Gestion automatisée des correctifs avec correctifs en direct pour la conformité aux contrôles CIS
Les contrôles de sécurité critiques du CIS, connus sous le nom de contrôles CIS, sont une série de recommandations concrètes en matière de cybersécurité, conçues pour prévenir les attaques courantes et moins courantes contre les infrastructures informatiques.
Ils comprennent une liste hiérarchisée de contrôles de sécurité allant du groupe d'implémentation 1 (IG1), qui couvre les besoins de sécurité de base s'appliquant aux plus petites et aux plus grandes organisations, aux groupes d'implémentation 2 et 3 - qui couvrent les besoins des organisations et des entreprises à départements multiples. En concevant les contrôles CIS pour se défendre contre les menaces connues, le Center for Information Security (CIS) montre que leur mise en œuvre permet d'atténuer 83 % de toutes les techniques du modèle ATT&CK, fixant ainsi des attentes concrètes en matière de sécurité pour les organisations qui adoptent le cadre.
Les contrôles CIS correspondent à d'autres cadres de cybersécurité, tels que le CMMC, le NCSC Cyber Assessment Framework, le PCI et d'autres, ce qui en fait un choix très intéressant pour établir les contrôles de cybersécurité d'une organisation.
Comment CIS Controls aborde-t-il les mises à jour de sécurité ?
Dans la version 8 de CIS Controls, il existe un contrôle dédié à la gestion continue des correctifs et des vulnérabilités. Le 7e contrôle, "Gestion continue des vulnérabilités", met en place les processus et l'infrastructure nécessaires pour maintenir les actifs logiciels de l'entreprise à jour, en veillant à ce que les vulnérabilités ne conduisent pas à une violation des données.
Il s'agit, en principe, d'un objectif facile à comprendre et à justifier, mais sa mise en œuvre n'est pas toujours aussi simple. Selon l'institut Ponemon, 56 % des entreprises prennent entre cinq semaines à plus d'un an pour appliquer les correctifs de sécurité et la même proportion d'entreprises n'utilisent pas l'automatisation pour faciliter l'application des correctifs de vulnérabilité.
Pourquoi les mises à jour de sécurité sont-elles importantes ?
Les attaques qui aboutissent à des violations de données dans les entreprises sont le résultat d'une série de mesures prises par l'agresseur.. Par conséquent, la posture de sécurité d'une organisation dépend fortement de la présence de défenses multiples à chacune de ces étapes.
Une étape couramment exploitée qui conduit à une violation de données est l'exploitation de vulnérabilités logicielles. Étant donné le grand nombre de systèmes d'exploitation, de logiciels et de matériels utilisés par une organisation type, il n'est pas surprenant que les attaques de ransomware contre des applications web en 2022 aient été principalement le résultat de l'exploitation de vulnérabilités logicielles.
Quelles sont les recommandations du CIS pour les mises à jour de sécurité ?
Pour améliorer la posture de sécurité d'une organisation face aux vulnérabilités logicielles, le groupe d'implémentation 1 des Contrôles CIS comprend 4 contrôles, présentés ci-dessous.
7.1 | Établir et maintenir un processus de gestion des vulnérabilités | IG1+ |
7.2 | Établir et maintenir un processus de remédiation | IG1+ |
7.3 | Gestion automatisée des correctifs du système d'exploitation | IG1+ |
7.4 | Gestion automatisée des correctifs applicatifs | IG1+ |
Ces contrôles s'appliquent aux organisations de toute taille et sont considérés comme une cyberhygiène de base.
En bref, elles garantissent que les organisations effectuent des mises à jour de sécurité de manière automatique sur une base mensuelle ou plus fréquente. Elles exigent également un processus documenté d'analyse des vulnérabilités de l'infrastructure et un processus de suivi des mesures correctives fondé sur l'analyse des risques, c'est-à-dire qu'il faut s'attaquer en premier lieu aux actifs les plus importants pour l'organisation.
Au fur et à mesure que nous passons à des organisations plus grandes, davantage d'exigences s'appliquent, comme indiqué ci-dessous.
7.5 | Effectuer des analyses automatisées de vulnérabilité des actifs internes de l'entreprise. | IG2+. |
7.6 | Effectuer des analyses de vulnérabilité automatisées des actifs de l'entreprise exposés à l'extérieur. | IG2+. |
7.7 | Remédier aux vulnérabilités détectées | IG2+. |
Ces contrôles garantissent en outre qu'une organisation passe d'une gestion proactive des correctifs à une gestion proactive à la fois des correctifs et de l'analyse des vulnérabilités, et qu'elle remédie aux vulnérabilités découvertes selon un calendrier régulier.
Comment le live patching fournit l'automatisation nécessaire
Comme nous l'avons vu ci-dessus, l'exigence de gestion automatisée des correctifs est présente même pour le groupe de mise en œuvre 1 (cyberhygiène de base) du cadre des contrôles CIS. Dans le même temps, bien qu'il soit possible aujourd'hui de configurer des mises à jour de sécurité automatiques sur un système Linux, il s'agit très souvent d'une configuration inutilisable dans la pratique.
Les correctifs de sécurité du noyau Linux et des composants couramment utilisés, comme la glibc, nécessitent un redémarrage du système pour être appliqués. De plus, les mises à jour du système sont souvent combinées à des mises à jour de fonctionnalités qui peuvent entraîner des modifications inattendues du comportement du logiciel.
Où est l'automatisation des mises à jour du système ?
C'est pourquoi les équipes d'exploitation déploient les mises à jour manuellement dans un environnement contrôlé et - après les avoir testées - les mises à jour sont déployées dans les systèmes de production pendant une fenêtre de maintenance qui peut être mensuelle, trimestrielle ou tout autre intervalle que l'organisation peut se permettre.
Bien qu'il s'agisse de la meilleure pratique actuelle, il s'agit en fait d'un processus manuel, ce qui va à l'encontre de l'objectif d'automatisation des correctifs de sécurité. Avec un processus de correction manuel, la fenêtre de vulnérabilité d'exploitation devient large, car les correctifs doivent attendre la prochaine fenêtre de maintenance pour être appliqués.
Les correctifs en direct à la rescousse
KernelCare live patching est une solution qui corrige le noyau Linux et les applications pendant leur exécution. Contrairement aux mises à jour du système, cette approche ne nécessite pas de redémarrage du système et est utilisée exclusivement pour les correctifs de sécurité - ce qui signifie qu'il n'y a pas de changement de comportement dans le logiciel.
KernelCare live patching améliore le programme de gestion des correctifs d'une organisation en introduisant l'automatisation et en réduisant par la suite le temps de correction des vulnérabilités ainsi que la fenêtre d'exploitation des vulnérabilités.
Pour ce faire, il fournit des correctifs en direct pour les vulnérabilités du noyau Linux et des composants critiques de l'espace utilisateur qui présentent un risque d'exploitation, quel que soit leur score CVSS. Dans le même temps, chaque noyau Linux et chaque composant pris en charge reçoit des correctifs en direct pendant toute sa durée de vie, ce qui garantit que le processus de correctifs en direct prend en charge les processus de maintenance de chaque organisation, qu'ils soient périodiques ou ad hoc.
Les correctifs en direct de KernelCare automatisent le contrôle CIS de la gestion automatisée des correctifs du système d'exploitation et complètent le programme de gestion des vulnérabilités d'une organisation en s'intégrant de manière transparente à tous les principaux scanners de vulnérabilités.