Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Cyber Resilience

Optimiser vos efforts en matière de gestion des vulnérabilités essentielles à huit niveaux

Andrew Kay
Directeur, Ingénierie des ventes, APJ
Illumio Editorial
Mai 7, 2020
23 min. lire

Des systèmes interconnectés disparates et, désormais, des employés à distance dans le monde entier augmentent notre exposition à la cybercriminalité et les possibilités qu'elle offre. Les équipes de sécurité ici en Australie, en particulier dans les départements du gouvernement fédéral et des États australiens, luttent continuellement contre les vents contraires pour adopter et maintenir les conseils et les exigences donnés par le Centre australien de cybersécurité (ACSC) sous la forme de l'ISM Essential Eight.

Les discussions que nous avons eues récemment avec des agences sur la réduction des coûts et des efforts en matière d'hygiène de sécurité ont mis en évidence les difficultés persistantes liées aux correctifs des systèmes d'exploitation et des applications, ainsi qu'à d'autres pratiques "fondamentales" que les équipes de sécurité ont du mal à faire disparaître. Malgré l'accès à des technologies matures qui détectent et conseillent sur la manière de maintenir les systèmes et les applications COTS à jour, et un programme sprint conçu pour aider les centres nationaux d'excellence à améliorer leur maturité "Essential Eight", des questions subsistent quant à savoir si les ramifications des résultats de la gestion des vulnérabilités sont pleinement comprises, et où dépenser l'effort des ressources déjà sollicitées pour obtenir le meilleur retour sur l'atténuation des risques.

La gestion des vulnérabilités est bien sûr une pratique clé dans l'arsenal de chaque équipe de sécurité et devrait être le fondement de toute stratégie de défense, ce qui est mis en évidence par son inclusion dans le Top 4 original de 2011 et sa pertinence continue dans l'Essential 8 élargi. Cependant, en raison de la complexité croissante de l'infrastructure, des architectures applicatives et des vulnérabilités logicielles, les agences ne peuvent pas ou ont de plus en plus de mal à corriger toutes les vulnérabilités dans les délais impartis, et sont souvent paralysées dans le déploiement des correctifs par crainte de casser leurs applications ou de perturber leur productivité.

Le niveau de conformité INFOSEC-4 documenté dans le Proactive Security Policy Framework (PSPF) Compliance Report du gouvernement australien (relatif à la sécurité des systèmes cybernétiques et TIC, y compris les stratégies d'atténuation des incidents de cybersécurité) restant le plus bas des 36 exigences obligatoires, et s'améliorant à peine par rapport aux années précédentes, certains s'estiment peut-être heureux que "le gouvernement fédéral envisage de ne rendre obligatoire l'Huit essentiel que lorsque la maturité de la cybersécurité aura augmenté".

Les thèmes communs qui ressortent de nos récentes discussions avec les agences sont les suivants :

  • le volume de logiciels et de systèmes, et la cadence ou l'absence de correctifs nécessaires - en particulier pour les logiciels produits en interne
  • Établir des priorités en se rendant compte que tout ne sera pas toujours corrigé.
  • L'inévitabilité du risque d'accepter des vulnérabilités sans en apprécier pleinement l'impact

Voici trois domaines clés sur lesquels vous devez vous concentrer et où des solutions intégrées peuvent vous aider.

1. Redéfinir les priorités en fonction de l'exposition, et pas seulement de la criticité

La tradition et la nature nous incitent à viser d'abord ce que nous percevons comme "le plus critique". Bien qu'ils disposent d'excellents outils de détection et de systèmes de notation qui reflètent la criticité des vulnérabilités connues, ils ne tiennent pas compte de la connectivité d'une charge de travail par rapport à d'autres charges de travail dans un environnement. Les systèmes dont le volume est moindre ou dont les vulnérabilités sont potentiellement moins bien classées en raison de leur seule criticité, mais qui sont plus accessibles et connectés, peuvent laisser une agence ouverte aux attaques. En adoptant une approche de la gestion des vulnérabilités axée sur le volume et la date la plus récente, et en progressant simplement dans les systèmes qui semblent égaux en termes de nombre et de classement des problèmes identifiés, on ne s'attaquera pas d'abord aux possibilités d'exploitation les plus élevées. En fait, elle ne fait que créer l'illusion d'un progrès et d'un succès tout en laissant l'agence exposée à des risques importants.

Un moyen de maintenir une surface d'attaque minimale et de rentabiliser vos efforts de correction consiste à réorganiser la liste des priorités en fonction de l'"exposition". Envisagez les vulnérabilités dans un contexte plus large, où l'accessibilité de la vulnérabilité et la connectivité du système jouent un rôle essentiel dans la prise en compte de la vulnérabilité en premier lieu. En associant l'outil d'analyse des vulnérabilités que vous avez choisi aux flux de trafic en temps réel au sein de votre centre de données, les équipes chargées de la sécurité et des opérations informatiques peuvent donner la priorité aux décisions relatives à la sécurité et à l'application de correctifs sur les systèmes présentant les scores d'exposition les plus élevés.

2. Visualisation des voies de vulnérabilité

Sans une compréhension ou une visualisation de la façon dont une vulnérabilité pourrait être atteinte, ou pourrait être exploitée pour accéder à d'autres systèmes sensibles dans votre environnement, les équipes de sécurité et d'application finissent le plus souvent par évaluer la nécessité ou le calendrier des correctifs en silos. Parce qu'ils volent à l'aveuglette, ils ne peuvent pas apprécier les effets en amont et en aval de leurs décisions. Ceci est particulièrement important lorsque l'on choisit d'accepter un risque pour une application qui s'interface avec d'autres.

Le fait de ne pas apprécier le contexte plus large ou l'efficacité des contrôles adoptés a probablement contribué aux données présentées dans le rapport de conformité de la CRFP, où la conformité à INFOSEC-3 "mettre en œuvre des politiques et des procédures pour la classification de la sécurité et le contrôle de la protection des actifs informationnels" a diminué de plus de cinq pour cent avec la prise de conscience des lacunes dans ce domaine.

Une visualisation capable de cartographier les voies qu'un attaquant pourrait emprunter permettra aux équipes de sécurité de disposer des informations nécessaires pour s'assurer que les décisions ne sont pas prises sans tenir compte des systèmes interconnectés. Ils peuvent se concentrer sur l'évaluation précise de l'impact d'une vulnérabilité sur l'ensemble de l'écosystème, en appréciant à l'avance le niveau d'"exposition" à l'exploitation de ces vulnérabilités dormantes et en veillant à ce que les mesures correctives les plus efficaces soient prises en premier lieu.

3. Possibilité d'atténuation sans accès immédiat au correctif

Les correctifs ne sont pas nécessairement disponibles lorsque vous en avez besoin. Le gel des changements de production empêche leur déploiement immédiat ou, comme c'est souvent le cas, les équipes de projet ne peuvent pas être remises en service pour retravailler les logiciels produits sur mesure. En fait, les cycles de préparation et de test des correctifs afin qu'ils n'aient pas d'impact négatif sur la disponibilité des services de l'entreprise deviennent le véritable obstacle pour les équipes de sécurité étendues, et non le déploiement proprement dit. Les équipes risquent de rester vulnérables jusqu'à ce qu'elles puissent appliquer des correctifs et ne disposent pas de capteurs pour les alerter si du trafic est détecté vers un service vulnérable.

Les derniers niveaux de maturité de l'ACSC prescrivent des objectifs pour les durées de déploiement des correctifs, spécifiquement pour les systèmes à risque extrême. Bien que les agences devraient viser le niveau 3 et un objectif de correctifs en 48 heures, de nombreux correctifs pourraient ne même pas atteindre l'objectif d'un mois du niveau 1, et les systèmes à faible risque ne seront pas soumis aux mêmes niveaux d'examen. Il y aura donc des fenêtres d'exposition, quelle que soit votre position sur l'échelle des échéances. Bien que vous puissiez avoir l'impression d'être englué dans les fondamentaux avec le risque d'exposition par des systèmes non corrigés, le contrôle de la distance et de la largeur des trous de lapin derrière ce qui est violé peut être introduit de manière efficace pour minimiser ce risque.

La microsegmentation, si elle est bien faite, peut être rapidement mobilisée pour servir de contrôle compensatoire sous-jacent - ce qui vous permet de gagner un temps bien trop précieux. Si le trafic se connecte à un port présentant une vulnérabilité connue, des alertes destinées à informer le centre des opérations de sécurité (SOC) accélèrent les processus de réponse et, mieux encore, des politiques de segmentation appliquées permettent d'éliminer ou de restreindre l'accès à ces ports sans interrompre les applications. En isolant les services vulnérables du reste du réseau, vous empêchez les menaces de se déplacer latéralement et vous répondez à vos exigences de conformité jusqu'à l'application des correctifs.

Comme l'ont montré les événements mondiaux actuels et les atteintes à la sécurité, il est essentiel de suivre et de comprendre la portée d'une menace, de l'isoler à titre préventif et de veiller à ce que des contrôles soient en place pour "prévenir" la propagation ou l'impact d'un incident exploitant les vulnérabilités existantes dans votre centre de données. Surtout lorsque les solutions "curatives" sont difficiles à tester et à appliquer en temps voulu.


Pour plus d'informations sur Illumio, découvrez comment nous aidons à optimiser les régimes de gestion des vulnérabilités et permettons aux équipes de sécurité de se libérer du fardeau des principes fondamentaux.

Sujets connexes

No items found.

Articles connexes

Explorer l'utilisation de la fonctionnalité NGFW dans un environnement de microsegmentation
Cyber Resilience

Explorer l'utilisation de la fonctionnalité NGFW dans un environnement de microsegmentation

Découvrez les recherches d'Illumio sur les possibilités de mise en œuvre des fonctions NGFW dans un environnement de microsegmentation.

Read more
La cybersécurité est notre plus grand impératif de résilience nationale
Cyber Resilience

La cybersécurité est notre plus grand impératif de résilience nationale

L'accent étant mis de plus en plus sur l'augmentation de la production, de la fabrication et de la distribution, la cybersécurité et la sécurisation des infrastructures critiques sont essentielles à cette réussite.

Read more
Swish : Ce que Steph Curry peut nous apprendre sur la sécurité des entreprises
Cyber Resilience

Swish : Ce que Steph Curry peut nous apprendre sur la sécurité des entreprises

Les meilleurs professionnels de la sécurité sont ceux qui peuvent penser comme un pirate informatique. Leur point de vue sur la défense est basé sur une compréhension fondamentale de la manière d'explorer un système à la recherche de faiblesses qui peuvent être facilement exploitées.

Read more
No items found.

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

Learn more