Connect with us

Technologie

Pas de solution facile pour l’exploitation des vulnérabilités, alors soyez prêt

Published

on


La question de la gestion des vulnérabilités place la responsabilité de différentes natures et degrés dans l’ensemble de l’organisation, y compris comment, quand et quoi divulguer (le cas échéant) si l’occasion se présente.

Mais en fin de compte, le premier devoir est d’empêcher que les vulnérabilités soient exploitées et causent des dommages en premier lieu – bien que la première étape de la gestion des vulnérabilités doive être la reconnaissance qu’il n’y a pas de solution facile.

Pour mettre les choses en contexte, il faut que le RSSI et son équipe corrigent les vulnérabilités qu’ils n’ont pas causées, dans les applications et l’infrastructure qu’ils ne possèdent pas, ainsi que contournent régulièrement les processus de gestion du changement de leur organisation en installant des correctifs qu’ils n’ont pas conçus et n’ont souvent pas leur mot à dire lorsqu’ils sont appliqués.

Mais les entreprises ne peuvent fonctionner efficacement que dans un environnement sécurisé, ce qui nécessite un processus robuste pour identifier, classer, corriger et atténuer les vulnérabilités.

Gestion d’actifs

La condition préalable à ce processus est la gestion des actifs – une entreprise qui n’a pas ses actifs informatiques enregistrés rend une tâche encore plus difficile. Pour faciliter cette activité, il existe de nombreux outils qui parcourent automatiquement le réseau pour identifier les applications et l’infrastructure et les cataloguer automatiquement dans un système de gestion des stocks.

Cependant, les outils de balayage automatisés doivent être utilisés avec prudence près de la technologie opérationnelle (OT) utilisée pour les systèmes de contrôle industriel en raison de la nature variée de la technologie et de la nature critique de l’infrastructure pour une organisation.

Avec un inventaire de tout ce qui pourrait être à la portée d’un attaquant, l’étape suivante consiste à identifier les actifs réellement menacés – réseaux, systèmes d’exploitation, applications, etc. – ainsi que les vulnérabilités possibles.

Renseignements sur les menaces

Cela signifie, bien sûr, savoir quelles vulnérabilités sont là – et sont actuellement les plus susceptibles d’être utilisées. En principe, c’est simple – il s’agit d’analyser des applications ou des programmes développés en interne avant qu’ils ne soient déployés ou connectés au réseau, et de s’inscrire aux listes de diffusion des fournisseurs pour les mises à jour au fur et à mesure qu’elles se produisent.

Mais la réalité est que la rupture des vulnérabilités zero-day devient souvent de notoriété publique sur les médias sociaux avant que le fournisseur n’ait communiqué un problème potentiel, ce qui en fait une source clé compte tenu de la nécessité de réagir rapidement aux nouvelles vulnérabilités.

Alternativement, les attaquants eux-mêmes peuvent faire la nouvelle d’une vulnérabilité au sein de leurs réseaux, en partageant des exploits en ligne afin que d’autres attaquants puissent en tirer parti. À l’occasion, ils peuvent le divulguer au monde entier, par exemple si l’objectif est de forcer des changements de comportement par leurs cibles.

Et le rôle des systèmes de bug bounty, dans lesquels les individus sont rémunérés pour signaler des bogues, en particulier ceux liés aux exploits de sécurité et aux vulnérabilités, aux pirates éthiques et aux tests d’intrusion dans l’identification des exploits, ne peut être sous-estimé.

Hiérarchisation des priorités

Avec des informations sur les actifs et les vulnérabilités, une liste de priorités très importante peut être créée pour définir un système hiérarchique d’actifs et les menaces réelles auxquelles ils sont confrontés. Cela dit, il est souvent difficile pour un RSSI, qui sera confronté à un volume de menaces constamment élevé, de catégoriser les types de risque et d’être réaliste quant aux vulnérabilités les plus susceptibles d’être utilisées.

Les outils qui analysent et signalent les vulnérabilités ont tendance à choquer et à submerger. Les RSSI recherchent des éclaircissements sur des mesures simples qui peuvent supprimer un volume élevé d’attaques probables ou les plus dommageables, plutôt que d’avoir à parcourir de grandes quantités de données qui ne tiennent pas compte de la tolérance au risque, des atténuations ou de la capacité de réponse de l’organisation.

Rapiéçage

La gestion des correctifs est, à juste titre, une référence populaire dans les discussions sur la gestion efficace des vulnérabilités, et c’est une partie importante. Cependant, cela doit se faire en conjonction avec la gestion des actifs et être combiné avec des tests d’intrusion et des évaluations de vulnérabilité, comme mentionné ci-dessus.

En effet, les plans d’intervention sont souvent mieux informés grâce à des renseignements sur les menaces sur qui peut attaquer quels systèmes avec quels mécanismes, tandis que SOAR (orchestration, automatisation et réponse en matière de sécurité) peut fournir une défense plus efficace lorsque de nouveaux exploits sont identifiés.

En outre, toutes les vulnérabilités n’ont pas de correctifs, ou il se peut que le correctif en lui-même ne soit pas suffisant. Parfois, une protection de la couche réseau ou la reconstruction des modèles de contrôle d’accès est également nécessaire, ce qui prend du temps et est ardu, surtout s’il s’agit d’un crsystème informatique ou face à Internet.

Modalités

La gestion des vulnérabilités ne peut pas être entreprise par une seule personne ou équipe. Il a besoin de la coordination de nombreuses unités différentes au sein d’une organisation, ainsi que de personnes hautement et continuellement formées – dont le coût peut être prohibitif pour l’adhésion du conseil d’administration.  Cela nécessite également des RSSI dotés de compétences hybrides capables d’équilibrer les exigences de l’entreprise avec le paysage de la sécurité en constante évolution et sur plusieurs canaux.

Une certaine forme de temps d’arrêt ou de perturbation de l’entreprise est généralement nécessaire lorsque des modifications du système sont apportées, avec des « fenêtres de maintenance » généralement déterminées par chaque propriétaire d’application distinct. Naviguer dans les approbations souvent multiples requises peut prendre beaucoup de temps – et peut potentiellement prendre plus de temps que l’identification du correctif requis.

Il est également important de déterminer si le fait d’apporter les changements et de remédier à la vulnérabilité rendra réellement l’organisation plus sûre. Par exemple, les vulnérabilités de bas niveau seront souvent ignorées afin de donner la priorité aux vulnérabilités à haut risque qui pourraient avoir un impact plus important sur l’entreprise si elles sont exploitées.

De même, l’application de correctifs peut avoir des conséquences inattendues, telles que la récente mise à jour de Microsoft Windows qui a supprimé les réseaux d’impression de nombreuses organisations. Ne pas entreprendre un changement, ou même le faire reculer, tout en laissant la vulnérabilité exister, doivent être considérés comme des options.

Les équipes de sécurité travaillant avec l’OT – telles que le contrôle de supervision et l’acquisition de données (SCADA) – sont susceptibles de trouver les contraintes autour de la gestion des vulnérabilités encore plus strictes. L’analyse est problématique, les temps d’arrêt sont souvent inexistants et il n’y a pas d’environnement de test pour confirmer qu’il n’y aura pas d’impact. Les contrôles au niveau du réseau pour restreindre l’accès aux périphériques vulnérables sont souvent l’option préférée – bien que, s’ils ne sont pas déjà en place, ils prennent beaucoup de temps à mettre en œuvre.

Un travail vital

En résumé, la gestion des vulnérabilités exige une compréhension complète des actifs de l’organisation, de ce qu’ils exécutent, s’ils ont un accès direct à Internet et à quel point ils sont essentiels pour l’entreprise.

Les équipes doivent être vigilantes dans la recherche d’informations qui ont un impact sur leurs opérations – en ingérant des nouvelles sur les vulnérabilités pendant des jours zéro, tout en n’hésitant pas à utiliser des méthodes peu orthodoxes pour obtenir des informations telles que les médias sociaux.

C’est un travail difficile dans un environnement informatique confronté à un nombre et à une variété croissants de menaces, il est donc essentiel que chaque organisation le prenne au sérieux.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance