Retour au blog
Pratiques d'excellence, le cloud, Solutions de centre de contact, Technologie

Nuages ​​choqués ?

Temps de lecture 3 minutes
Pauline Ashden
Pauline Ashden
Nuages ​​choqués ?

Septembre 2014 a vu une autre bombe, "Shellshock", frapper la communauté de la sécurité sous la forme d'un ensemble de vulnérabilités dans "Bash", un composant de la plupart des systèmes basés sur UNIX. Il a le potentiel de causer de gros dégâts, et la communauté a été dans une frénésie essayant de réparer chaque système impacté. Déjà des millions de tentatives d'attaques ont été lancées sur presque tous les systèmes sur Internet, et certains attaquants ont tenté de transformer cela en un « ver » auto-répliquant. Pour être considérés comme sûrs, les réseaux des fournisseurs doivent être protégés par des pare-feu multicouches et des systèmes de détection d'intrusion. Ces réseaux doivent également être surveillés par un Security Operations Center (SOC) 24x7x365. La seule approche de sécurité qui perdure est une stratégie de « SÉCURITÉ EN PROFONDEUR », similaire à celle suivie par LiveOps, avec de multiples couches de protection qui se chevauchent et sont redondantes.

Chez LiveOps, nous utilisons une approche holistique de la sécurité. Du moment où un projet est envisagé et mis sur la planche à dessin, en passant par ses étapes de développement et de test jusqu'après son déploiement, notre équipe de sécurité applicative passe en revue chaque étape. La sécurité doit faire partie intégrante de la manière dont un fournisseur conçoit et construit sa plate-forme à chaque étape du cycle de vie du développement logiciel, et non une réflexion après coup. De plus, le système de sécurité doit être soigneusement testé pour prouver que la solution respecte ou dépasse les exigences de sécurité standard de l'industrie. Les systèmes basés sur le cloud nécessitent une surveillance XNUMX heures sur XNUMX pour garantir la sécurité et l'intégrité des données des clients, pour se protéger contre les menaces de sécurité ou les violations de données et pour empêcher tout accès non autorisé aux données des clients.

Dès qu'un système est placé dans nos centres de données sécurisés, il est surveillé et audité, corrigé et analysé. Les données sont sauvegardées jusqu'à la fin, lorsque des années plus tard, le disque dur sur lequel se trouvent les données rencontre son dernier lieu de repos dans une déchiqueteuse industrielle dans un centre de recyclage.

Chaque fois qu'une vulnérabilité est exposée, comme avec Shellshock (ou l'une des dizaines de vulnérabilités moins visibles découvertes chaque mois), l'équipe LiveOps examine l'impact, décide d'un plan de correction et le met en œuvre avec l'équipe appropriée.

Dans le cas de Shellshock, notre approche comprenait les sept étapes suivantes :

  1. Recherchez tous les cas de vulnérabilité publique à l'aide d'analyses automatisées de plusieurs fournisseurs et de tests manuels. (Aucun n'a été trouvé.)
  2. Mettez à jour les règles du pare-feu d'application Web et informez l'équipe Security Operation Center.
  3. Consultez les journaux IDS pour les tentatives d'attaque. (Diverses tentatives ont été observées, mais aucune n'a réussi.)
  4. Déploiement à grande échelle des correctifs appropriés avec diverses itérations.
  5. Testez le code de preuve de concept pour vérifier le succès du correctif sur chaque machine.
  6. Exécutez des analyses de vulnérabilité internes pour vérifier qu'aucune case n'a été oubliée.
  7. Exécutez un examen "boîte blanche" de tout le code source de production pour une utilisation "bash".

Certaines de ces tâches ont été exécutées en parallèle et ont nécessité des efforts de toute l'équipe, mais nous avons réussi à résoudre ce problème rapidement, sans exposition à la sécurité et sans aucun impact sur les processus de production.

Que pouvez-vous faire en tant qu'utilisateur de systèmes cloud ?

Outre les bonnes pratiques habituelles en matière de sécurité (sur lesquelles nous sommes toujours heureux de conseiller nos clients), la seule chose à faire est de rester vigilant, et de vous assurer de bien revoir votre fournisseur de cloud.

Des incidents comme celui-ci se reproduiront à l'avenir. Assurez-vous de choisir un partenaire qui est prêt pour eux.

Image reproduite avec l'aimable autorisation de Stuart Miles sur FreeDigitalPhotos.net.

Pauline Ashden
Pauline Ashden
S'abonner au Blog

Recevez des histoires comme celle-ci dans votre boîte de réception.

Adoption numérique et mondialisation : comment la visioconférence peut augmenter la productivité et les bénéfices
Article connexe
Adoption numérique et mondialisation : comment la visioconférence peut augmenter la productivité et les bénéfices
In Pratiques d'excellence
Un investissement dans les mal desservis
Article connexe
Un investissement dans les mal desservis
In Pratiques d'excellence
La solution de réunion pour votre lieu de travail hybride
Les lieux de travail hybrides ont émergé face à la pandémie de COVID-19, alors que les entreprises repensent leurs stratégies de communication et de collaboration numériques.
Obtenir le guide
à propos de cet article Publié le Le 24 octobre 2018
à propos des auteurs
Pauline Ashden
Pauline Ashden
Contenu similaire
Adoption numérique et mondialisation : comment la visioconférence peut augmenter la productivité et les bénéfices
Pratiques d'excellenceAdoption numérique et mondialisation : comment la visioconférence peut augmenter la productivité et les bénéfices
Un investissement dans les mal desservis
Pratiques d'excellenceUn investissement dans les mal desservis
Une entrevue avec Michael Pace de Virgin Pulse, lauréat du prix d'excellence CCW 2022
Solutions de centre de contactUne entrevue avec Michael Pace de Virgin Pulse, lauréat du prix d'excellence CCW 2022
Lifesize obtient la liste CSA Star Registry pour le logiciel de centre de contact CxEngage
le cloudLifesize obtient la liste CSA Star Registry pour le logiciel de centre de contact CxEngage
remote work video call options

En vedette

Améliorer l'expérience de visioconférence à l'ère du travail à distance

Au cas où vous vivriez sous un rocher au cours des six derniers mois, il est clair que le travail à distance et les équipes distribuées sont là pour rester, même après le recul de la pandémie. Alors que certains travailleurs retrouveront progressivement le chemin du travail en personne (bureau ou autre), ce n'est que la rampe d'accès à l'autoroute du travail de n'importe où pour beaucoup d'autres.

En savoir plus