Le NIST propose des outils pour aider à se défendre contre les pirates parrainés par l'État

La publication spéciale 800-172 est conçue pour protéger les informations sensibles dans divers systèmes électroniques.

Les nations du monde entier ajoutent la cyberguerre à leur arsenal, employant des équipes hautement qualifiées pour lancer des attaques contre d'autres pays. Ces adversaires sont également appelés « menace persistante avancée » ou APT, car ils possèdent les outils et les ressources nécessaires pour poursuivre leurs objectifs à plusieurs reprises sur une période prolongée, en s'adaptant aux efforts des défenseurs pour leur résister.

Les données vulnérables comprennent les informations sensibles mais non classifiées gérées par le gouvernement, l'industrie et le milieu universitaire à l'appui de divers programmes fédéraux. Aujourd'hui, une publication finalisée du National Institute of Standards and Technology (NIST) fournit des conseils pour protéger ces « informations non classifiées contrôlées » (CUI) de l'APT. Publication spéciale (SP) 800-172 du NIST, Exigences de sécurité améliorées pour la protection des informations non classifiées contrôlées :un supplément au NIST SP 800-171, propose un ensemble d'outils conçus pour contrer les efforts des pirates informatiques parrainés par l'État et complète une autre publication du NIST visant à protéger CUI.

« Les cyberattaques sont menées avec des armes silencieuses et, dans certaines situations, ces armes sont indétectables », a déclaré Ron Ross, informaticien et membre du NIST. « Parce que vous ne pouvez pas encore « ressentir » les effets directs du prochain hack, vous pouvez penser qu'il arrivera un jour sur la route ; mais en réalité, ça se passe en ce moment."

Le gouvernement fédéral s'appuie fortement sur des fournisseurs de services non fédéraux pour l'aider à mener à bien un large éventail de missions à l'aide de systèmes d'information - un terme qui inclut les ordinateurs, mais aussi une gamme d'autres technologies spécialisées telles que les systèmes de contrôle industriel et l'Internet des objets. La protection des informations fédérales sensibles qui résident dans des systèmes non fédéraux - tels que ceux utilisés par les gouvernements étatiques et locaux, les collèges et universités et les organismes de recherche indépendants - est d'une importance primordiale, car elle peut avoir un impact direct sur la capacité du gouvernement fédéral à mener à bien ses opérations. . Un piratage en 2018 qui a compromis des informations sensibles a directement inspiré le travail de l'équipe du NIST sur le SP 800-172.

Anciennement numéroté SP 800-171B au cours de sa phase de rédaction, le SP 800-172 propose des recommandations supplémentaires pour la gestion des CUI dans les situations où ces informations présentent un risque d'exposition plus élevé que d'habitude. CUI comprend une grande variété de types d'informations, des noms de personnes ou des numéros de sécurité sociale aux informations critiques de la défense.

« Nous avons développé le SP 800-171 en réponse aux cyberattaques majeures contre les infrastructures critiques américaines, et son document d'accompagnement SP 800-172 est conçu pour atténuer les attaques des cybermenaces avancées telles que l'APT », a déclaré Ross. « La mise en œuvre des cyber-protections dans SP 800-172 aidera les propriétaires de systèmes à protéger ce que les pirates informatiques au niveau de l'État ont considéré comme des cibles de grande valeur :des informations sensibles sur les personnes, les technologies, l'innovation et la propriété intellectuelle, dont la révélation pourrait compromettre notre économie et la sécurité nationale. »

Les exigences de sécurité renforcée doivent être mises en œuvre en plus de celles de la SP 800-171, car cette publication n'est pas conçue pour traiter de l'APT. Les exigences du SP 800-172 s'appliquent aux composants des systèmes non fédéraux qui traitent, stockent ou transmettent les CUI ou qui assurent la protection de ces composants. Pour réduire davantage la portée, les exigences ne sont appliquées que lorsque la CUI désignée est associée à un programme critique ou à un actif de grande valeur - la priorité la plus élevée pour la protection.

Développée principalement pour les administrateurs tels que les gestionnaires de programme, les DSI et les auditeurs système, la publication traite de la protection de la CUI pour les composants du système en promouvant une architecture résistante à la pénétration, des opérations de limitation des dommages et des conceptions pour atteindre la cyber-résilience et la capacité de survie. Ses outils, répartis en 14 familles, n'ont pas vocation à être mis en œuvre en masse, mais sélectionnés en fonction des besoins de l'organisation.

"Il est fort probable qu'une organisation mettant en œuvre ces directives ne voudra pas utiliser toutes les exigences de sécurité améliorées que nous proposons ici", a déclaré Ross. « La décision de sélectionner un ensemble particulier d'exigences de sécurité renforcées sera basée sur votre mission et vos besoins commerciaux, puis guidée et éclairée par des évaluations des risques en cours. »

En réponse aux commentaires reçus au cours de la période de commentaires publics, la version finale comprend des directives mises à jour sur la portée et l'applicabilité et une approche de sélection des exigences plus flexible pour permettre aux organisations de personnaliser leurs solutions de sécurité.

Ross a déclaré que les outils de la nouvelle publication devraient offrir de l'espoir à quiconque cherche à se défendre contre les piratages, même par une menace aussi intimidante que l'APT.

"Les adversaires apportent leur" A-game "dans ces cyberattaques 24 heures sur 24, 7 jours sur 7,", a-t-il déclaré. « Vous pouvez commencer à vous assurer que les dommages sont minimisés si vous utilisez les cyber-protections du SP 800-172. »

Source originale :https://www.nist.gov/news-events/news/2021/02/nist-offers-tools-help-defend-against-state-sponsored-hackers