Votre organisation dispose-t-elle d'un fichier Security.txt ? – Krebs sur la sécurité


Cela arrive tout le temps : les organisations sont piratées parce qu'il n'y a pas de moyen évident pour les chercheurs en sécurité de les informer des failles de sécurité ou des fuites de données. Ou peut-être n'est-il pas tout à fait clair qui devrait recevoir le rapport lorsque l'accès à distance au réseau interne d'une organisation est vendu dans la cybercriminalité souterraine.

Dans le but de minimiser ces scénarios, un nombre croissant de grandes entreprises adoptent « Security.txt », une nouvelle norme Internet proposée qui aide les organisations à décrire leurs pratiques et préférences de divulgation des vulnérabilités.

Un exemple de fichier security.txt. Image : Securitytxt.org.

L'idée derrière Security.txt est simple : l'organisation place un fichier appelé security.txt dans un endroit prévisible, tel que example.com/security.txt ou example.com/.well-known/security.txt. Le contenu du fichier security.txt varie quelque peu, mais la plupart incluent des liens vers des informations sur les politiques de divulgation des vulnérabilités de l'entité et une adresse e-mail de contact.

Le fichier security.txt mis à disposition par États-Unis, par exemple, inclut des liens vers son programme de bug bounty ; une adresse e-mail pour divulguer les questions liées à la sécurité ; sa clé de chiffrement publique et sa politique de divulgation des vulnérabilités ; et même un lien vers une page où l'USAA remercie les chercheurs qui ont signalé d'importants problèmes de cybersécurité.

Les autres divulgations security.txt sont moins détaillées, comme dans le cas de HCA Santé, qui répertorie une adresse e-mail de contact et un lien vers les politiques de « divulgation responsable » de HCA. Comme USAA et de nombreuses autres organisations qui ont publié des fichiers security.txt, HCA Healthcare inclut également un lien vers des informations sur les offres d'emploi en sécurité informatique dans l'entreprise.

Avoir un fichier security.txt peut permettre aux organisations de répondre plus facilement aux menaces de sécurité actives. Par exemple, ce matin même, une source de confiance m'a transmis les informations d'identification VPN d'un grand détaillant de vêtements qui ont été volées par des logiciels malveillants et mises à la disposition des cybercriminels. Ne trouvant aucun fichier security.txt sur le site du détaillant à l'aide de gotsecuritytxt.com (qui vérifie un domaine pour la présence de ce fichier de contact), KrebsonSecurity a envoyé une alerte à son adresse e-mail « security@ » pour le domaine du détaillant.

De nombreuses organisations utilisent depuis longtemps de manière non officielle (sinon annoncée) l'adresse e-mail security@(domaine de l'entreprise) pour accepter les rapports sur les incidents de sécurité ou les vulnérabilités. Peut-être que ce détaillant en particulier l'a également fait à un moment donné, mais mon message a été renvoyé avec une note indiquant que l'e-mail avait été bloqué. KrebsOnSecurity a également envoyé un message au directeur de l'information (CIO) du détaillant – la seule personne occupant un poste de niveau C chez le détaillant qui faisait partie de mon réseau LinkedIn immédiat. Je ne sais toujours pas si quelqu'un l'a lu.

Bien que security.txt ne soit pas encore une norme Internet officielle approuvée par le Groupe de travail sur l'ingénierie Internet (IETF), ses principes de base ont jusqu'à présent été adoptés par au moins huit pour cent des sociétés Fortune 100. Selon un examen des noms de domaine des dernières entreprises Fortune 100 via gotsecuritytxt.com, ceux-ci incluent Alphabet, Amazon, Facebook, HCA Healthcare, Kroger, Procter & Gamble, USAA et Walmart.

Il peut y avoir une autre bonne raison de regrouper les informations sur les contacts de sécurité et les rapports de vulnérabilité en un seul endroit prévisible. Alex Holden, fondateur de la société de conseil Hold Security basée à Milwaukee, a déclaré qu'il n'était pas rare que des pirates malveillants rencontrent des problèmes pour attirer l'attention des personnes appropriées au sein de la même organisation qu'ils viennent de pirater.

"En cas de rançon, les méchants essaient de contacter l'entreprise avec leurs demandes", a déclaré Holden. "Vous n'avez aucune idée de la fréquence à laquelle leurs messages sont pris dans les filtres, supprimés, bloqués ou ignorés."

PRÉPAREZ-VOUS À ÊTRE DÉLUGE

Donc, si security.txt est si génial, pourquoi plus d'organisations ne l'ont-elles pas encore adoptée ? Il semble que la mise en place d'un fichier security.txt ait tendance à attirer un volume assez élevé de spam. La plupart de ces courriers indésirables proviennent de testeurs d'intrusion auto-désignés qui, sans aucune invitation à le faire, exécutent des outils automatisés de découverte de vulnérabilités, puis soumettent les rapports résultants dans l'espoir d'obtenir un engagement de conseil ou une prime de bogue.

Cette dynamique était un sujet de discussion majeur dans ces fils de discussion Hacker News sur security.txt, dans lesquels un certain nombre de lecteurs ont raconté leur expérience d'être tellement inondés de rapports d'analyse de vulnérabilité de mauvaise qualité qu'il est devenu difficile de repérer les rapports qui valent vraiment la peine d'être approfondis.

Edwin "EdOverflow" Foudil, le co-auteur de la norme de notification proposée, a reconnu que les rapports indésirables sont un inconvénient majeur pour les organisations qui proposent un fichier security.txt.

"C'est en fait indiqué dans la spécification elle-même, et il est extrêmement important de souligner que les organisations qui mettent cela en œuvre vont être inondées", a déclaré Foudil à KrebsOnSecurity. « L'une des raisons pour lesquelles les programmes de primes aux bogues réussissent est qu'ils sont fondamentalement un filtre anti-spam glorifié. Mais quelle que soit l'approche que vous utilisez, vous allez être inondé de ces rapports merdiques et médiocres. "

Souvent, ces rapports de vulnérabilité inférieurs à la normale proviennent d'individus qui ont analysé l'ensemble d'Internet à la recherche d'une ou deux vulnérabilités de sécurité, puis ont tenté de contacter toutes les organisations vulnérables à la fois de manière semi-automatique. Heureusement, a déclaré Foudil, bon nombre de ces rapports de nuisance peuvent être ignorés ou regroupés en créant des filtres qui recherchent les messages contenant des mots-clés couramment trouvés dans les analyses de vulnérabilité automatisées.

Foudil a déclaré qu'en dépit des problèmes de spam, il a entendu d'énormes commentaires de la part d'un certain nombre d'universités qui ont implémenté security.txt.

"Cela a été un succès incroyable avec les universités, qui ont tendance à avoir beaucoup de systèmes hérités plus anciens", a-t-il déclaré. « Dans ce contexte, nous avons vu une tonne de rapports précieux. »

Foudil se dit ravi que huit des entreprises du Fortune 100 aient déjà implémenté security.txt, même s'il n'a pas encore été approuvé en tant que norme IETF. Quand et si security.txt est approuvé, il espère passer plus de temps à promouvoir ses avantages.

"Je n'essaie pas de gagner de l'argent avec cette chose, qui est survenue après avoir discuté avec un certain nombre de personnes à DEFCON (la conférence annuelle sur la sécurité à Las Vegas) qui avaient du mal à signaler les problèmes de sécurité aux fournisseurs", a déclaré Foudil. "La principale raison pour laquelle je ne fais pas tout mon possible pour le promouvoir maintenant, c'est parce que ce n'est pas encore une norme officielle."

Votre organisation a-t-elle envisagé ou mis en œuvre security.txt ? Pourquoi ou pourquoi pas? Sonnez dans les commentaires ci-dessous.



Source link

Pourquoi composer une vitrine online ?

On voit clairement qu’il est probable de se lancer rapidement sans argent et inconscient technique particulière. Je vous conseille de vous lancer en dropshipping et de rigoureusement ne pas mettre trop d’argent sur votre site. Il vous faut fondamentalement avoir un budget marchéage pour réaliser venir les visiteurs sur votre boutique : c’est le ligament de la guerre. Car tel que je l’ai dit, vous pouvez avoir la plus belle boutique. Sans trafic, vous ne ferez à la saint-glinglin de chiffre d’affaires. Une fois que vous aurez testé, votre marché vous allez pouvoir alors chiner un stock.