CSA France Chapter

  • Private Community
 View Only
Back to discussions
Expand all | Collapse all

Etude Rapid7 : National / Industry / Cloud Exposure Report (NICER) 2020

  • 1.  Etude Rapid7 : National / Industry / Cloud Exposure Report (NICER) 2020

    Posted Jul 26, 2020 12:58:00 AM
    Edited by Olivier Caleff Jul 27, 2020 12:23:20 AM
      |   view attached

    Rapid7 a publié son étude National / Industry / Cloud Exposure Report (NICER) pour 2020

    Il constitue une étude approfndie sur l'exposition yber sur Internet.

    Extraits

    Principaux enseignements de ce rapport
    • Une évaluation technique des 24 protocoles de service étudiés révèle que, dans l'ensemble, les protocoles en clair et non chiffrés sont toujours la règle plutôt que l'exception en matière de circulation des informations dans le monde, avec 42 % de serveurs HTTP de plus que le HTTPS, 3 millions de bases de données en attente de requêtes non sécurisées et 2,9 millions de routeurs, commutateurs et serveurs acceptant des connexions Telnet.
    • Le déploiement des correctifs et des mises à jour continue d'être lent, même pour les services récents dont l'exploitation active de vulnérabilité est avérée. Cela est particulièrement vrai dans les domaines du traitement du courrier électronique et de l'accès aux consoles à distance où, par exemple, 3,6 millions de serveurs SSH utilisent à des versions veilles de 5 à 14 ans.
    • Les principales sociétés cotées en bourse des États-Unis, du Royaume-Uni, de l'Australie, de l'Allemagne et du Japon hébergent un nombre étonnamment élevé de services non homologués présentant des vulnérabilités connues, en particulier dans les services financiers et les télécommunications, qui comptent chacun environ 10.000 CVE de haut niveau de gravité parmi leurs actifs destinés au public. Malgré leurs importantes ressources financières et en expertise, il est peu probable que ce niveau d'exposition aux vulnérabilités s'améliore en période de récession mondiale.
    • Une bonne nouvelle est que la proportion de services non sécurisés a diminué l'année dernière, avec une baisse moyenne de 13 % des services dangereux et exposés tels que SMB, Telnet et rsync, atténuant ainsi la hausse à laquelle on s'attendait des services non sécurisés tels que Telnet et SMB, malgré le passage soudain au télétravail pour des millions de personnes et l'augmentation continue des dispositifs d'Internet des objets (IoT) qui encombrent les réseaux résidentiels.
    Bien que le ciel ne nous tombe certainement pas sur la tête, nous ne suggérons pas que ce statu quo soit acceptable. Loin de là. Nous encourageons les organisations, les législateurs, les régulateurs, les fournisseurs d'infrastructures et les organismes de normalisation à utiliser ce document à la fois comme une référence (essentiellement pour déterminer ce qu'il ne faut pas faire) et comme un catalyseur pour l'innovation et l'expérimentation qui contribueront à faire de l'internet un lieu plus sûr pour le dialogue, la formation et le commerce.
    [...]
    Pourquoi nous nous sommes concentrés sur le Cloud
    Un pourcentage croissant de l'activité des entreprises critiques migre vers des environnements "cloud" pour toutes les sempiternelles raisons que l'on retrouve dans toutes les publicités sur les bienfaits du "cloud" et que l'on vous a déjà vantées un million de fois. Des fournisseurs tels qu'Amazon et Microsoft ayant chacun une base de clients exposant des services sur plus d'un million d'IPv4 (chacun), notre équipe de recherche a estimé qu'il était important de déterminer quelle partie des services mentionnés dans notre enquête provenait des environnements Cloud. Nous avons choisi les fournisseurs de services Cloud en fonction de la capacité IPv4 allouée, de l'utilisation découverte et de ceux qui étaient les plus répandus dans le contexte d'une utilisation professionnelle réelle (par opposition à une utilisation par des amateurs)
    Dans la mesure du possible, nous avons utilisé les bases de données officielles fournies par les fournisseurs et nous les avons complétées par les cartographies connues des AS. Bien que nous nous soyons efforcés d'être complets, la cartographie des objets IPv4, même dans le Cloud est loin d'être une science précise.

    Links

    ________________________________________

    Rapid7 just released the 2020 National / Industry / Cloud Exposure Report (NICER) report

    It is a comprehensive census of Internet-based cyber-exposure.

    Excerpt

    Key findings presented in the report
    • A technical assessment of the 24 service protocols surveyed finds that, on the whole, unencrypted, cleartext protocols are still the rule, rather than the exception, on how information flows around the world, with 42% more plaintext HTTP servers than HTTPS, 3 million databases awaiting insecure queries, and 2.9 million routers, switches, and servers accepting Telnet connections.
    • Patch and update adoption continues to be slow, even for modern services with reports of active exploitation. This is particularly true in the areas of email handling and remote console access where, for example, 3.6 million SSH servers are sporting versions between five and 14 years old.
    • The top publicly traded companies of the United States, the United Kingdom, Australia, Germany, and Japan are hosting a surprisingly high number of unpatched services with known vulnerabilities, especially in financial services and telecommunications, which each have ~10,000 high-rated CVEs across their public-facing assets. Despite their vast collective reservoirs of wealth and expertise, this level of vulnerability exposure is unlikely to get better in a time of global recession.
    • One bit of positive news was that we found the population of insecure services has gone down over the past year, with an average 13% decrease in exposed, dangerous services such as SMB, Telnet, and rsync, crushing the doom-and-gloom predicted jump of newly exposed insecure services such as Telnet and SMB, despite the sudden shift to work-at-home for millions of people and the continued rise of Internet of Things (IoT) devices crowding residential networks.
    While the sky most certainly is not falling, we are not suggesting that the status quo is okay. Far from it. We encourage organizations, legislators, regulators, infrastructure providers, and standards-bearers to use this document as a both a reference (for mostly what not to do) and a catalyst for innovation and experimentation that will help make the internet a safer place for discourse, learning, and commerce.
    [...]
    Why We Focused on Clouds
    An ever-increasing percentage of mission-critical business workloads are moving to cloud environments for all the reasons every bit of advertising you receive about the benefits of "the cloud" have told you a million times already, so we won't bore or annoy you by re-enumerating them. With providers such as Amazon and Microsoft each having a customer base exposing services across over a million IPv4s (each), the research team felt it was important to dig into what portion of services in our survey came from cloud environments. We chose the cloud providers we did based on IPv4 allocated capacity, discovered usage, and which ones were more prevalent in the context of real business use (versus hobbyist use)
    Where possible, we used official lists provided by providers and augmented these with known mappings from provisioned autonomous systems. While we have strived for completeness, IPv4 entity mapping even in cloud space is less than a precise science

    Links

    ________________________________________
    #Report
    ________________________________________

    ------------------------------
    Olivier Caleff - CSA French Chapter - Chapter Leader - [email protected] - https://CloudSecurityAlliance.fr
    ------------------------------

    Attachment(s)

    pdf
    nicer2020-full-report.pdf   8.26 MB 1 version