M\u00eame si l’att\u00e9nuation des menaces est dans une certaine mesure une t\u00e2che sp\u00e9cialis\u00e9e impliquant des experts en cybers\u00e9curit\u00e9, la gestion quotidienne de l’att\u00e9nuation des menaces revient souvent aux administrateurs syst\u00e8me. Pour ces administrateurs syst\u00e8me, ce n’est cependant pas une t\u00e2che facile. Dans l’informatique d’entreprise, les \u00e9quipes d’administrateurs syst\u00e8me ont un large mandat mais des ressources limit\u00e9es.<\/p>\n
Pour les administrateurs syst\u00e8me, il est difficile de trouver le temps et les ressources n\u00e9cessaires pour att\u00e9nuer une menace croissante et en constante \u00e9volution. Dans cet article, nous d\u00e9crivons les difficult\u00e9s li\u00e9es \u00e0 l’att\u00e9nuation des menaces d’entreprise et expliquons pourquoi des outils d’att\u00e9nuation automatis\u00e9s et sp\u00e9cialement con\u00e7us sont la voie \u00e0 suivre.<\/p>\n
La gestion des menaces est une t\u00e2che \u00e9crasante<\/h2>\n
Il existe une gamme de sp\u00e9cialistes qui travaillent dans la gestion des menaces, mais la mise en \u0153uvre pratique des strat\u00e9gies de gestion des menaces revient souvent aux administrateurs syst\u00e8me. Qu’il s’agisse de la gestion des correctifs, de la d\u00e9tection des intrusions ou de la correction apr\u00e8s une attaque, les administrateurs syst\u00e8me supportent g\u00e9n\u00e9ralement le gros du travail.<\/p>\n
C’est une t\u00e2che impossible, compte tenu de la nature croissante de la menace. Rien qu’en 2021, 28 000 vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 divulgu\u00e9es<\/a>. C’est un si grand nombre qu’en fait, une grande partie n’est jamais all\u00e9e jusqu’\u00e0 se voir attribuer un CVE. Ceci est particuli\u00e8rement pertinent dans une industrie ax\u00e9e sur le suivi des CVE, le test de leur pr\u00e9sence sur nos syst\u00e8mes et le d\u00e9ploiement de correctifs mentionnant des num\u00e9ros CVE sp\u00e9cifiques. Vous ne pouvez pas vous prot\u00e9ger contre ce \u00e0 quoi vous ne savez pas que vous \u00eates vuln\u00e9rable<\/em>. Si une vuln\u00e9rabilit\u00e9 donn\u00e9e n’est pas associ\u00e9e \u00e0 un CVE et que tous vos outils\/\u00e9tat d’esprit\/processus sont ax\u00e9s sur les CVE, quelque chose \u00e9chouera. Les raisons de ne pas attribuer de CVE \u00e0 une vuln\u00e9rabilit\u00e9 sont de nombreux<\/a> et en dehors du champ d’application de cet article, mais aucun de ceux-ci ne r\u00e9duira le travail qui doit \u00eatre fait en mati\u00e8re de s\u00e9curit\u00e9.<\/p>\n M\u00eame si une organisation disposait d’une \u00e9quipe d’administrateurs syst\u00e8me \u00e0 trois chiffres, il serait difficile de suivre cette liste de vuln\u00e9rabilit\u00e9s en constante augmentation. Nous ne parlons m\u00eame pas des interactions o\u00f9 une vuln\u00e9rabilit\u00e9 peut affecter un syst\u00e8me secondaire fonctionnant sur votre infrastructure d’une mani\u00e8re qui n’est pas si \u00e9vidente.<\/p>\n Au fil du temps, il se fond simplement dans un “bruit de fond” de vuln\u00e9rabilit\u00e9s. On suppose que les correctifs sont appliqu\u00e9s de mani\u00e8re m\u00e9thodique, hebdomadaire ou peut-\u00eatre quotidienne, mais en r\u00e9alit\u00e9, les informations pertinentes et d\u00e9taill\u00e9es contenues dans les annonces CVE n’atteignent jamais la priorit\u00e9.<\/p>\n Les t\u00e2ches de s\u00e9curit\u00e9, y compris les correctifs, devenant un exercice aussi accablant, il n’est pas \u00e9tonnant que les administrateurs syst\u00e8me commencent \u00e0 prendre des raccourcis. Peut-\u00eatre qu’un administrateur syst\u00e8me manque cette interaction entre un nouvel exploit et un syst\u00e8me secondaire, ou n\u00e9glige de tester correctement les correctifs avant de d\u00e9ployer le dernier correctif, ce qui peut \u00e9chouer \u00e0 emp\u00eacher un effondrement \u00e0 l’\u00e9chelle du r\u00e9seau. <\/p>\n Manipul\u00e9es sans pr\u00e9caution, les t\u00e2ches de gestion de la s\u00e9curit\u00e9 telles que les correctifs peuvent avoir des cons\u00e9quences. Un petit changement reviendra et hantera les \u00e9quipes de s\u00e9curit\u00e9 quelques jours, semaines ou mois plus tard en cassant quelque chose d’autre auquel ils ne s’attendaient pas. <\/p>\n “Fermer les trous” est tout aussi probl\u00e9matique dans ce contexte. Par exemple, prenez la vuln\u00e9rabilit\u00e9 Log4j, o\u00f9 la modification de la configuration par d\u00e9faut de Log4j pourrait facilement fournir une att\u00e9nuation significative. C’est une \u00e9tape \u00e9vidente et sens\u00e9e, mais la vraie question est : l’\u00e9quipe d’administration syst\u00e8me a-t-elle les ressources pour accomplir la t\u00e2che ? Ce n’est pas que c’est difficile \u00e0 r\u00e9aliser en soi<\/em> – mais il est difficile de suivre chaque utilisation de log4j sur l’ensemble d’un parc syst\u00e8me, et le travail n\u00e9cessaire est en outre<\/em> \u00e0 toutes les autres activit\u00e9s r\u00e9guli\u00e8res.<\/p>\n Et encore une fois, en ce qui concerne les correctifs, les ressources n\u00e9cessaires pour le faire de mani\u00e8re coh\u00e9rente ne sont souvent pas l\u00e0. L’application de correctifs est particuli\u00e8rement difficile \u00e9tant donn\u00e9 que l’application d’un correctif implique le red\u00e9marrage du service sous-jacent. Les red\u00e9marrages prennent du temps et perturbent et, lorsqu’il s’agit de composants critiques, le red\u00e9marrage peut tout simplement ne pas \u00eatre r\u00e9aliste. <\/p>\n Le r\u00e9sultat net est que les t\u00e2ches de s\u00e9curit\u00e9 essentielles ne sont tout simplement pas effectu\u00e9es, laissant les administrateurs syst\u00e8me avec le sentiment tenace que la s\u00e9curit\u00e9 n’est tout simplement pas ce qu’elle devrait \u00eatre. Cela vaut \u00e9galement pour la surveillance de la s\u00e9curit\u00e9, y compris les tests de p\u00e9n\u00e9tration et l’analyse des vuln\u00e9rabilit\u00e9s. Oui, certaines organisations peuvent avoir des sp\u00e9cialistes pour accomplir cette t\u00e2che \u2013 allant m\u00eame jusqu’\u00e0 avoir des \u00e9quipes rouges et des \u00e9quipes bleues.<\/p>\n Mais, dans de nombreux cas, la surveillance de la s\u00e9curit\u00e9 est une autre t\u00e2che pour les administrateurs syst\u00e8me qui seront in\u00e9vitablement surcharg\u00e9s et finiront par prendre.<\/p>\n On pourrait penser que tout ce qui doit se passer est que les administrateurs syst\u00e8me prennent de l’avance sur le fardeau – musclez-vous et faites-le simplement. En travaillant sur le backlog, peut-\u00eatre en obtenant une aide suppl\u00e9mentaire, les administrateurs syst\u00e8me pourraient g\u00e9rer la charge de travail et tout faire.<\/p>\n Mais il y a un l\u00e9ger probl\u00e8me ici. Le nombre de vuln\u00e9rabilit\u00e9s augmente rapidement \u2013 \u200b\u200bune fois que l’\u00e9quipe aura trait\u00e9 les probl\u00e8mes connus, elle en rencontrera sans doute encore plus. Et le rythme des vuln\u00e9rabilit\u00e9s s’acc\u00e9l\u00e8re, de plus en plus sont signal\u00e9s chaque ann\u00e9e.<\/p>\n Essayer de suivre le rythme signifierait que la taille des \u00e9quipes augmente de, disons, 30% d’une ann\u00e9e sur l’autre. Ce n’est tout simplement pas une bataille qu’une \u00e9quipe humaine avec des approches manuelles gagnera. De toute \u00e9vidence, des alternatives sont n\u00e9cessaires car une bataille continue de cette nature ne sera tout simplement pas gagn\u00e9e en augmentant la taille des \u00e9quipes d’ann\u00e9e en ann\u00e9e de mani\u00e8re presque exponentielle.<\/p>\n La bonne chose \u00e0 propos de l’informatique est bien s\u00fbr que l’automatisation offre souvent un moyen de sortir des restrictions de ressources persistantes – et c’est \u00e9galement le cas avec la gestion des menaces. En fait, si vous voulez avoir une chance de progresser contre l’environnement croissant des menaces, le d\u00e9ploiement de l’automatisation des t\u00e2ches dans l’ensemble de la gestion des vuln\u00e9rabilit\u00e9s est essentiel. De la surveillance des nouvelles vuln\u00e9rabilit\u00e9s aux correctifs et aux rapports. <\/p>\n Certains outils aideront avec des aspects sp\u00e9cifiques, d’autres aideront avec tous ces aspects, mais l’efficacit\u00e9 des outils a tendance \u00e0 diminuer \u00e0 mesure que l’outil devient plus englobant. Les outils plus sp\u00e9cialis\u00e9s ont tendance \u00e0 mieux remplir leur fonction sp\u00e9cifique que les outils qui pr\u00e9tendent tout faire en une seule fois. Consid\u00e9rez-le comme la philosophie de l’outil Unix – faites une chose et faites-la bien, plut\u00f4t que d’essayer de tout faire \u00e0 la fois. <\/p>\n Par exemple, patcher<\/a> peut et doit \u00eatre automatis\u00e9. Mais la correction est l’une de ces t\u00e2ches de s\u00e9curit\u00e9 qui n\u00e9cessitent un outil d\u00e9di\u00e9 qui peut aider les administrateurs syst\u00e8me en corrigeant de mani\u00e8re coh\u00e9rente et avec un minimum de perturbations. <\/p>\n Une approche timide ne fonctionnera pas car les correctifs seraient toujours g\u00ean\u00e9s par l’acceptation des fen\u00eatres de maintenance. Cela priverait les \u00e9quipes informatiques de la flexibilit\u00e9 n\u00e9cessaire pour r\u00e9pondre en temps quasi r\u00e9el aux nouvelles menaces, sans affecter les op\u00e9rations commerciales de l’organisation. Un ajustement parfait pour ces exigences est le patch en direct via des outils tels que L’outil KernelCare Enterprise de TuxCare<\/a> qui fournit des correctifs automatiques, non perturbateurs et en direct pour les distributions Linux. <\/p>\n Ce ne sont pas seulement les correctifs qui doivent \u00eatre automatis\u00e9s, bien s\u00fbr. Tout comme les cybercriminels utilisent l’automatisation pour d\u00e9tecter les vuln\u00e9rabilit\u00e9s, les \u00e9quipes techniques doivent s’appuyer sur des analyses de vuln\u00e9rabilit\u00e9 et des tests de p\u00e9n\u00e9tration automatis\u00e9s et continus. Dans cette sph\u00e8re d’automatisation devraient \u00e9galement venir les pare-feu, la protection avanc\u00e9e contre les menaces, la protection des terminaux, etc.<\/p>\n De toute \u00e9vidence, le probl\u00e8me des menaces s’aggrave, et rapidement – beaucoup plus rapidement que les organisations ne pourraient esp\u00e9rer d\u00e9velopper leurs \u00e9quipes de s\u00e9curit\u00e9 si elles voulaient effectivement s’attaquer \u00e0 ces probl\u00e8mes manuellement. \u00catre assis dans un coin particulier en termes de solutions utilis\u00e9es n’apporte pas non plus de r\u00e9confort, en partie parce que les solutions sont d\u00e9sormais tellement int\u00e9gr\u00e9es avec du code partag\u00e9 sur tant de plates-formes qu’une seule vuln\u00e9rabilit\u00e9 peut avoir un impact presque universel.<\/p>\n En outre, comme l’ont r\u00e9v\u00e9l\u00e9 des recherches r\u00e9centes, la liste des dix principaux produits les plus vuln\u00e9rables excluait certains produits notables. Par exemple, Microsoft Windows, auparavant consid\u00e9r\u00e9 comme l’un des syst\u00e8mes d’exploitation les plus vuln\u00e9rables, ne figure m\u00eame pas dans le top dix, qui est plut\u00f4t domin\u00e9 par les syst\u00e8mes d’exploitation bas\u00e9s sur Linux. S’appuyer sur ce que l’on pense \u00eatre des alternatives plus s\u00fbres n’est pas une bonne id\u00e9e.<\/p>\n Il souligne que la seule v\u00e9ritable s\u00e9curit\u00e9 r\u00e9side dans l’automatisation de la s\u00e9curit\u00e9. De l’analyse des vuln\u00e9rabilit\u00e9s aux correctifs, l’automatisation est vraiment la seule voie qui peut aider les administrateurs syst\u00e8me d\u00e9bord\u00e9s \u00e0 acqu\u00e9rir un certain contr\u00f4le sur une situation qui explose – en fait, c’est la seule maniable<\/em> Solution.<\/p>\n <\/p>\n<\/div>\nDes \u00e9quipes d\u00e9bord\u00e9es prennent des risques<\/h2>\n
Et \u00e7a empire<\/h2>\n
L’automatisation de la gestion des menaces est essentielle<\/h2>\n
Il n’y a nulle part o\u00f9 se cacher en toute s\u00e9curit\u00e9<\/h2>\n