Pourquoi la correction des vulnérabilités de sécurité n’est pas si simple

Pourquoi la correction des vulnérabilités de sécurité n’est pas si simple

Cela semble simple: un scanner identifie une vulnérabilité, celle-ci est corrigée. Ce qui se passe entre les deux peut cependant être loin d’être simple. Cependant, si vous ne faites pas partie d’une équipe de sécurité ou, plus spécifiquement, d’une équipe de gestion de vulnérabilités, vous ne saurez jamais quelle route cahoteuse et sinueuse s’étend souvent entre l’analyse et la correction.

Le processus de gestion des correctifs

Lorsque des vulnérabilités sont découvertes dans des applications, des réseaux, des systèmes et d’autres éléments de l’environnement d’une entreprise, la priorité de ceux qui les gèrent est de s’assurer qu’elles sont corrigées et à jour. C’est une pratique essentielle qui aide à maintenir la sécurité dans le temps et réduit le risque d’attaque. Bien que la correction des vulnérabilités soit un concept de base, le processus de correction a tendance à s’opérer de manière distincte de celle de l’équipe de sécurité de l’information et n’est souvent visible que par les personnes directement impliquées.

Le résultat est une simplification excessive du processus de correction. Des questions extérieures à l’organisation de sécurité peuvent se poser, telles que «Pourquoi ne pas simplement appliquer des correctifs?» Hélas, en ce qui concerne les correctifs, le diable se cache dans les détails. Des considérations commerciales, telles que le maintien de certains systèmes en fonctionnement et l’évitement de problèmes techniques tels que des correctifs appliqués qui ne fonctionnent pas, peuvent ralentir et interrompre temporairement le processus.

Pour comprendre les principaux problèmes, Steve Ocepek, directeur technique de X-Force Red Hacking et son équipe aident les organisations du monde entier à résoudre leurs vulnérabilités les plus critiques.

Voici ce qu’il a partagé :

1. Le chef d’entreprise contre le leader de la sécurité

Que se passe-t-il si un correctif provoque la panne d’un système servant des milliers de clients? Ce genre de scénario est le pire cauchemar de la plupart des entreprises. Le plus souvent, la continuité des activités prime sur la gestion des vulnérabilités et des correctifs.

Vous avez peut-être entendu parler du terme CIA. Non, ce n’est pas cette organisation gouvernementale à laquelle vous songez. La triade CIA en matière de sécurité de l’information est synonyme de confidentialité, d’intégrité et de disponibilité, décrivant les objectifs liés aux systèmes et aux données que nous utilisons. Ces trois concepts sont au cœur des préoccupations des responsables de la sécurité et des entreprises.

L’exploitation d’une entreprise inclut la disponibilité des systèmes pour assurer sa continuité. Selon les types de services proposés, certaines organisations sont plus préoccupées par la disponibilité que par la confidentialité ou l’intégrité. Par conséquent, lorsqu’un responsable de la sécurité de l’information (RSSI) demande à son équipe de proposer un correctif, le chef d’entreprise propriétaire du système nécessitant des correctifs peut répondre: «Vous ne pouvez pas toucher à ces cases. Nous nous sommes engagés à assurer une disponibilité de 99,999% de ceux-ci, et nous perdrons de l’argent dans la catégorie à cinq chiffres pour chaque heure passée en panne. Remplissez d’abord ces formulaires et prouvez que vous ne démonterez pas le système. ”

Ce type d’énigme peut ralentir le processus de correction, laissant le système exposé à des attaquants pendant des mois, voire des années. Souvent, ils ne sont pas patchés avant qu’il ne soit trop tard et au-delà.

2. Le correctif qui ne corrige pas

Même lorsqu’une décision de correctif est prise immédiatement, tous les correctifs ne fonctionnent pas. Parfois, un correctif appliquera un correctif, seulement pour constater que la vulnérabilité reste non corrigée après le prochain contrôle. Cela se produit généralement lorsqu’un correctif est fourni avec un fichier ou un document fournissant des instructions pour appliquer correctement le correctif, et que ce document est au mieux ignoré ou écrémé. Par exemple, les instructions peuvent demander à quelqu’un de modifier manuellement un paramètre avant de déployer un correctif. Les correcteurs peuvent négliger ces instructions, ce qui conduit à un patch incomplet.

3. Faux Positifs

Voyons les choses en face: les signatures qui sortent des scanners de vulnérabilités ne conviennent pas toutes. Il en existe de mauvais, ou du moins d’autres qui ne répondent pas aux besoins de l’organisation et peuvent amener les scanners de vulnérabilité à mal comprendre ce qu’ils voient.

Par exemple, un scanner peut analyser un serveur Web s’exécutant sur une boîte physique. Le scanner découvre une vulnérabilité dans le système d’exploitation du serveur; Cependant, la vulnérabilité ne peut être exploitée par un attaquant que si une certaine fonction est activée. L’analyseur ne peut pas déterminer si cette fonction est activée dans l’environnement de l’organisation, mais il signale néanmoins la vulnérabilité. En conséquence, l’équipe de sécurité risque de perdre du temps à rechercher cette vulnérabilité, alors qu’elle ne constitue pas une vulnérabilité réelle car la fonction requise n’est pas activée.

Du point de vue de l’équipe de gestion des vulnérabilités, il peut être difficile de prouver quelles vulnérabilités sont réelles par rapport aux faux positifs. Ils pourraient facilement perdre du temps à rechercher des faux positifs pour la correction au lieu de se concentrer sur ceux qui comptent vraiment.

Selon l’expérience de Steve et de son équipe de travail avec les équipes de gestion des vulnérabilités, 20 à 30% du temps de l’équipe est consacré aux faux positifs.

4. Vulnérabilités des fournisseurs tiers

Certaines vulnérabilités sont du type que les entreprises ne peuvent pas résoudre elles-mêmes, telles que celles qui exposent des technologies hébergées par des fournisseurs tiers. Les pare-feu, les caméras connectées à Internet et d’autres technologies peuvent faire partie de cette portée d’analyse et peuvent contenir des vulnérabilités qu’il sera difficile, voire impossible, de corriger.

Les responsables de la sécurité peuvent signaler leurs découvertes au fournisseur tiers et lui demander de corriger les problèmes. Toutefois, cela ne signifie pas nécessairement que le fournisseur les réglera rapidement, voire pas du tout. Alors, que peuvent faire les équipes de sécurité? Dans ce cas, une solution consiste à appliquer des contrôles compensatoires et à segmenter ces périphériques du reste du réseau afin que, si une vulnérabilité est exploitée, l’attaquant ne puisse pas en tirer parti pour accéder à l’infrastructure de la société.

Vous pouvez également désactiver les fonctions des appareils vulnérables pour limiter l’exposition globale et les rendre moins risqués à utiliser.

5. Inventaire des biens – angles morts

C’est l’un des problèmes les plus courants dont Steve et son équipe sont témoins dans le processus d’analyse de vulnérabilité. Un scanner trouve une vulnérabilité sur un système donné, mais l’équipe de sécurité n’avait aucune idée que le système en question existait même sur le réseau de l’entreprise, et encore moins à qui appartient ce système. Le problème tient au fait que l’inventaire des biens est incomplet ou désuet, ce qui est malheureusement un scénario très courant.

Steve et son équipe n’ont pas encore rencontré un client qui a déclaré: «Notre inventaire d’actifs est parfait!» Ce problème est si répandu parce que le concept de base de données d’actifs est obsolète. Dans l’environnement dynamique d’aujourd’hui, avec des millions de périphériques et de points de connexion connectés au réseau, la maintenance d’un inventaire des ressources est pratiquement impossible. Par conséquent, la découverte d’une vulnérabilité sur un système non reconnu est courante et peut constituer un casse-tête pour l’équipe de sécurité.

Cela signifie découvrir l’actif, obtenir des informations sur son objectif, son propriétaire, les données et les fonctions qu’il héberge, les contrôles qui peuvent lui être appliqués et, éventuellement, les vulnérabilités qui l’exposaient à une attaque potentielle. Ces angles morts peuvent certainement retarder le processus de correction des actifs hors de portée.

Bonne gestion des correctifs pour une meilleure sécurité

À l’ère d’attaques qui peuvent faire des ravages dans le monde entier, l’application de correctifs est une nécessité, malgré ces obstacles sur la route. La bonne nouvelle est que la plupart de ces problèmes sont faciles à résoudre. Dans certains cas, il peut s’agir d’une solution simple et gratuite, telle que la segmentation des périphériques tiers ou la vérification de la lecture et de l’application des instructions par les correcteurs. Pour éviter de rencontrer des problèmes de continuité des activités, vous devez également respecter les créneaux horaires alloués à la gestion des correctifs afin de minimiser le risque de panne des systèmes stratégiques et d’impact négatif sur l’organisation.

Pour mieux gérer les priorités de correction, vous pouvez envisager d’utiliser une formule de classement automatisé qui hiérarchise les vulnérabilités en fonction de celles qui sont activement exploitées par les attaquants.

Un partenariat avec une équipe de professionnels en sécurité informatiques telle que agilly peut également aider. Notre équipe gère un programme de gestion des vulnérabilités qui inclut la facilitation du processus de correction. Cela signifie que s’il y a des bosses sur la route, nous pouvons aider à les surmonter.

Considérant que nous pensons comme des pirates et que nous trouvons régulièrement des systèmes vulnérables, AGILLY peut vous aider à détecter les problèmes liés aux actifs, qu’ils soient connus ou inconnus du client.

MDaemon Technologies annonce de nouveaux services de passerelle de sécurité de messagerie dans le cloud Pourquoi les humains sont de plus en plus la cible des cyberattaques