Résumé
- Sophos a divulgué et corrigé l'attaque Asnarok contre XG Firewall en 2020, y compris un correctif et des conseils aux clients concernant les appliances affectées.
- Qui avait le contrôle pratique sur l'exposition de la gestion du pare-feu, le déploiement des correctifs d'urgence, les hachages des comptes locaux, la rotation des identifiants clients, la télémétrie des appliances, les preuves post-remédiation, et la preuve qu'une appliance de sécurité était digne de confiance après une compromission?
- Le problème de responsabilité est qu'une appliance de sécurité est utilisée pour protéger d'autres systèmes, donc les correctifs d'urgence doivent être accompagnés de preuves sur l'état de compromission, les identifiants, et la télémétrie visible par le client.
- Les PME, les administrateurs de pare-feu, les fournisseurs de services gérés, les équipes de sécurité, les fournisseurs d'appliances et les clients avaient besoin de preuves que la rapidité des correctifs se traduisait par une confiance restaurée.
- L'article maintient les déclarations de l'entreprise, les enregistrements gouvernementaux ou réglementaires, les recherches en sécurité, les documents juridiques et les directives de normes dans des voies de preuve séparées afin que le dossier public ne surestime pas ce qui est connu.
Pourquoi ce cas appartient à un dossier de risque et de responsabilité
Sophos a fait de la télémétrie des correctifs de pare-feu un test de responsabilité de confiance des appliances, car l'incident visible n'est que la surface d'une question institutionnelle plus profonde. Sophos a divulgué et corrigé l'attaque Asnarok contre XG Firewall en 2020, y compris un correctif et des conseils aux clients concernant les appliances affectées.
Ce déclencheur a créé un schéma public familier: une organisation devait publier rapidement un langage, les équipes techniques devaient travailler à partir de preuves incomplètes, les personnes concernées devaient décider quoi faire, et les observateurs devaient séparer la confiance de la preuve. Le risque n'était pas seulement la compromission initiale, la panne ou l'exposition. C'était la possibilité que chaque public reçoive un récit différent du contrôle pratique.
Pour Sophos Technology GmbH, la question porte sur l'exposition de la gestion du pare-feu, les correctifs d'urgence, les hachages des comptes locaux, les conseils de rotation des identifiants, la télémétrie des appliances, les preuves post-remédiation et les preuves d'action client. Ce sont des noms opérationnels, mais aussi des noms de gouvernance. Ils nomment qui aurait pu empêcher l'événement, qui aurait pu limiter son rayon d'impact, qui aurait pu rendre l'événement plus facile à détecter, et qui aurait pu rendre la réparation visible pour ceux qui en dépendaient.
Un dossier de responsabilité mature ne se satisfait pas d'une déclaration selon laquelle une enquête a été menée ou que les systèmes ont été restaurés. Il demande quelles preuves rendaient cette déclaration vraie, quelles preuves restaient incomplètes, et qui devait agir avant que ces preuves ne soient disponibles.
La question centrale est donc directe: qui avait le contrôle pratique sur l'exposition de la gestion du pare-feu, le déploiement des correctifs d'urgence, les hachages des comptes locaux, la rotation des identifiants clients, la télémétrie des appliances, les preuves post-remédiation, et la preuve qu'une appliance de sécurité était digne de confiance après une compromission? Une réponse publique ne devrait pas obliger les lecteurs à déduire des contrôles privés à partir d'un langage d'incident poli. Elle devrait identifier le point de contrôle, la source de preuve, le public concerné et l'incertitude résiduelle.
Cette structure protège à la fois l'organisation et le public. Elle empêche les spéculations de combler les lacunes qui auraient pu être décrites honnêtement, et elle évite que des assurances générales soient traitées comme la preuve d'une réparation spécifique.
Le premier devoir de preuve est le contrôle, pas le blâme
Le premier devoir de preuve est le contrôle, pas le blâme, cela importe pour Sophos Technology GmbH car le problème de responsabilité est qu'une appliance de sécurité est utilisée pour protéger d'autres systèmes, donc les correctifs d'urgence doivent être accompagnés de preuves sur l'état de compromission, les identifiants et la télémétrie visible par le client. Une analyse faible commencerait par l'étiquette d'incident la plus forte, puis demanderait qui peut en être blâmé. Une analyse utile commence plus tôt.
Elle demande qui possédait la surface de contrôle pratique avant que l'événement ne soit visible, qui pouvait voir le signal faible alors qu'il était encore exploitable, et qui avait l'autorité de modifier la condition qui rendait le signal important. Dans ce cas, cette surface de contrôle inclut l'exposition de la gestion du pare-feu, les correctifs d'urgence, les hachages des comptes locaux, les conseils de rotation des identifiants, la télémétrie des appliances, les preuves post-remédiation et les preuves d'action client. Ces éléments ne sont pas une liste décorative.
Ce sont les endroits où la responsabilité devient observable ou se dissout dans la mémoire institutionnelle.
Le dossier public autour de sophos xg firewall asnarok zero-day, correctifs d'urgence, conseils de rotation des identifiants, télémétrie des appliances et dossier de responsabilité de confiance du pare-feu montre également pourquoi le même événement peut être mal interprété par différents publics. Un client veut savoir s'il doit faire pivoter ses identifiants, reconstruire un système, avertir les utilisateurs, appeler un régulateur, modifier une configuration ou accepter une incertitude résiduelle. Un conseil d'administration veut savoir si la direction avait suffisamment de preuves pour faire ces choix lorsque l'événement se déroulait.
Un régulateur veut des dates, des catégories, des populations concernées et des obligations. Un fournisseur veut distinguer son propre contrôle de produit ou de service de la configuration client et des dépendances tierces. Aucune de ces questions n'est illégitime. Le problème de responsabilité apparaît lorsque chaque public reçoit un fragment différent du dossier et que personne ne peut voir comment les fragments s'emboîtent.
Une limite de source pour cette section esthttps://www.sophos.com/en-us/blog/asnarok. Elle est utile pour le dossier de preuves publiques, mais elle ne peut pas répondre à toutes les questions internes de propriété. Le but n'est pas de gonfler la source. Le but est de dire ce qu'elle peut prouver, ce qu'elle ne peut que contextualiser, et ce qui reste en dehors du dossier public. Cette discipline est particulièrement importante lorsque le texte public utilise des expressions telles que incident, compromission, exposition, affecté, restauré, sécurisé, corrigé ou remédié. Ces mots peuvent être précis et encore trop vagues pour soutenir une décision à moins d'être liés à des dates, des systèmes, des personnes, des publics concernés et des exceptions résiduelles.
Un dossier plus solide relierait donc les propriétaires nommés, les preuves datées, le langage destiné aux clients et les journaux techniques. Il montrerait quand l'organisation est passée de la suspicion à la confirmation, quand elle a averti les parties concernées, quand elle a modifié le contrôle pertinent, et quand elle a pu prouver que le changement avait atteint l'environnement concerné. Il préserverait également les contre-preuves. Si un fournisseur dit que le contenu client n'a pas été affecté, l'analyse devrait expliquer la preuve de cette limite.
Si une entreprise dit que seuls certains champs étaient impliqués, l'analyse devrait expliquer comment cette portée a été établie. Si un fournisseur dit qu'une flotte hébergée a été corrigée, l'analyse devrait toujours demander comment les clients peuvent confirmer leur propre exposition et leurs obligations restantes.
Cet article traite les déclarations de l'entreprise comme une preuve de ce que l'entreprise a dit et rapporté, et non comme une preuve indépendante de chaque fait médico-légal privé. Une deuxième limite de source esthttps://support.sophos.com/support/s/article/KBA-000007319?language=en_US. Lues ensemble, les sources soutiennent un style d'analyse responsable: pas un verdict, pas une assurance marketing, et pas une reconstruction médico-légale que le dossier public ne permet pas, mais une carte de ce qu'un lecteur peut raisonnablement savoir. C'est pourquoi cet article revient sans cesse au contrôle pratique. La responsabilité n'est pas la même chose que l'omniscience. C'est l'obligation de dire quelle preuve a changé quelle décision, qui avait le pouvoir de modifier le contrôle pertinent, et quelles personnes ont subi le coût pendant que l'institution rassemblait encore des preuves.
Le dossier de preuves doit correspondre à la surface opérationnelle
Le dossier de preuves doit correspondre à la surface opérationnelle, cela importe pour Sophos Technology GmbH car le problème de responsabilité est qu'une appliance de sécurité est utilisée pour protéger d'autres systèmes, donc les correctifs d'urgence doivent être accompagnés de preuves sur l'état de compromission, les identifiants et la télémétrie visible par le client. Une analyse faible commencerait par l'étiquette d'incident la plus forte, puis demanderait qui peut en être blâmé. Une analyse utile commence plus tôt.
Elle demande qui possédait la surface de contrôle pratique avant que l'événement ne soit visible, qui pouvait voir le signal faible alors qu'il était encore exploitable, et qui avait l'autorité de modifier la condition qui rendait le signal important. Dans ce cas, cette surface de contrôle inclut l'exposition de la gestion du pare-feu, les correctifs d'urgence, les hachages des comptes locaux, les conseils de rotation des identifiants, la télémétrie des appliances, les preuves post-remédiation et les preuves d'action client. Ces éléments ne sont pas une liste décorative.
Ce sont les endroits où la responsabilité devient observable ou se dissout dans la mémoire institutionnelle.
Le dossier public autour de sophos xg firewall asnarok zero-day, correctifs d'urgence, conseils de rotation des identifiants, télémétrie des appliances et dossier de responsabilité de confiance du pare-feu montre également pourquoi le même événement peut être mal interprété par différents publics. Un client veut savoir s'il doit faire pivoter ses identifiants, reconstruire un système, avertir les utilisateurs, appeler un régulateur, modifier une configuration ou accepter une incertitude résiduelle. Un conseil d'administration veut savoir si la direction avait suffisamment de preuves pour faire ces choix lorsque l'événement se déroulait.
Un régulateur veut des dates, des catégories, des populations concernées et des obligations. Un fournisseur veut distinguer son propre contrôle de produit ou de service de la configuration client et des dépendances tierces. Aucune de ces questions n'est illégitime. Le problème de responsabilité apparaît lorsque chaque public reçoit un fragment différent du dossier et que personne ne peut voir comment les fragments s'emboîtent.
Une limite de source pour cette section esthttps://nvd.nist.gov/vuln/detail/CVE-2020-12271. Elle est utile pour le dossier de preuves publiques, mais elle ne peut pas répondre à toutes les questions internes de propriété. Le but n'est pas de gonfler la source. Le but est de dire ce qu'elle peut prouver, ce qu'elle ne peut que contextualiser, et ce qui reste en dehors du dossier public. Cette discipline est particulièrement importante lorsque le texte public utilise des expressions telles que incident, compromission, exposition, affecté, restauré, sécurisé, corrigé ou remédié. Ces mots peuvent être précis et encore trop vagues pour soutenir une décision à moins d'être liés à des dates, des systèmes, des personnes, des publics concernés et des exceptions résiduelles.
Un dossier plus solide relierait donc les preuves datées, le langage destiné aux clients, les journaux techniques et la visibilité du conseil d'administration. Il montrerait quand l'organisation est passée de la suspicion à la confirmation, quand elle a averti les parties concernées, quand elle a modifié le contrôle pertinent, et quand elle a pu prouver que le changement avait atteint l'environnement concerné. Il préserverait également les contre-preuves. Si un fournisseur dit que le contenu client n'a pas été affecté, l'analyse devrait expliquer la preuve de cette limite.
Si une entreprise dit que seuls certains champs étaient impliqués, l'analyse devrait expliquer comment cette portée a été établie. Si un fournisseur dit qu'une flotte hébergée a été corrigée, l'analyse devrait toujours demander comment les clients peuvent confirmer leur propre exposition et leurs obligations restantes.
Les enregistrements gouvernementaux et réglementaires sont utilisés pour les obligations publiques, les avis et les classes de contrôle, tandis qu'ils ne sont pas traités comme des reconstructions techniques victime par victime. Une deuxième limite de source esthttps://www.cyber.gc.ca/en/alerts/sophos-xg-firewall-vulnerability-cve-2020-12271. Lues ensemble, les sources soutiennent un style d'analyse responsable: pas un verdict, pas une assurance marketing, et pas une reconstruction médico-légale que le dossier public ne permet pas, mais une carte de ce qu'un lecteur peut raisonnablement savoir. C'est pourquoi cet article revient sans cesse au contrôle pratique. La responsabilité n'est pas la même chose que l'omniscience. C'est l'obligation de dire quelle preuve a changé quelle décision, qui avait le pouvoir de modifier le contrôle pertinent, et quelles personnes ont subi le coût pendant que l'institution rassemblait encore des preuves.
L'action client n'est juste que lorsque les preuves du fournisseur sont utilisables
L'action client n'est juste que lorsque les preuves du fournisseur sont utilisables, cela importe pour Sophos Technology GmbH car le problème de responsabilité est qu'une appliance de sécurité est utilisée pour protéger d'autres systèmes, donc les correctifs d'urgence doivent être accompagnés de preuves sur l'état de compromission, les identifiants et la télémétrie visible par le client. Une analyse faible commencerait par l'étiquette d'incident la plus forte, puis demanderait qui peut en être blâmé. Une analyse utile commence plus tôt.
Elle demande qui possédait la surface de contrôle pratique avant que l'événement ne soit visible, qui pouvait voir le signal faible alors qu'il était encore exploitable, et qui avait l'autorité de modifier la condition qui rendait le signal important. Dans ce cas, cette surface de contrôle inclut l'exposition de la gestion du pare-feu, les correctifs d'urgence, les hachages des comptes locaux, les conseils de rotation des identifiants, la télémétrie des appliances, les preuves post-remédiation et les preuves d'action client. Ces éléments ne sont pas une liste décorative.
Ce sont les endroits où la responsabilité devient observable ou se dissout dans la mémoire institutionnelle.
Le dossier public autour de sophos xg firewall asnarok zero-day, correctifs d'urgence, conseils de rotation des identifiants, télémétrie des appliances et dossier de responsabilité de confiance du pare-feu montre également pourquoi le même événement peut être mal interprété par différents publics. Un client veut savoir s'il doit faire pivoter ses identifiants, reconstruire un système, avertir les utilisateurs, appeler un régulateur, modifier une configuration ou accepter une incertitude résiduelle. Un conseil d'administration veut savoir si la direction avait suffisamment de preuves pour faire ces choix lorsque l'événement se déroulait.
Un régulateur veut des dates, des catégories, des populations concernées et des obligations. Un fournisseur veut distinguer son propre contrôle de produit ou de service de la configuration client et des dépendances tierces. Aucune de ces questions n'est illégitime. Le problème de responsabilité apparaît lorsque chaque public reçoit un fragment différent du dossier et que personne ne peut voir comment les fragments s'emboîtent.
Une limite de source pour cette section esthttps://www.tenable.com/blog/cve-2020-12271-zero-day-sql-injection-vulnerability-in-sophos-xg-firewall-exploited-in-the-wild. Elle est utile pour le dossier de preuves publiques, mais elle ne peut pas répondre à toutes les questions internes de propriété. Le but n'est pas de gonfler la source. Le but est de dire ce qu'elle peut prouver, ce qu'elle ne peut que contextualiser, et ce qui reste en dehors du dossier public. Cette discipline est particulièrement importante lorsque le texte public utilise des expressions telles que incident, compromission, exposition, affecté, restauré, sécurisé, corrigé ou remédié. Ces mots peuvent être précis et encore trop vagues pour soutenir une décision à moins d'être liés à des dates, des systèmes, des personnes, des publics concernés et des exceptions résiduelles.
Un dossier plus solide relierait donc le langage destiné aux clients, les journaux techniques, la visibilité du conseil d'administration et les jalons de remédiation. Il montrerait quand l'organisation est passée de la suspicion à la confirmation, quand elle a averti les parties concernées, quand elle a modifié le contrôle pertinent, et quand elle a pu prouver que le changement avait atteint l'environnement concerné. Il préserverait également les contre-preuves. Si un fournisseur dit que le contenu client n'a pas été affecté, l'analyse devrait expliquer la preuve de cette limite.
Si une entreprise dit que seuls certains champs étaient impliqués, l'analyse devrait expliquer comment cette portée a été établie. Si un fournisseur dit qu'une flotte hébergée a été corrigée, l'analyse devrait toujours demander comment les clients peuvent confirmer leur propre exposition et leurs obligations restantes.
L'analyse des fournisseurs de sécurité est utilisée pour les techniques observées, les conseils aux défenseurs et la chronologie, mais l'article ne transforme pas un langage de campagne large en une affirmation sur chaque client ou installation. Une deuxième limite de source esthttps://www.rapid7.com/blog/post/ra-cve-2020-12271-sophos-xg-firewall-pre-auth-sql-injection-vulnerability-analysis/. Lues ensemble, les sources soutiennent un style d'analyse responsable: pas un verdict, pas une assurance marketing, et pas une reconstruction médico-légale que le dossier public ne permet pas, mais une carte de ce qu'un lecteur peut raisonnablement savoir. C'est pourquoi cet article revient sans cesse au contrôle pratique. La responsabilité n'est pas la même chose que l'omniscience. C'est l'obligation de dire quelle preuve a changé quelle décision, qui avait le pouvoir de modifier le contrôle pertinent, et quelles personnes ont subi le coût pendant que l'institution rassemblait encore des preuves.
Une analyse fiable sépare ce qui était connu de ce qui était inféré
Une analyse fiable sépare ce qui était connu de ce qui était inféré, cela importe pour Sophos Technology GmbH car le problème de responsabilité est qu'une appliance de sécurité est utilisée pour protéger d'autres systèmes, donc les correctifs d'urgence doivent être accompagnés de preuves sur l'état de compromission, les identifiants et la télémétrie visible par le client. Une analyse faible commencerait par l'étiquette d'incident la plus forte, puis demanderait qui peut en être blâmé. Une analyse utile commence plus tôt.
Elle demande qui possédait la surface de contrôle pratique avant que l'événement ne soit visible, qui pouvait voir le signal faible alors qu'il était encore exploitable, et qui avait l'autorité de modifier la condition qui rendait le signal important. Dans ce cas, cette surface de contrôle inclut l'exposition de la gestion du pare-feu, les correctifs d'urgence, les hachages des comptes locaux, les conseils de rotation des identifiants, la télémétrie des appliances, les preuves post-remédiation et les preuves d'action client. Ces éléments ne sont pas une liste décorative.
Ce sont les endroits où la responsabilité devient observable ou se dissout dans la mémoire institutionnelle.
Le dossier public autour de sophos xg firewall asnarok zero-day, correctifs d'urgence, conseils de rotation des identifiants, télémétrie des appliances et dossier de responsabilité de confiance du pare-feu montre également pourquoi le même événement peut être mal interprété par différents publics. Un client veut savoir s'il doit faire pivoter ses identifiants, reconstruire un système, avertir les utilisateurs, appeler un régulateur, modifier une configuration ou accepter une incertitude résiduelle. Un conseil d'administration veut savoir si la direction avait suffisamment de preuves pour faire ces choix lorsque l'événement se déroulait.
Un régulateur veut des dates, des catégories, des populations concernées et des obligations. Un fournisseur veut distinguer son propre contrôle de produit ou de service de la configuration client et des dépendances tierces. Aucune de ces questions n'est illégitime. Le problème de responsabilité apparaît lorsque chaque public reçoit un fragment différent du dossier et que personne ne peut voir comment les fragments s'emboîtent.
Une limite de source pour cette section esthttps://www.sophos.com/en-us/security-advisories. Elle est utile pour le dossier de preuves publiques, mais elle ne peut pas répondre à toutes les questions internes de propriété. Le but n'est pas de gonfler la source. Le but est de dire ce qu'elle peut prouver, ce qu'elle ne peut que contextualiser, et ce qui reste en dehors du dossier public. Cette discipline est particulièrement importante lorsque le texte public utilise des expressions telles que incident, compromission, exposition, affecté, restauré, sécurisé, corrigé ou remédié. Ces mots peuvent être précis et encore trop vagues pour soutenir une décision à moins d'être liés à des dates, des systèmes, des personnes, des publics concernés et des exceptions résiduelles.
Un dossier plus solide relierait donc les journaux techniques, la visibilité du conseil d'administration, les jalons de remédiation et la gestion des exceptions. Il montrerait quand l'organisation est passée de la suspicion à la confirmation, quand elle a averti les parties concernées, quand elle a modifié le contrôle pertinent, et quand elle a pu prouver que le changement avait atteint l'environnement concerné. Il préserverait également les contre-preuves. Si un fournisseur dit que le contenu client n'a pas été affecté, l'analyse devrait expliquer la preuve de cette limite.
Si une entreprise dit que seuls certains champs étaient impliqués, l'analyse devrait expliquer comment cette portée a été établie. Si un fournisseur dit qu'une flotte hébergée a été corrigée, l'analyse devrait toujours demander comment les clients peuvent confirmer leur propre exposition et leurs obligations restantes.
La documentation produit actuelle est utile pour la conception de contrôle actuelle et le vocabulaire du lecteur, mais pas comme preuve qu'une fonctionnalité a été déployée de la même manière pendant la fenêtre d'incident. Une deuxième limite de source esthttps://www.cisa.gov/resources-tools/resources/secure-remote-access. Lues ensemble, les sources soutiennent un style d'analyse responsable: pas un verdict, pas une assurance marketing, et pas une reconstruction médico-légale que le dossier public ne permet pas, mais une carte de ce qu'un lecteur peut raisonnablement savoir. C'est pourquoi cet article revient sans cesse au contrôle pratique. La responsabilité n'est pas la même chose que l'omniscience. C'est l'obligation de dire quelle preuve a changé quelle décision, qui avait le pouvoir de modifier le contrôle pertinent, et quelles personnes ont subi le coût pendant que l'institution rassemblait encore des preuves.
La réparation doit être mesurable après l'annonce
La réparation doit être mesurable après l'annonce, cela importe pour Sophos Technology GmbH car le problème de responsabilité est qu'une appliance de sécurité est utilisée pour protéger d'autres systèmes, donc les correctifs d'urgence doivent être accompagnés de preuves sur l'état de compromission, les identifiants et la télémétrie visible par le client. Une analyse faible commencerait par l'étiquette d'incident la plus forte, puis demanderait qui peut en être blâmé. Une analyse utile commence plus tôt.
Elle demande qui possédait la surface de contrôle pratique avant que l'événement ne soit visible, qui pouvait voir le signal faible alors qu'il était encore exploitable, et qui avait l'autorité de modifier la condition qui rendait le signal important. Dans ce cas, cette surface de contrôle inclut l'exposition de la gestion du pare-feu, les correctifs d'urgence, les hachages des comptes locaux, les conseils de rotation des identifiants, la télémétrie des appliances, les preuves post-remédiation et les preuves d'action client. Ces éléments ne sont pas une liste décorative.
Ce sont les endroits où la responsabilité devient observable ou se dissout dans la mémoire institutionnelle.
Le dossier public autour de sophos xg firewall asnarok zero-day, correctifs d'urgence, conseils de rotation des identifiants, télémétrie des appliances et dossier de responsabilité de confiance du pare-feu montre également pourquoi le même événement peut être mal interprété par différents publics. Un client veut savoir s'il doit faire pivoter ses identifiants, reconstruire un système, avertir les utilisateurs, appeler un régulateur, modifier une configuration ou accepter une incertitude résiduelle. Un conseil d'administration veut savoir si la direction avait suffisamment de preuves pour faire ces choix lorsque l'événement se déroulait.
Un régulateur veut des dates, des catégories, des populations concernées et des obligations. Un fournisseur veut distinguer son propre contrôle de produit ou de service de la configuration client et des dépendances tierces. Aucune de ces questions n'est illégitime. Le problème de responsabilité apparaît lorsque chaque public reçoit un fragment différent du dossier et que personne ne peut voir comment les fragments s'emboîtent.
Une limite de source pour cette section esthttps://www.cisa.gov/sites/default/files/publications/Capacity_Enhancement_Guide-Securing_Network_Infrastructure_Devices_508.pdf. Elle est utile pour le dossier de preuves publiques, mais elle ne peut pas répondre à toutes les questions internes de propriété. Le but n'est pas de gonfler la source. Le but est de dire ce qu'elle peut prouver, ce qu'elle ne peut que contextualiser, et ce qui reste en dehors du dossier public. Cette discipline est particulièrement importante lorsque le texte public utilise des expressions telles que incident, compromission, exposition, affecté, restauré, sécurisé, corrigé ou remédié. Ces mots peuvent être précis et encore trop vagues pour soutenir une décision à moins d'être liés à des dates, des systèmes, des personnes, des publics concernés et des exceptions résiduelles.
Un dossier plus solide relierait donc la visibilité du conseil d'administration, les jalons de remédiation, la gestion des exceptions et les tests post-incident. Il montrerait quand l'organisation est passée de la suspicion à la confirmation, quand elle a averti les parties concernées, quand elle a modifié le contrôle pertinent, et quand elle a pu prouver que le changement avait atteint l'environnement concerné. Il préserverait également les contre-preuves. Si un fournisseur dit que le contenu client n'a pas été affecté, l'analyse devrait expliquer la preuve de cette limite.
Si une entreprise dit que seuls certains champs étaient impliqués, l'analyse devrait expliquer comment cette portée a été établie. Si un fournisseur dit qu'une flotte hébergée a été corrigée, l'analyse devrait toujours demander comment les clients peuvent confirmer leur propre exposition et leurs obligations restantes.
Lorsque des documents juridiques ou des procédures publiques apparaissent, ils sont traités comme des enregistrements procéduraux ou de divulgation, sauf si une constatation finale est explicite dans la source citée. Une deuxième limite de source esthttps://attack.mitre.org/techniques/T1078/. Lues ensemble, les sources soutiennent un style d'analyse responsable: pas un verdict, pas une assurance marketing, et pas une reconstruction médico-légale que le dossier public ne permet pas, mais une carte de ce qu'un lecteur peut raisonnablement savoir. C'est pourquoi cet article revient sans cesse au contrôle pratique. La responsabilité n'est pas la même chose que l'omniscience. C'est l'obligation de dire quelle preuve a changé quelle décision, qui avait le pouvoir de modifier le contrôle pertinent, et quelles personnes ont subi le coût pendant que l'institution rassemblait encore des preuves.
Le prochain audit devrait préserver l'incertitude au lieu de la lisser
Le prochain audit devrait préserver l'incertitude au lieu de la lisser, cela importe pour Sophos Technology GmbH car le problème de responsabilité est qu'une appliance de sécurité est utilisée pour protéger d'autres systèmes, donc les correctifs d'urgence doivent être accompagnés de preuves sur l'état de compromission, les identifiants et la télémétrie visible par le client. Une analyse faible commencerait par l'étiquette d'incident la plus forte, puis demanderait qui peut en être blâmé. Une analyse utile commence plus tôt.
Elle demande qui possédait la surface de contrôle pratique avant que l'événement ne soit visible, qui pouvait voir le signal faible alors qu'il était encore exploitable, et qui avait l'autorité de modifier la condition qui rendait le signal important. Dans ce cas, cette surface de contrôle inclut l'exposition de la gestion du pare-feu, les correctifs d'urgence, les hachages des comptes locaux, les conseils de rotation des identifiants, la télémétrie des appliances, les preuves post-remédiation et les preuves d'action client. Ces éléments ne sont pas une liste décorative.
Ce sont les endroits où la responsabilité devient observable ou se dissout dans la mémoire institutionnelle.
Le dossier public autour de sophos xg firewall asnarok zero-day, correctifs d'urgence, conseils de rotation des identifiants, télémétrie des appliances et dossier de responsabilité de confiance du pare-feu montre également pourquoi le même événement peut être mal interprété par différents publics. Un client veut savoir s'il doit faire pivoter ses identifiants, reconstruire un système, avertir les utilisateurs, appeler un régulateur, modifier une configuration ou accepter une incertitude résiduelle. Un conseil d'administration veut savoir si la direction avait suffisamment de preuves pour faire ces choix lorsque l'événement se déroulait.
Un régulateur veut des dates, des catégories, des populations concernées et des obligations. Un fournisseur veut distinguer son propre contrôle de produit ou de service de la configuration client et des dépendances tierces. Aucune de ces questions n'est illégitime. Le problème de responsabilité apparaît lorsque chaque public reçoit un fragment différent du dossier et que personne ne peut voir comment les fragments s'emboîtent.
Une limite de source pour cette section esthttps://attack.mitre.org/techniques/T1059/008/. Elle est utile pour le dossier de preuves publiques, mais elle ne peut pas répondre à toutes les questions internes de propriété. Le but n'est pas de gonfler la source. Le but est de dire ce qu'elle peut prouver, ce qu'elle ne peut que contextualiser, et ce qui reste en dehors du dossier public. Cette discipline est particulièrement importante lorsque le texte public utilise des expressions telles que incident, compromission, exposition, affecté, restauré, sécurisé, corrigé ou remédié. Ces mots peuvent être précis et encore trop vagues pour soutenir une décision à moins d'être liés à des dates, des systèmes, des personnes, des publics concernés et des exceptions résiduelles.
Un dossier plus solide relierait donc les jalons de remédiation, la gestion des exceptions, les tests post-incident et la cartographie des publics concernés. Il montrerait quand l'organisation est passée de la suspicion à la confirmation, quand elle a averti les parties concernées, quand elle a modifié le contrôle pertinent, et quand elle a pu prouver que le changement avait atteint l'environnement concerné. Il préserverait également les contre-preuves. Si un fournisseur dit que le contenu client n'a pas été affecté, l'analyse devrait expliquer la preuve de cette limite.
Si une entreprise dit que seuls certains champs étaient impliqués, l'analyse devrait expliquer comment cette portée a été établie. Si un fournisseur dit qu'une flotte hébergée a été corrigée, l'analyse devrait toujours demander comment les clients peuvent confirmer leur propre exposition et leurs obligations restantes.
L'article préserve les questions non résolues car les questions non résolues font partie du dossier de responsabilité plutôt qu'un défaut d'écriture à cacher. Une deuxième limite de source esthttps://www.cisa.gov/known-exploited-vulnerabilities-catalog. Lues ensemble, les sources soutiennent un style d'analyse responsable: pas un verdict, pas une assurance marketing, et pas une reconstruction médico-légale que le dossier public ne permet pas, mais une carte de ce qu'un lecteur peut raisonnablement savoir. C'est pourquoi cet article revient sans cesse au contrôle pratique. La responsabilité n'est pas la même chose que l'omniscience. C'est l'obligation de dire quelle preuve a changé quelle décision, qui avait le pouvoir de modifier le contrôle pertinent, et quelles personnes ont subi le coût pendant que l'institution rassemblait encore des preuves.
À quoi ressembleraient de meilleures preuves
Une conception de preuves publiques plus solide pour Sophos Technology GmbH maintiendrait trois fichiers alignés. Le premier fichier serait le journal des décisions: qui a modifié un contrôle, qui a approuvé une déclaration publique, qui a accepté une exception, et qui a reçu l'avertissement. Le second serait le fichier de preuves techniques: horodatages, systèmes affectés, identités pertinentes, catégories de données exposées, contrôles de récupération et les tests qui ont montré si la réparation a atteint l'environnement dont les lecteurs dépendent réellement.
Le troisième serait le fichier du lecteur: un compte rendu simple de ce que les personnes concernées devraient faire, ce que l'organisation a déjà fait pour elles, ce qu'elle ne peut pas encore prouver, et quand la prochaine mise à jour réduira l'incertitude.
Cette conception importe car la responsabilité se dégrade lorsque ces fichiers divergent. Un avis techniquement précis peut encore laisser les clients incapables d'agir. Un avis juridique prudent peut encore omettre les preuves opérationnelles dont les équipes de sécurité ont besoin. Une déclaration de restauration confiante peut encore cacher des solutions de contournement manuelles qui n'ont jamais été réconciliées. La norme d'analyse devrait donc demander si le dossier public relie le contrôle, la preuve et la conséquence dans la même chronologie.
Pour cet article, la preuve requise est pratique plutôt que cérémonielle: qui avait le contrôle pratique sur l'exposition de la gestion du pare-feu, le déploiement des correctifs d'urgence, les hachages des comptes locaux, la rotation des identifiants clients, la télémétrie des appliances, les preuves post-remédiation, et la preuve qu'une appliance de sécurité était digne de confiance après une compromission?
Typographie
La typographie est l'art et la technique de disposer les caractères pour rendre le langage écrit lisible, lisible et visuellement attrayant. Elle implique la sélection de polices, de tailles de points, de longueurs de lignes, d'espacement des lignes et d'espacement des lettres.
- La typographie est née avec l'invention des caractères mobiles par Johannes Gutenberg au 15e siècle.
- Les éléments clés incluent le choix de la police, le crénage, le suivi et l'interlignage.
- Une bonne typographie améliore la lisibilité et transmet l'ambiance ou le ton dans le design.
Dossier de preuves du lecteur
L'article utilise les sources publiques suivantes comme dossier de lecture pour sophos xg firewall asnarok zero-day, correctifs d'urgence, conseils de rotation des identifiants, télémétrie des appliances et dossier de responsabilité de confiance du pare-feu.
Chaque source est traitée avec des limites: les déclarations de l'entreprise prouvent ce que l'entreprise a dit ou rapporté, les enregistrements gouvernementaux et réglementaires prouvent une action ou une obligation officielle, les publications techniques prouvent les mécanismes observés dans leur portée, les documents juridiques prouvent la position procédurale sauf si une constatation finale est explicite, et les documents de normes fournissent des références de contrôle plutôt que des constatations rétroactives.
- Source publique utilisée pour le dossier de preuves:https://www.sophos.com/en-us/blog/asnarok
- Source publique utilisée pour le dossier de preuves:https://support.sophos.com/support/s/article/KBA-000007319?language=en_US
- Source publique utilisée pour le dossier de preuves:https://nvd.nist.gov/vuln/detail/CVE-2020-12271
- Source publique utilisée pour le dossier de preuves:https://www.cyber.gc.ca/en/alerts/sophos-xg-firewall-vulnerability-cve-2020-12271
- Source publique utilisée pour le dossier de preuves:https://www.tenable.com/blog/cve-2020-12271-zero-day-sql-injection-vulnerability-in-sophos-xg-firewall-exploited-in-the-wild
- Source publique utilisée pour le dossier de preuves:https://www.rapid7.com/blog/post/ra-cve-2020-12271-sophos-xg-firewall-pre-auth-sql-injection-vulnerability-analysis/
- Source publique utilisée pour le dossier de preuves:https://www.sophos.com/en-us/security-advisories
- Source publique utilisée pour le dossier de preuves:https://www.cisa.gov/resources-tools/resources/secure-remote-access
- Source publique utilisée pour le dossier de preuves:https://www.cisa.gov/sites/default/files/publications/Capacity_Enhancement_Guide-Securing_Network_Infrastructure_Devices_508.pdf
- Source publique utilisée pour le dossier de preuves:https://attack.mitre.org/techniques/T1078/
- Source publique utilisée pour le dossier de preuves:https://attack.mitre.org/techniques/T1059/008/
- Source publique utilisée pour le dossier de preuves:https://www.cisa.gov/known-exploited-vulnerabilities-catalog
- Source publique utilisée pour le dossier de preuves:https://www.cisa.gov/securebydesign
- Source publique utilisée pour le dossier de preuves:https://www.cisecurity.org/controls
- Source publique utilisée pour le dossier de preuves:https://www.nist.gov/cyberframework
- Source publique utilisée pour le dossier de preuves:https://attack.mitre.org/techniques/T1190/
Ce dossier de preuves est délibérément plus large qu'un simple avis d'incident car sophos xg firewall asnarok zero-day, correctifs d'urgence, conseils de rotation des identifiants, télémétrie des appliances et dossier de responsabilité de confiance du pare-feu ont affecté plus d'un public. Le dossier public doit soutenir les personnes qui ont besoin d'action pratique, les gestionnaires qui ont besoin d'un plan de réparation, les régulateurs qui ont besoin de portée, et les lecteurs qui ont besoin de savoir quelles affirmations restent incertaines.
Questions pour le conseil d'administration
Le dossier d'analyse devrait nommer le propriétaire pratique de chaque décision, la date à laquelle la décision a été prise, les preuves utilisées et le public qui en dépendait. Sans cette structure, le même incident peut être raconté plus tard comme une panne technique, un différend juridique, un problème de service client ou un problème financier sans base stable pour décider quel récit est complet.
Un dossier de responsabilité utile préserve également l'incertitude. Il devrait dire ce qui est connu des déclarations de l'entreprise, ce qui est connu des enregistrements gouvernementaux ou judiciaires, ce qui est connu des intervenants externes en matière d'incidents, et ce qui reste inféré. Cette séparation protège les lecteurs d'une fausse précision et protège l'organisation de traiter la confiance précoce comme une preuve.
Le contrôle important n'est pas une réponse héroïque après coup. C'est la capacité de montrer, alors que l'événement est encore en mouvement, quelle preuve changerait une décision. Si un avis client, un rapport au conseil, une réclamation d'assurance, une mise à jour réglementaire ou un message de service public serait différent après un examen de journal supplémentaire, cette dépendance devrait être visible dans le dossier.
Pour ce cas spécifique, une analyse du conseil d'administration devrait demander qui avait le contrôle pratique sur l'exposition de la gestion du pare-feu, le déploiement des correctifs d'urgence, les hachages des comptes locaux, la rotation des identifiants clients, la télémétrie des appliances, les preuves post-remédiation, et la preuve qu'une appliance de sécurité était digne de confiance après une compromission? La réponse ne devrait pas être un récit seul.
Elle devrait inclure des preuves datées, des propriétaires nommés, des publics concernés, des engagements envers les clients et une liste des faits que l'organisation ne pouvait toujours pas prouver lorsque le dossier public a été constitué.

