Un trio de mesures d'une grande portée les violations de données des principales plateformes de transfert de fichiers GoAnywhere, IBM Aspera et MOVEit ont mis en évidence le risque important que représente l'association de vos propres serveurs avec des services de transfert de fichiers volumineux.
Nous analysons ci-dessous la nature de ces incidents, les personnes touchées et la manière dont l'association de vos propres serveurs à des services de transfert de fichiers volumineux peut facilement accroître votre vulnérabilité à une violation de données, voire à des situations bien plus graves.
Table des matières
Transfert sécurisé de fichiers dans le nuage
MASV est un service de transfert de fichiers sécurisé conforme aux normes ISO 27001, SOC 2 et TPN (statut Gold Shield).
Que sont ces violations de données ? Et quel est leur rapport avec le transfert de fichiers auto-hébergés ?
Des vulnérabilités critiques ont été découvertes dans les deux IBM Aspera, GoAnywhereet le logiciel MOVEit cette année.
La vulnérabilité Aspera
Le site Vulnérabilité de l'IBM AsperaCVE-2022-47986, permet à des utilisateurs non authentifiés d'exécuter à distance un code malveillant sur des serveurs utilisant IBM Aspera. Cette vulnérabilité a fait l'objet d'une note de sévérité de 9,8 sur 10 - ou "une faille de sécurité aussi mauvaise que possible", selon le site La nouvelle pile.
Des chercheurs en sécurité de Sentinelle 1 dit CVE-2022-47986 a été utilisé par IceFire, un groupe de pirates informatiques, pour installer des ransomwares ou d'autres logiciels malveillants sur les serveurs de diverses entreprises.
IBM a signalé cette vulnérabilité à la fin du mois de janvier et a publié en même temps un correctif pour cette faille.
La vulnérabilité de GoAnywhere
GoAnywhere, propriété de Fortra (anciennement HelpSystems), a récemment connu un problème similaire.
Une vulnérabilité dans la plateforme de GoAnywhere, répertoriée sous la référence CVE-2023-0669, a été utilisée par le groupe Cl0p. gang des ransomwares pour pénétrer dans les serveurs des utilisateurs de GoAnywhere et y installer un ransomware. Le groupe a menacé de publier les données sensibles qu'il avait recueillies si la rançon n'était pas payée.
Selon les médias, environ Plus de 130 organisations ont été touchés, notamment Hitachi Energy, Saks Fifth Avenue, la ville de Toronto et Galderma. certaines organisations pourraient avoir été touchées et ne le savent pas encore.
Contrairement à la faille IBM Aspera, les détails de la faille GoAnywhere n'ont pas été rendus publics avant que le chercheur en sécurité Brian Krebs a signalé pour la première fois les détails du problème le 2 février, après avoir remarqué un avertissement derrière une page de connexion GoAnywhere.
Bien que Fortra ait initialement publié un atténuation des solutions de contournement (ce qui implique de trouver et de supprimer une configuration spécifique de mappage de servlet dans le code) et a recommandé aux administrateurs d'auditer leurs installations, la société a publié un correctif cinq jours plus tard.
La vulnérabilité du MOVEit
Le plus récent des trois incidents, un vulnérabilité dans le service de transfert de fichiers géré par MOVEit (CVE-2023-34362) exploite une faiblesse qui peut permettre à des acteurs malveillants de bénéficier d'une élévation de privilèges et d'un accès non autorisé à l'environnement de l'utilisateur. La vulnérabilité affecte à la fois les systèmes sur site et en nuage, et des preuves d'exploitation et d'exfiltration de données ont déjà été observées.
Progress Software, la société mère d'Ipswitch (le développeur de MOVEit), a demandé aux utilisateurs de couper immédiatement le trafic internet vers l'environnement MOVEit après avoir découvert le problème.
Les patchs ont a déjà été diffusée par Progress. Tous les utilisateurs de MOVEit devraient les appliquer immédiatement, tout en surveillant de manière proactive leur système pour détecter les indicateurs d'accès non autorisé, en particulier au cours des 90 derniers jours.
Mise à jour immédiate du logiciel nécessaire
Alors qu'IBM, Fortra, et progrès a publié des correctifs pour ces dans un délai relativement court, tous les trois Les infractions ont été vulnérabilités du jour zéro qui aurait pu durer des mois avant d'être découvert.
"Vous devez donc immédiatement mettre à jour vos logiciels avec les derniers correctifs pour protéger vos systèmes", explique l'article de The New Stack que nous avons mentionné précédemment. "C'est tout, les enfants".
C'est simple, n'est-ce pas ? Mais les entreprises mettent souvent des semaines (voire des mois) à appliquer manuellement les correctifs aux logiciels, s'ils le font. En attendant, dans des situations comme celle-ci, leurs données sont profondément vulnérables.
💡 Lire la suite : Comment se protéger contre le piratage de contenu
Contrôles de sécurité renforcés
Tous les transferts MASV sont cryptés en vol et au repos et vous pouvez définir des mots de passe personnalisés, des limites de téléchargement et des dates d'expiration des fichiers.
Pourquoi le transfert de fichiers auto-hébergé ne résoudra pas vos problèmes de confiance
Certaines organisations qui utilisent transfert de gros fichiers préfèrent héberger leurs données de transfert sur leurs propres serveurs. C'est généralement pour l'une des raisons suivantes :
- De nombreuses entreprises du secteur des médias et du divertissement ont déjà investi dans des serveurs de données sur site. Elles ne voient pas l'intérêt de commencer à adopter le "cloud" sans coûts irrécupérables.
- Ils ont des exigences strictes en matière de souveraineté des données ou d'autres exigences réglementaires.
- Ils ne font pas confiance à leur service de transfert de fichiers pour gérer leurs données de manière responsable (ce qui est tout à fait justifié si l'on considère que le service de transfert de fichiers n'a pas été mis en place). nombre de violations de données (en dehors de l'Europe)
Ce dernier point est un sentiment commun aux entreprises qui se sentent plus à l'aise en conservant leurs données sur leur propre infrastructure. Malheureusement, l'auto-hébergement de vos données n'offre qu'une illusion de sécurité.
En effet, en insérant diverses applications logicielles - telles que GoAnywhere ou Aspera - dans votre système, vous invitez automatiquement le code d'autres personnes dans votre infrastructurece qui rend les avantages de l'auto-hébergement en termes de confiance et de sécurité pratiquement inutiles. De plus, une plateforme telle que GoAnywhere ne se contente pas de stocker des fichiers multimédias sur votre serveur : Elle stocke également des données critiques telles que les informations d'authentification et les enregistrements des utilisateurs.
Pas de problème, me direz-vous...
...La sécurité est une responsabilité partagée entre vous et vos fournisseurs. Vous pouvez simplement renforcer votre propre sécurité.
Mais l'ajout de mesures de sécurité supplémentaires du côté du serveur, telles qu'un réseau privé virtuel (VPN), entraîne généralement un ralentissement spectaculaire de l'activité de l'entreprise. vitesse de transfert des fichiers.
Cela signifie que la plupart des utilisateurs de solutions de transfert de fichiers auto-hébergées n'ajoutent aucune protection supplémentaire. Ils sont totalement exposés et susceptibles d'être victimes d'une violation si (et quand) des vulnérabilités apparaissent, un peu comme un attaque de la chaîne d'approvisionnement par des logiciels compromis provenant des fournisseurs.
Si tout cela semble mauvais, il y a pire
Toute faille dans un système de transfert de fichiers auto-hébergé sera inévitablement beaucoup plus coûteuse, stressante et perturbatrice qu'elle ne l'aurait été autrement.
Les organisations qui utilisent le transfert de fichiers auto-hébergé et qui découvrent qu'elles ont été victimes d'une intrusion ont deux options de réponse.
- Ils peuvent simplement arrêter leur système, par exemple, pour donner à l'équipe informatique le temps de patcher le logiciel tout en limitant les dégâts. Mais cette solution est extrêmement perturbante si vous avez des centaines d'utilisateurs, de partenaires et d'employés.
- Ils peuvent également essayer de corriger la vulnérabilité sur un système réel, mais cela s'accompagne de toute une série d'autres problèmes. Avant d'exécuter la mise à jour, vous devez effectuer une série d'autres tâches, notamment la vérification, le test et la certification du logiciel corrigé. Ces mises à jour sont généralement coûteuses et prennent un temps que les petits services informatiques n'ont tout simplement pas.
Aucune de ces options n'est particulièrement appétissante. La bonne nouvelle ? Elles peuvent généralement être évitées grâce à un service de transfert de fichiers volumineux qui héberge vos données pour vous.
Sécurité Premium pour l'informatique en nuage
MASV fonctionne sur une infrastructure en nuage AWS sécurisée et de première qualité.
Les avantages du transfert de fichiers volumineux hébergé en nuage
Aucune entreprise ni aucun individu n'est à l'abri des vulnérabilités, des cyberattaques ou des violations de données. Ces problèmes potentiels peuvent s'appliquer à n'importe quel logiciel.
La différence est que remédier à une vulnérabilité au sein d'un service de transfert de fichiers volumineux hébergé dans le nuage est généralement beaucoup moins douloureuse et n'implique pas de tout arrêterou de compter sur les utilisateurs pour qu'ils remarquent d'abord le problème et qu'ils corrigent ensuite manuellement leurs versions.
Au lieu de cela, les services de transfert de fichiers volumineux hébergés dans le nuage qui gèrent leur propre infrastructure - tels que MASV - peut corriger n'importe quelle vulnérabilité en quelques minutes pour tous ses utilisateurs, avec une interruption minimale, voire inexistante. Tous les clients reçoivent automatiquement la dernière mise à jour sans aucun effort de leur part.
MASV et AWS : Une solution de transfert de fichiers plus sûre
Alors que la MASV facilite la intégration à la plupart des principales plateformes de stockage en nuageNotre principal fournisseur de services en nuage est AWS.
Soyons francs : Si une brèche similaire se produisait chez AWS, elle affecterait les clients de MASV.
Une différence essentielle réside toutefois dans le fait qu'il est beaucoup plus difficile de pénétrer dans AWS que dans un serveur aléatoire sur site. AWS héberge une multitude de données sensiblesL'Union européenne est l'un des principaux fournisseurs de services de sécurité, y compris pour le ministère américain de la défense, et elle investit régulièrement des sommes considérables dans la sécurité afin de protéger ses clients.
En outre, nous sommes probablement mieux placés pour protéger vos données de transfert de fichiers volumineux qu'une équipe informatique interne, qui a probablement un million de choses plus importantes à faire - et qui, de toute façon, n'est peut-être pas experte en matière de meilleures pratiques de sécurité dans le nuage.
Chez MASV, nous sommes des experts en sécurité informatiqueet nous avons conçu notre logiciel en mettant l'accent sur une méthodologie de sécurité nivelée :
1. Conformité et certifications
Des audits de sécurité réalisés par des tiers et des certifications délivrées par des organisations de premier plan contribuent à valider notre position en matière de sécurité.
- La MASV est certifiée ISO 27001, une norme internationale de sécurité de l'information qui respecte les meilleures pratiques et les principes de sécurité de l'information.
- Nous avons également atteint la conformité SOC 2 Type II conformément à l'American Institute of Certified Public Accountants (AICPA). SOC 2 garantit que les fournisseurs de services tiers stockent et traitent les données des clients de manière sécurisée.
- MASV est également membre de la liste des fournisseurs du Trusted Partner Network (TPN) après avoir fait l'objet d'une évaluation rigoureuse de la sécurité par une tierce partie afin de garantir la conformité avec les normes du TPN. Nous sommes récemment passés du statut de Bouclier bleu à celui de Bouclier d'or. Le TPN est une initiative mondiale de protection des contenus cinématographiques et télévisuels, détenue et gérée par la Motion Picture Association (MPA).
En outre, nous sommes conformes au règlement général sur la protection des données (RGPD) de l'UE et à la loi canadienne sur la protection des renseignements personnels et les documents électroniques (LPRPDE).
2. Sécurité de la chaîne d'approvisionnement en logiciels
MASV maintient toujours une protection adéquate du code grâce à un processus strict de gestion des changements, peu importe que nous utilisions notre propre code ou celui d'une tierce partie à source ouverte. Aucun développeur de MASV n'a le pouvoir de déployer des changements de code unilatéralement, et chaque changement de code doit suivre un processus d'approbation bien documenté impliquant des développeurs de haut niveau. En outre, toutes les modifications de code sont automatiquement examinées pour détecter les vulnérabilités et les régressions.
3. Garanties pour les employés
La MASV utilise un ensemble strict de mesures de protection des employés, y compris une formation obligatoire et régulière de sensibilisation à la sécurité, des contrôles d'accès avec le moins de privilèges possible et une surveillance des points finaux.
4. Protection des données des clients
MASV fournit des garde-fous internes et externes pour protéger les données des clients. En interne, nous déployons de multiples mesures de protection pour empêcher l'accès sans autorisation appropriée, comme l'accès au moindre privilège, ainsi que des examens et des audits périodiques de l'accès. Toutes les demandes d'accès interne élevé génèrent des alertes automatiques nécessitant une justification obligatoire.
Notre infrastructure mondiale en nuage est construite sur AWS et comprend des mesures intégrées pour empêcher le déploiement de ressources ouvertes au public, telles que des buckets S3 qui fuient. Et, juste au cas où, notre surveillance externe garantit que ces mesures ne sont jamais désactivées.
Au niveau des produits, nous proposons de nombreux contrôles de sécurité qui permettent à nos clients de mieux protéger leurs données contre les accès non autorisés, comme l'expiration automatique des transferts de fichiers, les limites d'accès et les contrôles d'accès des utilisateurs, tels que la protection par mot de passe et le contrôle de l'accès à la base de données. Ouverture de session unique (SSO). MASV supporte le SSO avec une authentification basée sur SAML, ce qui renforce votre posture de sécurité en réduisant le nombre de tentatives de connexion requises. Après tout, chaque tentative de connexion à une application est une occasion potentielle pour les pirates d'obtenir un accès.
Le MASV prend également en charge l'autorisation multifactorielle (AMF) en utilisant des applications d'authentification telles que Authy et Google Authenticator. Nous allons bientôt étendre nos options MFA pour inclure également les connexions par clé de sécurité matérielle.
L'AMF protège contre les attaques de prise de contrôle de compte en vérifiant l'identité d'un utilisateur qui tente de se connecter à votre compte. Pour ce faire, elle demande des informations d'identification supplémentaires, en plus du nom d'utilisateur et du mot de passe.
Transfert de fichiers auto-hébergé : La réalité
La réalité froide et dure de la Le transfert de fichiers en mode auto-hébergé n'est pas aussi sûr qu'il n'y paraît..
C'est parce que les serveurs auto-hébergés ne sont aussi sûrs que les applications qui y sont exécutées. Et en branchant des applications logicielles telles que des applications de transfert de fichiers dans votre système, vous invitez automatiquement du code tiers (et des risques) dans votre infrastructure.
Si une vulnérabilité majeure apparaît, vous êtes seul pour détecter le problème, trouver un correctif, puis patcher et mettre à jour manuellement votre version (généralement en devant arrêter le système entre-temps).
Solutions de transfert de fichiers hébergées dans le nuage, telles que MASVEn revanche, les services hébergés en nuage n'ont pas ces problèmes. Bien que personne ne soit totalement à l'abri des problèmes de cybersécurité, les services hébergés en nuage gèrent leur propre infrastructure et peuvent corriger les vulnérabilités pour tous les utilisateurs en quelques minutes, sans pratiquement aucune interruption.
S'inscrire pour MASV dès aujourd'hui et testez notre transfert de fichiers volumineux sécurisé et conforme.
Transfert de fichiers MASV
Obtenez 20 Go gratuits à utiliser avec le service de transfert de fichiers volumineux le plus rapide et le plus sûr disponible aujourd'hui, MASV.