Site icon Crypto Week

Comment protéger les données des clients contre les violations

Au cours des dernières semaines et des derniers mois, un certain nombre d’entreprises de crypto-monnaie, grandes et petites, ont été victimes de fuites de données provenant de fournisseurs de services marketing. La récente violation de données subie par HubSpot en est un exemple notable.

En conséquence, les informations personnelles de millions de clients potentiels des entreprises concernées ont été exposées. Dans certains cas, cela comprenait également des détails supplémentaires sur leurs comptes.

Les clients concernés ont maintenant été identifiés comme des utilisateurs de services spécifiques, en grande partie dans le domaine de la crypto-monnaie et des actifs numériques, ce qui les rend vulnérables aux attaques de phishing, à l’ingénierie sociale et à d’autres types d’attaques.

Ledn n’a été affecté par aucune des récentes fuites de données, y compris le récent incident HubSpot.

Anton Livaja est le chef de l’équipe de sécurité de l’information de Ledn.

Ce résultat est le résultat d’aller au-delà des mesures de sécurité standard et d’adapter les pratiques de l’entreprise aux risques uniques de notre industrie. Nous apprécions les données de nos clients comme nous apprécions les actifs de nos clients et faisons tout notre possible pour les protéger.

Comme d’autres entreprises dans de nombreux secteurs, Ledn utilise HubSpot pour gérer son blog, ses e-mails et ses pages de destination. HubSpot est un outil puissant qui, s’il est utilisé correctement, peut aider les entreprises à communiquer efficacement avec leurs clients. L’utilisation de plates-formes d’automatisation est un excellent moyen d’améliorer votre marketing, mais il est important de toujours garder la sécurité à l’esprit. Heureusement, il existe des moyens pour les entreprises de minimiser leurs risques lorsqu’elles interagissent avec des plateformes comme HubSpot.

Dans cet article, nous décomposons le récent incident HubSpot et soulignons les mesures prises qui ont permis de protéger les données des clients de Ledn. En utilisant ces méthodes, d’autres entreprises ou entités peuvent ajouter des couches supplémentaires pour protéger les données de leurs clients contre ces types de vecteurs.

Notre espoir est qu’en montrant ouvertement nos actions et nos apprentissages, nous pouvons aider les autres à éviter un incident similaire à l’avenir et à améliorer leur posture de sécurité.

Commençons depuis le début.

Qu’est-il arrivé?

HubSpot a subi une violation de données car l’un de ses employés a été compromis. Cela a permis à l’adversaire d’utiliser le compte HubSpot compromis pour accéder à un certain nombre de comptes clients, ciblant spécifiquement les sociétés de crypto-monnaie.

Les détails sur la manière dont le compte de l’employé a été compromis et pourquoi il n’y avait pas de contrôles supplémentaires en place pour atténuer ce scénario ne sont pas clairs. Il s’agit d’une énième attaque dans une série de violations de données axées sur la cryptographie, dont celle que Ledger a subie en 2020, qui était également due à une violation de HubSpot.

Le rapport d’incident public de HubSpot est disponible ici.

Du rapport :

« Pourquoi un employé HubSpot a-t-il eu accès aux données client HubSpot ?

« Certains employés ont accès aux comptes HubSpot. Cela permet aux employés tels que les gestionnaires de compte et les spécialistes du support d’aider les clients. Dans ce cas, un acteur malveillant a pu compromettre le compte d’un employé et utiliser cet accès pour exporter les données de contact d’un petit nombre de comptes HubSpot. »

Comment Ledn a-t-il pu se protéger ?

La principale raison pour laquelle Ledn n’a pas été touché par la violation de HubSpot était notre obsession de protéger les données de nos clients et, par extension, de limiter l’accès de notre fournisseur aux données.

Lorsque nous décidons d’utiliser des fournisseurs externes, une grande considération pour nous est de savoir si nous avons la possibilité de désactiver l’accès des employés du fournisseur à nos données. Dans le cas de HubSpot, nous avons toujours l’accès des employés désactivé et, si nécessaire, l’activons pendant la durée nécessaire au personnel de HubSpot pour fournir une assistance, et le désactivons immédiatement après – ce qui applique simplement le principe du moindre privilège.

Chez Ledn, nous partons du principe que lorsque nous utilisons des fournisseurs tiers, nous prenons des risques impossibles à quantifier entièrement, et pour cette raison, des précautions supplémentaires doivent être prises.

On a tendance à faire davantage confiance aux grandes entreprises parce qu’elles investissent vraisemblablement beaucoup dans la sécurité. Mais même si nous pouvons faire confiance, nous devons également vérifier ; là où nous ne pouvons pas vérifier, nous devons appliquer toutes les méthodes disponibles pour réduire la surface d’attaque.

Limiter l’accès d’un employé de la plateforme à nos données est une pratique que nous utilisons partout où cette fonctionnalité est disponible, et c’est quelque chose que nous recherchons pendant notre période d’évaluation des fournisseurs tiers. De nombreuses entreprises proposent cette fonctionnalité, et lorsqu’elles ne le font pas, nous demandons souvent au fournisseur d’ajouter cette fonctionnalité, car sa mise en œuvre nécessite souvent relativement peu d’efforts et améliore la sécurité des deux parties.

Limiter l’accès des fournisseurs tiers aux données des utilisateurs finaux est une bonne pratique dans un environnement de confiance zéro.

En fin de compte, les menaces internes sont une considération importante pour toutes les entreprises et il convient de se concentrer sur l’élimination des points de défaillance uniques, de sorte que même si quelqu’un est compromis, il ne puisse pas causer de dommages. Les hypothèses utiles à intégrer au modèle de menace de votre entreprise sont que dans n’importe quelle entreprise, à tout moment, au moins un individu est contraint ou compromis dans chaque équipe, toutes les machines sont toujours compromises et vos adversaires sont bien financés et patients.

De quelle autre manière les entreprises peuvent-elles protéger les données des clients lorsqu’elles utilisent des fournisseurs de services tiers ?

Assurez-vous toujours de ne partager que les données qui doivent absolument être partagées avec des fournisseurs tiers. Le partage d’informations personnelles avec un tiers doit être soigneusement envisagé et généralement effectué uniquement si cela est absolument nécessaire.

Un exemple serait de devoir partager des données en raison d’exigences réglementaires. Si vous décidez de partager des données avec un fournisseur tiers, limitez-les au seul sous-ensemble de données strictement nécessaire au fonctionnement de la plateforme.

Lorsque des fournisseurs tiers sont nécessaires, la diligence raisonnable doit être exécutée en utilisant une approche basée sur les « premiers principes ». Cela signifie évaluer soigneusement les risques, en tenant compte du type de données avec lesquelles le fournisseur interagira et déterminer comment il les protégera.

Si la sécurité du fournisseur ne parvient pas à protéger les données requises, vous devriez envisager de trouver un autre fournisseur ou d’utiliser une option alternative telle que la construction en interne, comme nous le faisons souvent chez Ledn.

Il est important d’avoir une culture forte qui rappelle continuellement aux employés que le shadow IT, la pratique consistant à utiliser des technologies qui n’ont pas été approuvées et intégrées par les services informatiques et de sécurité de l’information, est une pratique dangereuse qui peut avoir un impact important sur la sécurité globale. de l’organisation. Il doit être bien compris par toutes les équipes que l’informatique et la sécurité de l’information doivent jouer un rôle déterminant dans le choix de nouveaux outils et services organisationnels.

De plus, les plates-formes fournissent souvent des fonctionnalités qui ajoutent des couches de sécurité supplémentaires, il est donc utile de demander ce qui est disponible. Afin d’atténuer les risques du côté des fournisseurs tiers, ainsi qu’en interne, voici quelques conseils concernant ce qu’il faut rechercher et demander, et les contrôles à mettre en œuvre :

  • Désactiver/restreindre directement l’accès des employés du fournisseur aux données.
  • Demandez au fournisseur tiers quel type de contrôles internes il a lorsqu’il s’agit de limiter l’accès aux données des clients. Les choses à rechercher sont :
    • Utilisation de jetons matériels (tels que Yubikey, Titan Security Key ou autre dispositif de carte à puce ou module de sécurité matériel personnel, ou dispositif HSM).
    • Mandats pour l’utilisation des protocoles d’authentification Fast Identity Online ou FIDO.
    • Double contrôle ou authentification n-sur-m pour empêcher les individus d’avoir un accès sensible et privilégié.
    • À quoi ressemble leur processus de récupération d’accès ; si ce n’est pas assez rigoureux, cela peut être utilisé pour contourner leurs mécanismes d’authentification.
    • Qu’ils aient une pratique « d’ingénierie de production », où les ingénieurs qui accèdent à l’infrastructure critique utilisent des machines renforcées avec un accès réseau limité pour effectuer toutes les tâches nécessitant une interaction avec les systèmes de production.
  • Authentification basée sur des certificats : l’utilisation de certificats cryptographiques limite l’accès à un actif aux seuls détenteurs du certificat. Vous pouvez le considérer comme un fichier spécial qui lie l’accès uniquement aux appareils qui détiennent des certificats légitimes. Il est recommandé d’utiliser l’authentification basée sur des certificats pour les services critiques, tels qu’un fournisseur d’authentification unique (SSO) ou pour bloquer l’accès à des services importants à l’aide de la sécurité mutuelle de la couche de transport (mTLS). Vous pouvez en savoir plus sur l’authentification basée sur les certificats ici.
  • Liste sécurisée d’adresses IP : les services offrent souvent la possibilité de limiter l’accès à des adresses IP spécifiques uniquement. Pour en profiter, vous avez besoin d’une adresse IP statique : une façon d’y parvenir pour un groupe d’utilisateurs consiste à utiliser un réseau privé virtuel, un VPN.
  • Utilisation de vos propres clés pour le cryptage. On peut souvent utiliser ses propres clés pour chiffrer les données stockées chez un fournisseur tiers. Il s’agit d’une assurance supplémentaire qui permet de réduire les risques en cas de compromission, car les clés utilisées pour déchiffrer les données sont stockées avec vous – en dehors de leur système – et vous avez la possibilité de révoquer leur accès en cas de une situation d’urgence.
  • Le type d’authentification multifacteur (MFA) qu’ils prennent en charge pour les utilisateurs de leur service ; L’authentification basée sur la cryptographie asymétrique est la meilleure dont nous disposons actuellement. Cela revient à utiliser un portefeuille matériel pour la crypto-monnaie. WebAuthn/Universal 2nd Factor est préférable ; Yubikey et Titan Security Key sont des appareils populaires qui prennent en charge la famille de protocoles d’authentification FIDO. Si vous n’utilisez pas encore cette technologie et que vous vous souciez de la sécurité, nous vous recommandons fortement d’en acheter une. Ledn déploiera la prise en charge de ce type de MFA dans un proche avenir.
  • Prise en charge de l’authentification unique : la technologie SSO permet d’imposer des contrôles sur de nombreux services à partir d’un point centralisé. Il est important d’être prudent et de configurer correctement l’authentification unique, car sinon, il peut s’agir d’un point de défaillance unique important. Comme mentionné précédemment, il est recommandé d’utiliser l’authentification basée sur des certificats comme couche supplémentaire d’accès à l’authentification unique, de préférence dans une configuration mTLS.
  • Gestion des mots de passe : l’utilisation d’un gestionnaire de mots de passe est une bonne pratique de base en matière de sécurité. L’idée est d’utiliser une phrase de passe principale forte (au moins 16 caractères de long), et tous les mots de passe stockés dans le gestionnaire de mots de passe doivent être très longs et complexes (42 caractères ou plus, et générés à l’aide du gestionnaire de mots de passe intégré généralement disponible) . La règle d’or est la suivante : « Si vous vous souvenez de tous vos mots de passe, vous vous trompez. »

Un fournisseur de services a divulgué mes données personnelles lors du récent incident HubSpot. Que puis-je faire?

Plusieurs mesures peuvent être prises pour réduire le risque d’attaques :

  1. Assurez-vous d’avoir une authentification à 2 facteurs sur chaque compte qui a la capacité de traiter des transactions financières. Il est recommandé d’utiliser un jeton de sécurité comme Yubikey ou 2FA basé sur un authentificateur (également connu sous le nom de TOTP) sur SMS comme méthode 2FA. Puisque vous êtes arrivé jusqu’ici, voici une petite annonce préalable pour vous : Ledn publiera le support WebAuthn ce trimestre.
  2. Deuxièmement, activez les phrases anti-hameçonnage pour les e-mails de la plate-forme sur chaque service qui le permet. Vous pouvez en savoir plus sur les phrases anti-hameçonnage ici. Utilisez quelque chose qui serait difficile à deviner. Les adversaires créent souvent un profil sur leur cible pour comprendre les choses qu’ils aiment ou dont ils parlent via les médias sociaux pour leur permettre de construire des attaques plus efficaces et sophistiquées contre leur cible.
  3. Activez les listes sécurisées sur chaque service avec la possibilité de traiter une transaction financière. Cela limitera les retraits de vos comptes aux adresses précédemment spécifiées. Une mise en œuvre correcte de cette fonctionnalité inclura une période de « refroidissement » après l’ajout de l’adresse à laquelle l’adresse ne peut pas être envoyée, généralement pendant 24 à 48 heures, ce qui vous donne plus de temps pour réagir.
  4. Contactez votre fournisseur de services pour vous assurer qu’il a désormais limité l’accès des fournisseurs tiers aux données client, sauf pour les fenêtres horaires qui sont absolument nécessaires.
  5. Une recommandation supplémentaire consiste à utiliser un e-mail unique pour chaque plate-forme de crypto-monnaie que vous utilisez, car cela rend beaucoup plus difficile de vous cibler sur différentes plates-formes au cas où l’une serait compromise. Traitez votre nom d’utilisateur/e-mail comme un mot de passe pour les services sensibles.
  6. Écoutez l’épisode 112 de Darknet Diaries. Cela vous donnera un excellent aperçu de la façon dont les adversaires de l’industrie de la crypto-monnaie pensent. Commencez à 45 minutes si vous voulez le TL; DR.
  7. De plus, vous pouvez utiliser cette excellente ressource, qui contient une longue liste de recommandations sur la façon d’améliorer différents aspects de votre posture de sécurité et de confidentialité : https://github.com/Lissy93/personal-security-checklist

Ceci est un article invité par Anton Livaja. Les opinions exprimées sont entièrement les leurs et ne reflètent pas nécessairement celles de BTC Inc. ou Bitcoin Magazine.

Source bitcoinmagazine.com

Quitter la version mobile