Discuter de la sécurité, des ransomwares et de ce à quoi les équipes de sécurité devraient penser avec Jerry Hsieh

Par Michelle Burrows, CMO, Splashtop

sécurité et ransomware

Jerry Hsieh a été à l'avant-garde de l'évaluation des risques informatiques et de la sécurité pendant plus de vingt ans de carrière, plus récemment en tant que directeur principal de la sécurité et de la conformité à l'adresse chez Splashtop, où il a occupé divers rôles dans les domaines de l'informatique et de la sécurité au cours des dix dernières années. Il y a peu, il s'est entretenu avec Michelle Burrows, CMO de Splashtop, sur les raisons de son intérêt précoce pour la sécurité et sur la manière dont il envisage la sécurisation des systèmes, en particulier avec l'augmentation du nombre de failles de sécurité très médiatisées ces derniers mois.

Michelle Burrows : Jerry, merci de vous joindre à nous. Alors que la sécurité a fait l'objet de toutes les attentions ces derniers temps, elle n'a été qu'un sujet secondaire par le passé. Comment avez-vous commencé à vous intéresser à la sécurité ?

Jerry Hsieh : Vous avez tout à fait raison - je me concentre sur la sécurité depuis longtemps et il y a de nombreuses années, les entreprises avaient tendance à ne pas trop y penser. En 2003, j'ai vécu une expérience alarmante qui a fini par cimenter mon intérêt pour la sécurité et l'évaluation des risques.

Michelle Burrows : Cela semble inquiétant, dites-m'en plus.

Jerry Hsieh : L'entreprise pour laquelle je travaillais a été l'une des victimes d'une attaque SMTP DDoS qui a fini par mettre hors service les services de messagerie des entreprises, y compris de grandes sociétés et celle pour laquelle je travaillais à l'époque. Je me souviens très bien du moment où cela s'est produit, parce que cela coïncidait avec mon mariage et que je ne pouvais pas vraiment m'amuser à cause de ce qui se passait au bureau.

J'ai également pu constater de visu l'impact d'un tel événement. Nous avions travaillé avec une société qui filtrait les courriers électroniques pour protéger des entreprises comme la mienne et d'autres d'une attaque de ce type, et elle a fini par fermer ses portes à cause de cette attaque.

J'ai également été témoin d'un autre incident qui s'est produit lorsqu'un fichier de produit a été classé comme un virus après que le fournisseur d'antivirus a mis à jour la définition. L'équipe informatique et l'équipe d'ingénierie ont passé d'innombrables nuits debout à essayer de résoudre l'incident, car chaque système était touché et nous avions beaucoup de travail à faire pour nettoyer les fichiers, travailler avec notre fournisseur d'antivirus et corriger les définitions de ce qui a été défini comme une attaque.

Michelle Burrows : Wow, je suppose que l'interruption de votre mariage serait une façon mémorable de découvrir toutes les choses à ne pas faire dans le domaine de la sécurité. Parlez-moi des autres premières expériences que vous avez eues avec la sécurité.

Jerry Hsieh : J'ai travaillé dans une autre entreprise du secteur des semi-conducteurs en tant qu'ingénieur en sécurité. À l'époque, nous travaillions sur la sécurité principalement pour empêcher les violations de brevets. L'entreprise a engagé beaucoup de personnes chargées de la sécurité, car nous étions moins chers qu'une salle pleine d'avocats. Cette expérience m'a fait voir la sécurité comme un moyen de protéger la propriété intellectuelle d'une entreprise.

Michelle Burrows : À l'heure actuelle, il semble que nous entendions parler presque quotidiennement d'une violation de la sécurité ou d'une attaque par ransomware. Que peuvent faire les entreprises pour se protéger ?

Jerry Hsieh : On me pose cette question et j'y réfléchis souvent. À mon avis, le maillon le plus faible est généralement l'utilisateur final. La plupart des brèches sont causées par une simple erreur - un employé qui clique sur un lien dangereux, enregistre un fichier préjudiciable, utilise un mot de passe faible ou fait suivre quelque chose. Un seul utilisateur peut alors compromettre l'ensemble du système.

Michelle Burrows : C'est assez intéressant qu'un seul employé puisse accidentellement faire beaucoup de dégâts. Je pense que beaucoup de gens pensent qu'ils ne seront pas vulnérables à un incident comme celui-ci parce qu'ils ont un pare-feu. Pouvez-vous nous dire ce que vous en pensez ?

Jerry Hsieh : Un pare-feu donne souvent aux gens un faux sentiment de sécurité. J'entends souvent quelqu'un dire : "Je ne serai pas la proie d'une attaque parce que j'ai un pare-feu". Ce qu'ils ne considèrent pas, c'est que si vous pouvez mettre en place toutes sortes de protections autour de votre réseau, l'une de vos plus grandes menaces peut en fait être interne. Un pare-feu ne résout pas vos problèmes de sécurité, surtout lorsque les pirates font preuve de plus en plus de créativité pour inciter les employés à cliquer sur quelque chose afin de pénétrer dans votre système.

Michelle Burrows : Si un pare-feu n'est pas la seule réponse aux failles de sécurité, que recommandez-vous ?

Jerry Hsieh : Je recommande trois domaines auxquels il faut prêter attention :

  1. Formation / sensibilisation des utilisateurs finaux - Pour moi, c'est l'un des points les plus importants sur lequel il faut se concentrer et depuis que j'ai rejoint Splashtop, j'envoie continuellement des rappels sur les risques de sécurité. Je m'assure que tout le monde voit le message et que tous les employés savent combien il est important d'être vigilant. Il est utile que notre PDG, Mark Lee, fasse suivre des messages à l'entreprise qui soulignent l'importance de la sécurité et le fait que c'est la responsabilité de chacun. Lorsque les gens savent que c'est quelque chose d'important pour le PDG, ils ont tendance à être plus attentifs.
  2. Politiques de sécurité - De nombreuses entreprises ont des politiques de sécurité, mais elles devraient mettre en place des pratiques pour les contrôler et les tester en permanence. Disposer d'une politique est une bonne première étape, mais la faire respecter est encore plus crucial.
  3. Test de pénétration continu - L'intégration continue et la livraison/déploiement continus (CI/CD) ont été adoptés par de nombreuses entreprises. Il est important de "tester" constamment votre réseau, vos applications pour voir si des vulnérabilités sont créées pendant le cycle de vie du développement logiciel (SDLC).

Michelle Burrows : Je suis sûre que lorsque vous dites aux gens ce que vous faites dans la vie, certains peuvent avoir l'impression qu'ils doivent "confesser" leurs propres mauvaises pratiques. Quelle est la pratique douteuse qui vous fait le plus réfléchir ou vous inquiète le plus ?

Jerry Hsieh : Je n'ai pas l'habitude que quelqu'un me parle de ce qu'il fait, qui peut être ou non une meilleure pratique. J'ai constaté que la plupart des gens ne savent pas ce qu'est la cybersécurité en pratique. Ils la voient à la télévision ou dans un film et observent comment un "méchant" peut, en une seule commande, faire tomber un système entier. Et puis ils peuvent aussi penser qu'ils sont à l'abri de cela grâce à leur pare-feu. Ce qu'ils ne comprennent pas, c'est que le "méchant" peut être un seul utilisateur de votre entreprise. Peu de violations de données sont causées par des employés malhonnêtes. Ce que les entreprises doivent vraiment adopter, c'est une philosophie du "ne faites confiance à personne". "Cette philosophie est l'un des principaux principes de l'accès de confiance zéro (ZTA) que je vois adopter de plus en plus largement.

L'autre idée fausse que certains se font de la cybersécurité est qu'il s'agit d'une activité que l'on peut "terminer". La cybersécurité n'est jamais "terminée" et il est toujours possible de l'améliorer.

Michelle Burrows : En ce moment, la sécurité fait l'objet d'une grande attention - du PDG aux investisseurs en passant par les conseils d'administration. De quoi les entreprises devraient-elles se préoccuper le plus ?

Jerry Hsieh : Les entreprises doivent se préoccuper d'un certain nombre de domaines.

  1. Ils doivent procéder à une évaluation approfondie et honnête des risques. Lorsque votre entreprise est attaquée, cela nuit à votre marque et érode la confiance de vos clients, de vos employés et même de votre conseil d'administration. Vous devez évaluer vos risques de manière régulière.
  2. Surveillez chaque logiciel, fournisseur de services et matériel sur votre réseau. De nombreux services se disputent souvent le temps de l'équipe informatique et veulent mettre en place les outils les plus récents et les plus performants, qu'il s'agisse d'enquêtes auprès des clients, de marketing, de développement agile ou de suivi des dépenses. Mais chaque fournisseur, logiciel ou matériel peut être vulnérable à une attaque. Vous devez constamment surveiller vos vulnérabilités et vous assurer que les employés mettent à jour leurs logiciels et/ou que l'équipe informatique apporte des correctifs en envoyant des mises à jour de manière proactive.
  3. Faites vos recherches. Il existe aujourd'hui des millions de produits et les suivre, ainsi que les bogues qu'ils pourraient introduire dans votre système, est un travail sans fin. Votre équipe de sécurité doit surveiller et rechercher les vulnérabilités en permanence.
  4. Sachez que le vecteur d'attaque a changé. Les pirates sont devenus beaucoup plus intelligents au fil des ans et ont modifié leur mode d'attaque. Alors qu'un courriel dangereux pouvait être apparent il y a quelques années seulement, ces courriels sont désormais personnalisés afin d'augmenter la probabilité que quelqu'un clique. Vous devez tester vos employés en permanence afin que la sécurité soit toujours une priorité.

Michelle Burrows : Récemment, il a été annoncé que les VPN étaient une porte d'entrée pour une attaque. Selon vous, pourquoi les VPN (réseaux privés virtuels) sont-ils particulièrement vulnérables ?

Jerry Hsieh : Oui, les VPN ont été beaucoup plus souvent utilisés pour des attaques de systèmes ces derniers temps.
À mon avis, les VPN sont utilisés plus fréquemment pour les attaques de ransomware pour plusieurs raisons :

  1. Le VPN est une technologie ancienne, introduite à la fin des années 90. Lorsqu'une technologie particulière existe depuis aussi longtemps, il est plus probable qu'il y ait un défaut de conception ou un bogue logiciel critique spécifique au fournisseur, car nous ne savions pas alors tout ce que nous comprenons aujourd'hui. À titre d'exemple, j'ai configuré mon premier VPN en 1999, en me fiant uniquement aux commandes et en utilisant des interfaces utilisateur (IU) plutôt conviviales. Je repense à cette expérience et je constate que peu de choses ont changé et qu'une mauvaise configuration par quelqu'un est très probable.
  2. Un VPN dépend de votre service informatique qui doit le configurer correctement. Je constate souvent que les VPN sont exploités parce qu'il n'existe pas de méthode standard pour les configurer, les exploiter et en distribuer l'accès. Chaque département informatique le configure d'une manière qui lui semble logique, ce qui introduit un risque.
  3. Les ordinateurs domestiques sont utilisés sur un VPN. Si un employé travaille à domicile et a besoin d'accéder à des fichiers au travail, il n'existe aucun moyen simple de l'empêcher d'utiliser un système émis par une autre entreprise pour établir un accès VPN. Il existe des outils pour y parvenir, mais ils sont généralement très coûteux et nécessitent beaucoup de ressources.
  4. Vous pouvez atténuer le point ci-dessus en adoptant une politique qui indique à vos employés qu'ils ne peuvent utiliser que leur ordinateur professionnel pour accéder au VPN. Cela introduit ensuite une autre zone de risque : les réseaux publics. Si une personne est en déplacement et qu'elle se connecte via un VPN sur un réseau d'accès public, elle est intrinsèquement sujette aux attaques.

Michelle Burrows : Quelles alternatives les entreprises peuvent-elles déployer à la place d'un VPN ? Y a-t-il un inconvénient à cette alternative ?

Jerry Hsieh : Je sais que cela peut sembler très auto-promotionnel, mais la meilleure alternative est de tirer parti d'une solution d'accès à distance. Et, oui, cela inclut Splashtop. Splashtop contribue à atténuer les risques inhérents aux VPN car il vous permet de diffuser uniquement votre bureau. Cela signifie que les données de votre réseau d'entreprise sont protégées car vous ne pouvez que les visualiser. Toutes les données restent dans votre réseau d'entreprise.

En revanche, lorsque je suis sur un VPN, je peux commencer à télécharger ce que je veux, ce qui signifie que les pirates peuvent faire de même. Lorsque j'utilise un outil comme Splashtop, je peux visualiser et exploiter ou utiliser le fichier, mais je ne peux pas le télécharger. Je peux le configurer pour que seuls les ordinateurs locaux puissent y accéder.

En outre, puisque nous parlons de sécurité, Splashtop offre de nombreuses autres fonctionnalités de sécurité telles que l'authentification des appareils, l'authentification à deux facteurs (2FA), l'authentification unique (SSO) et plus encore. Toutes ces fonctionnalités de sécurité supplémentaires sont des choses qu'un VPN ne peut pas offrir.

Vous avez demandé quels étaient les inconvénients de la technologie d'accès à distance. Le seul inconvénient est qu'il y a une courbe d'apprentissage lorsque les gens adoptent des solutions d'accès à distance. Mais, comme Splashtop a été conçu à l'origine pour le marché grand public, le temps d'apprentissage est minime. Et par minime, je veux dire en quelques minutes pour l'utilisateur moyen.

Michelle Burrows : Dites-m'en plus sur le VPN et le VPN Splashtop?

Jerry Hsieh : J'entends parfois dire qu'une différence pourrait être un investissement fixe par rapport au modèle d'abonnement que Splashtop propose lorsque vous comparez les prix d'un VPN et de Splashtop. Un VPN est un investissement à long terme que certaines personnes peuvent faire une fois. Mais ils oublient que les passerelles VPN tombent souvent en panne et qu'investir dans une passerelle de secours est coûteux. De plus, un VPN nécessite une maintenance - pour les mises à jour des vulnérabilités et des correctifs. Splashtop se charge de la maintenance et du travail de sécurité. Splashtop ne nécessite aucune maintenance et est disponible vingt-quatre heures sur vingt-quatre, sept jours sur sept.

Michelle Burrows : Quand vous n'êtes pas obsédé par la sécurité, que faites-vous pour vous amuser ?

Jerry Hsieh : Comme vous l'avez probablement compris, je n'ai pas beaucoup de temps libre. Quand j'ai du temps libre, j'aime jouer au golf. Ma femme n'est peut-être pas folle de mon rôle, mais j'aime rester au courant des tendances en matière de sécurité et du travail que je fais chaque jour.

Vous pourriez être intéressé par:

Q & A sur les cyber-risques et repenser la production de logiciels

Le rôle du VPN et du RDP dans les attaques de ransomware

Vous réfléchissez à la manière de fournir un accès à distance à vos employés de manière sécurisée ? Contactez Splashtop aujourd'hui.

Bannière d'essai gratuit sur le fond du blog