Hervé Dhelin, Stratégie SVP chez EfficientIP
Des conséquences catastrophiques en cas de non-conformité
Le Règlement GDPR impose un ensemble de règles à respecter si vous détenez des données sur des citoyens européens. Dans le nouveau monde des données d'aujourd'hui, il faut se prémunir des pertes de données et violations de réseau ; phénomènes qui sont devenus incontrôlables ces dernières années. Avec une réglementation limitée, les entreprises victimes d’exfiltrations peuvent s'en sortir avec des excuses, la chute du cours de leur action et éventuellement la démission d'un ou deux de leurs dirigeants. Mais cela est sur le point de changer car des pénalités conséquentes s'annoncent au loin. Les vols de données n'auront pas seulement des effets importants pour les entités dont les données ont été volées ; avec le Règlement GDPR, elles engendreront des conséquences fortes sur les entreprises victimes : des pénalités comprises entre 2% et 4% du chiffre d'affaires mondial, ainsi que des sanctions pouvant contraindre les entreprises à totalement cesser le traitement les données des utilisateurs.
Le Règlement GDPR comporte cependant un certain nombre de zones grises et nul ne sait quelles seront les conséquences. Si une récente étude menée par PWC rapportait que les CIO prétendent allouer des millions de dollars de budget pour se conformer au Règlement GDPR, comment savent-ils qu'ils placent leurs budgets au bon endroit ? Par où doivent-ils commencer ?
Comment s’en prémunir ?
Il est important que les organisations aient mis en place de solides politiques de sécurité passant par l’amélioration de la sécurité du réseau et de la protection des données. L'attaque souvent négligée est l'exfiltration de données via DNS.
L'exfiltration par le DNS fait souvent suite à une attaque sophistiquée. Tandis que la plupart des systèmes de sécurité bloquent les mécanismes évidents de transfert de données (ex. FTP), le protocole DNS restent souvent non sécurisé. Cela offre aux attaquants une échappatoire - où les connexions aux serveurs ne sont pas bloquées.
Il existe deux façons d'extraire des données sur votre réseau à l'aide du DNS :
Mettre en place des blocs de données codées dans des requêtes DNS
Le tunneling, qui exfiltre des données dans le tunnel de DNS vers un serveur de noms complice. Ainsi, les assaillants détiennent un canal de commande et de contrôle pour leurs outils et crée un moyen rapide d'extraire des données ; une attaque connue et permettant par exemple d’exfiltrer 18 000 numéros de carte de crédit par minute au serveur d'un attaquant.
Les cybercriminels utilisent le DNS pour l'exfiltration de données, car les outils de sécurité traditionnels sont généralement capables de verrouiller les routes les plus faciles du réseau via des protocoles plus communs tels que HTTP ou FTP. Par conséquent, les attaquants doivent désormais explorer, expérimenter et tirer parti d'autres protocoles. Il est également facile de cacher des données exfiltrées dans le cadre normal d’une requête DNS.
Toutes les applications d'aujourd'hui sont basées sur IP et utilisent donc les services DNS pour opérer, ce qui signifie que la plupart des serveurs DNS sont constamment occupés. Ensuite, vient se greffer un problème supplémentaire avec le BYOD et le Wi-Fi public. Le volume total de trafic fait qu'il est difficile de d’analyser et de détecter les requêtes utilisées pour l'exfiltration, surtout lorsqu'elles peuvent être espacées au fil du temps en fonction du trafic normal.
Alors, comment protéger vos réseaux ?
Tout d'abord, en inspectant votre trafic. Les techniques traditionnelles de surveillance risquent de bloquer le trafic légitime. En intégrant des outils de sécurité dans vos serveurs DNS pour voir ce qu’il se passe à l'intérieur de ceux-ci, vous avez une meilleure vue d'ensemble et une granularité fine pour analyser chaque transactions. Une fois que vous avez identifié un trafic malveillant, vous pouvez commencer à contrer l’attaque en bloquant les domaines ou requêtes malveillants en réduisant les risques de faux positifs.
Préserver la sécurité DNS est la première étape pour aider à la conformité au Règlement GDPR, car il ne s'agit pas seulement d'éviter les infractions. Il faut également signaler tout vol de données le plus rapidement possible et sous 72 heures. Le mieux étant de ne pas avoir à signaler un vol de données.
Nous sommes dans un monde de plus en plus dangereux où les données sont utiles aux entreprises - et aux attaquants. Le Règlement GDPR impose aux entreprises d'optimiser leur sécurité et prévoit des pénalités importantes en cas de défaillance. Cela suppose beaucoup plus que de juste protéger vos bases de données. Il faut également protéger chaque partie de vos réseaux IP.
Le Règlement GDPR impose un ensemble de règles à respecter si vous détenez des données sur des citoyens européens. Dans le nouveau monde des données d'aujourd'hui, il faut se prémunir des pertes de données et violations de réseau ; phénomènes qui sont devenus incontrôlables ces dernières années. Avec une réglementation limitée, les entreprises victimes d’exfiltrations peuvent s'en sortir avec des excuses, la chute du cours de leur action et éventuellement la démission d'un ou deux de leurs dirigeants. Mais cela est sur le point de changer car des pénalités conséquentes s'annoncent au loin. Les vols de données n'auront pas seulement des effets importants pour les entités dont les données ont été volées ; avec le Règlement GDPR, elles engendreront des conséquences fortes sur les entreprises victimes : des pénalités comprises entre 2% et 4% du chiffre d'affaires mondial, ainsi que des sanctions pouvant contraindre les entreprises à totalement cesser le traitement les données des utilisateurs.
Le Règlement GDPR comporte cependant un certain nombre de zones grises et nul ne sait quelles seront les conséquences. Si une récente étude menée par PWC rapportait que les CIO prétendent allouer des millions de dollars de budget pour se conformer au Règlement GDPR, comment savent-ils qu'ils placent leurs budgets au bon endroit ? Par où doivent-ils commencer ?
Comment s’en prémunir ?
Il est important que les organisations aient mis en place de solides politiques de sécurité passant par l’amélioration de la sécurité du réseau et de la protection des données. L'attaque souvent négligée est l'exfiltration de données via DNS.
L'exfiltration par le DNS fait souvent suite à une attaque sophistiquée. Tandis que la plupart des systèmes de sécurité bloquent les mécanismes évidents de transfert de données (ex. FTP), le protocole DNS restent souvent non sécurisé. Cela offre aux attaquants une échappatoire - où les connexions aux serveurs ne sont pas bloquées.
Il existe deux façons d'extraire des données sur votre réseau à l'aide du DNS :
Mettre en place des blocs de données codées dans des requêtes DNS
Le tunneling, qui exfiltre des données dans le tunnel de DNS vers un serveur de noms complice. Ainsi, les assaillants détiennent un canal de commande et de contrôle pour leurs outils et crée un moyen rapide d'extraire des données ; une attaque connue et permettant par exemple d’exfiltrer 18 000 numéros de carte de crédit par minute au serveur d'un attaquant.
Les cybercriminels utilisent le DNS pour l'exfiltration de données, car les outils de sécurité traditionnels sont généralement capables de verrouiller les routes les plus faciles du réseau via des protocoles plus communs tels que HTTP ou FTP. Par conséquent, les attaquants doivent désormais explorer, expérimenter et tirer parti d'autres protocoles. Il est également facile de cacher des données exfiltrées dans le cadre normal d’une requête DNS.
Toutes les applications d'aujourd'hui sont basées sur IP et utilisent donc les services DNS pour opérer, ce qui signifie que la plupart des serveurs DNS sont constamment occupés. Ensuite, vient se greffer un problème supplémentaire avec le BYOD et le Wi-Fi public. Le volume total de trafic fait qu'il est difficile de d’analyser et de détecter les requêtes utilisées pour l'exfiltration, surtout lorsqu'elles peuvent être espacées au fil du temps en fonction du trafic normal.
Alors, comment protéger vos réseaux ?
Tout d'abord, en inspectant votre trafic. Les techniques traditionnelles de surveillance risquent de bloquer le trafic légitime. En intégrant des outils de sécurité dans vos serveurs DNS pour voir ce qu’il se passe à l'intérieur de ceux-ci, vous avez une meilleure vue d'ensemble et une granularité fine pour analyser chaque transactions. Une fois que vous avez identifié un trafic malveillant, vous pouvez commencer à contrer l’attaque en bloquant les domaines ou requêtes malveillants en réduisant les risques de faux positifs.
Préserver la sécurité DNS est la première étape pour aider à la conformité au Règlement GDPR, car il ne s'agit pas seulement d'éviter les infractions. Il faut également signaler tout vol de données le plus rapidement possible et sous 72 heures. Le mieux étant de ne pas avoir à signaler un vol de données.
Nous sommes dans un monde de plus en plus dangereux où les données sont utiles aux entreprises - et aux attaquants. Le Règlement GDPR impose aux entreprises d'optimiser leur sécurité et prévoit des pénalités importantes en cas de défaillance. Cela suppose beaucoup plus que de juste protéger vos bases de données. Il faut également protéger chaque partie de vos réseaux IP.