employé se plaint qu'il n'aime pas envoyer ses informations d'identification en texte brut sur le réseau et qu'il ne peut pas prendre la responsabilité de son identité réseau dans un tel cas.

Si le gars est responsable des mesures prises avec ses informations d'identification, il est injuste de ne pas prendre de précautions raisonnables pour protéger ces informations des autres employés. Ils peuvent être à l'abri des acteurs externes en raison de l'isolement du réseau, mais ce n'est probablement pas ce qui inquiète le gars ...

Oui, vous devez crypter vos connexions. Prenons un scénario où vous pensez que votre réseau est physiquement sécurisé (avec la sécurité physique requise et d'autres mesures de sécurité requises) et aucun accès à Internet (puisque vous avez indiqué que vous autorisez uniquement l'accès VPN à des sources fiables), mais supposons que vos employés prennent leur ordinateur portable la maison et la connexion à Internet. Les chances qu'un logiciel malveillant soit implémenté sans préavis sont là. Et ce malware peut devenir actif lorsqu'il est connecté à votre réseau d'entreprise et commence à renifler du trafic. Cela conduirait à l'exposition de toutes vos communications d'entreprise, y compris les informations d'identification de chacun.

Par conséquent, il est toujours recommandé de crypter le trafic sensible.

De plus, une étude de CA (Insider Threat Report - 2018) indique ci-dessous les préoccupations concernant les menaces internes (Référence: https://www.ca.com/content/dam/ca/us/files/ebook/insider-threat -report.pdf ).

Extrait du rapport:

• Quatre-vingt-dix pour cent des organisations se sentent vulnérables aux attaques internes. Les principaux facteurs de risque habilitants comprennent un trop grand nombre d'utilisateurs disposant de privilèges d'accès excessifs (37%), un nombre croissant d'appareils ayant accès à des données sensibles (36%) et la complexité croissante des technologies de l'information (35%).
• Une majorité de 53% a confirmé des attaques internes contre leur organisation au cours des 12 derniers mois (généralement moins de cinq attaques). Vingt-sept pour cent des organisations affirment que les attaques internes sont devenues plus fréquentes.

• Les organisations se concentrent désormais sur la détection des menaces internes (64%), suivies des méthodes de dissuasion (58%) et de l'analyse et de la criminalistique post-violation (49%). L'utilisation de la surveillance du comportement des utilisateurs s'accélère; 94% des organisations déploient une méthode de surveillance des utilisateurs et 93% surveillent l'accès aux données sensibles.

• Les technologies les plus populaires pour dissuader les menaces internes sont la prévention de la perte de données (DLP), le chiffrement et les solutions de gestion des identités et des accès. Pour mieux détecter les menaces internes actives, les entreprises déploient la détection et la prévention des intrusions (IDS), la gestion des journaux et les plateformes SIEM.

• La grande majorité (86%) des organisations ont déjà ou sont en train de mettre en place un programme contre les menaces internes. Trente-six pour cent ont un programme officiel en place pour répondre aux attaques internes, tandis que 50% se concentrent sur le développement de leur programme.

Les solutions/contrôles d'atténuation possibles pour les attaques internes seraient: Source: Rapport sur les menaces internes 2018, CA Technologies

Risque de répudiation

En plus de toutes les bonnes réponses sur les employés en tant que menace et les visiteurs en tant que menace, je pense que vous devez considérer que le simple fait que le trafic ne soit pas chiffré est en lui-même une vulnérabilité même en l'absence totale de pirates .

Vous vous préparez à une situation où tout employé qui fait quelque chose qu'il n'est pas censé faire (par erreur ou exprès) et qui est ensuite appelé à le faire peut nier que c'était bien eux. Normalement, vous, le manager, dites simplement: "nous savons que c'est vous parce que vous étiez connecté". Dans ce cas, l'employé accusé peut raisonnablement répondre "la connexion ne vaut rien et vous le savez. N'importe qui sur le réseau local aurait pu renifler mon mot de passe et faire cette mauvaise chose en se faisant passer pour moi".

Certaines entreprises, en particulier les plus grandes qui existent depuis assez longtemps pour développer de mauvaises habitudes, ont à peu près le modèle de sécurité fallacieux suivant:

Le réseau est sûr tant que personne d'autre ne s'y connecte et que personne à l'intérieur n'est suffisamment qualifié sur le plan technologique pour en abuser.

Est-ce possible de protéger dans tous les cas? Non, mais des contrôles d'accès physiques/aux bâtiments appropriés peuvent aider à réduire le risque. Mais que se passe-t-il si les invités sont autorisés dans le bureau pour les réunions, etc. Y a-t-il des ports Ethernet facilement accessibles dans les salles de conférence ou des réseaux sans fil facilement accessibles, ou ces réseaux sont-ils séparés de ceux sur lesquels les informations d'identification peuvent circuler?

Cela dépend aussi de ce que vous essayez de protéger. Considérez le pire des cas où quelqu'un (de l'intérieur ou de l'extérieur de l'organisation) vole des informations d'identification en clair pour un autre utilisateur. Que peuvent-ils faire? accéder à une infrastructure critique ou simplement à des serveurs de développement discrets? Si une identité est volée, pouvez-vous déterminer qui utilise la connexion?

Idéalement, tout le monde utiliserait le cryptage partout. Mais si les menaces ci-dessus sont dans votre tolérance au risque, il n'est peut-être pas urgent de crypter les ressources intranet. Selon la taille de l'organisation, le déploiement d'une autorité de certification et de certificats SSL sur toutes les ressources peut entraîner des frais supplémentaires. Demandez-vous ce qui est pire: le pire des cas ou mettre le travail pour tout crypter?

En 2018, la réponse dépend de vos résultats d'analyse des menaces et des risques. Ce que vous avez bien sûr réalisé, identifié les scénarios probables, les évalué et pris une décision commerciale basée sur l'impact et la fréquence, selon une méthode statistique ou quantitative appropriée.

Cependant, votre employé a fait sa propre analyse des risques personnels et est arrivé au résultat que vous avez indiqué, à savoir:

il ne peut pas prendre la responsabilité de son identité réseau dans un tel cas

Et il a parfaitement raison dans cette évaluation. Même un regard superficiel sur la situation montre clairement que quelqu'un d'autre que lui, avec des compétences techniques minimales, pourrait se faire passer pour lui.

Pour vous le risque commercial est acceptable (évidemment, je veux dire que c'est 2018, que le réseau interne n'est pas crypté est une décision intentionnelle et non, disons, un cas où nous l'avons toujours fait) comme ça, non?) et vous pourriez bien avoir raison dans cette décision. Accepter un risque est une option parfaitement valable.

Pour lui le risque n'est pas acceptable. Notez qu'il ne prend pas de décision commerciale pour l'entreprise avec sa déclaration. Il prend une décision personnelle pour lui-même. C'est pourquoi les deux analyses de risque peuvent aboutir à des résultats différents - contexte différent, appétit pour le risque, impacts.

La bonne réponse est que vous prenez la responsabilité qu'il refuse de prendre. En exploitant le réseau non crypté et en acceptant le risque, l'entreprise assume la responsabilité de l'identité du réseau des utilisateurs de ce réseau, car elle a décidé de ne pas les protéger.

Je peux également me tromper dans mes hypothèses sur la gestion des risques de votre entreprise, auquel cas je recommande de faire une analyse des risques de ce fait particulier (réseau interne non chiffré) et de la menace (usurpation d'identité des utilisateurs) afin que vous puissiez soit réviser la décision d'avoir un réseau non chiffré, ou le solidifier avec des résultats qui montrent que la sécurisation du réseau coûterait plus cher que la perte attendue.

Oui, vous devez crypter à l'intérieur de votre réseau corp "sécurisé".

Toute pénétration du réseau conduira à espionner le trafic, et tout ce qui n'est pas chiffré est un choix facile pour l'attaquant. Identifiants, mots de passe, informations sur les salaires, plans d'affaires, etc.

Pour les histoires d'horreur du monde réel, recherchez simplement la "sécurité des mouvements latéraux". Coquille dure et croquante, l'intérieur moelleux n'est plus une posture de sécurité valide pour aucune entreprise.

Bien que le GDPR ait peu d'exigences techniques strictes, si vous manipulez des informations personnelles pour les citoyens de l'UE, une solution courante pour respecter la conformité au RGPD est de montrer que vous disposez d'un cryptage sur les données en vol (sur votre réseau)

La réalité est que, votre sécurité physique mise à part, il n'est tout simplement pas trop difficile d'accéder au réseau, soit en vous connectant physiquement à un port (surveillez-vous votre personnel de nettoyage tous les soirs? - que diriez-vous de visiter des fournisseurs?) Ou, plus probablement, par une certaine forme d'intrusion dans le réseau.

D'autres ont cité le document BeyondCorp de Google, qui vaut la peine d'être lu. https://cloud.google.com/beyondcorp/

Essentiellement, votre réseau "intérieur" ne devrait pas faire confiance beaucoup plus que l'Internet extérieur sauvage et méchant.

Le chiffrement est une position défensive à faible coût et à récompense élevée. Pourquoi tu ne le ferais pas?

Oui. Vous devez toujours crypter les connexions sur n'importe quel intranet, comme vous le feriez sur Internet public.

--- DNS Rebinding attack publicized hier permet à un attaquant un accès complet à toutes les ressources HTTP sur l'intranet d'une victime, en utilisant une redirection DNS d'une adresse IP contrôlée par l'attaquant vers une IP intranet corproate (par exemple 10.0.0.22) . (La numérisation d'un espace IP intranet pour les services HTTP peut être effectuée avec autres techniques , facilitée par connaissance de l'adresse IP privée de l'utilisateur .)

La seule chose nécessaire pour qu'une telle attaque fonctionne est de astuce la victime à charger une page Web contrôlée par l'attaquant (ou javascript ou iframe, etc.).

Cette attaque est mieux atténuée avec HTTPS, car la redirection DNS ne correspondra pas au domaine de certificat présenté. Bien que la suppression des hôtes virtuels par défaut semble également atténuer cette attaque particulière, cette attaque ne fait que montrer comment l'exposition de ressources internes sur des connexions non chiffrées peut se transformer en une responsabilité avec une vulnérabilité de sécurité ailleurs. (Je ne parle même pas de la multitude de vulnérabilités wifi 802.11 que nous avons connues à la fin de l'année dernière. Veuillez ne pas exposer les ressources intranet via wifi!)

Défense en profondeur

Il y a plusieurs bonnes réponses ici, mais même si vous faites entièrement confiance à tous vos employés (ce que vous ne devriez probablement pas), vous ouvrez la porte à un attaquant externe et rendez la sécurité beaucoup plus difficile.

Normalement, un attaquant doit d'abord accéder d'une manière ou d'une autre à votre réseau (cela peut être fait de diverses manières), puis il doit obtenir une connexion quelque part pour accéder réellement aux données sensibles. En fournissant des mots de passe de connexion non cryptés partout dans le monde, vous venez de faciliter la deuxième étape. Désormais, chaque fois qu'un attaquant accède à votre réseau, il a immédiatement accès à des informations d'identification de haut niveau.

Le concept de défense en plusieurs couches est appelé défense en profondeur - si un attaquant peut compromettre une couche, il doit encore franchir des barrières supplémentaires pour causer du tort.

Alors s'il vous plaît CHIFFREZ VOS CRÉDITS!

dois-je crypter l'accès aux ressources intranet via HTTP?

Oui - si les gens s'authentifient contre le service.

Quelles sont les chances réelles que quelqu'un vole son identité?

Je ne sais pas - je n'ai jamais rencontré les personnes qui travaillent dans votre bureau/sont à portée de son réseau Wifi/pourraient être en mesure d'exploiter votre réseau. Je ne sais pas ce que vous considérez comme un "niveau de sécurité physique décent". Je ne sais pas combien vous faites confiance aux "parties de confiance". Certes, la surveillance des adresses MAC ne fait pas grand-chose pour se protéger contre le reniflement du réseau.

Combien cela ferait-il de mal d'implémenter TLS?

La critique de votre employé est parfaite.

Pensez-y de cette façon: si vous faites confiance à votre réseau au point où le cryptage des informations d'identification semble inutile, alors pourquoi avez-vous besoin d'informations d'identification? Pensez-vous que vous pourriez remplacer un formulaire de connexion par un simple champ où les utilisateurs peuvent taper leur nom?

Si la réponse est non, envoyer des informations d'identification non chiffrées n'est pas une option non plus, car vous ne faites pas beaucoup confiance à vos parties de confiance, et un mot de passe envoyé via HTTP n'est pas vraiment un secret.