Patching en direct ou patching virtuel
Il existe de nombreuses façons d'améliorer le patching traditionnel, il est donc facile de s'y perdre. Dans le passé, nous avons examiné la question du patching traditionnel par rapport au patching en direct, mais nous avons également reçu des questions sur le patching virtuel et ses avantages.
Dans cet article de blog, nous allons explorer les différences entre le "live patching" et le "virtual patching", décrire les situations dans lesquelles chacun est le plus utile, et vous aider à décider quel est le meilleur choix pour votre propre environnement.
Live Patching
Commençons par le correctif en direct : il s'agit du processus de correction d'une application en cours d'exécution, directement dans la mémoire. Les fichiers sur le disque ne sont pas touchés, mais chaque instance de l'application ou de la bibliothèque en cours d'exécution sera mise à jour pour refléter la dernière version corrigée. Si vous redémarrez l'application, elle redémarrera avec ce qui est actuellement sur le disque et tous les correctifs en direct seront réappliqués par votre application de correctifs en direct après son lancement. La solution KernelCare Enterprise de TuxCare en est un parfait exemple.
L'avantage principal est que l'application de correctifs devient une action non perturbatrice, et que les correctifs peuvent donc être appliqués plus souvent, ce qui vous permet de réagir plus rapidement aux nouvelles menaces.
Les correctifs dynamiques peuvent, lorsqu'ils sont mis en œuvre correctement, protéger un système contre de nombreux types de vulnérabilités, qu'elles soient exploitables à distance ou uniquement en local. Cela permet de se prémunir contre l'enchaînement des vulnérabilités, c'est-à-dire lorsqu'une exploitation en local uniquement est déployée après qu'une autre vulnérabilité permet un accès à distance (ou même par le biais d'un accès à distance valide compromis).
Patching virtuel
Voyons maintenant correctif virtuel. Le correctif virtuel est le processus de blocage d'un exploit connu au niveau du réseau. Il fonctionne au niveau du pare-feu, soit localement pour protéger un seul système, soit au niveau du pare-feu périmétrique pour protéger les systèmes situés derrière le pare-feu.
Le correctif virtuel cible spécifiquement les vulnérabilités exploitables à distance uniquement. Par conséquent, si un acteur malveillant compromet la connexion à distance d'un utilisateur valide et déploie ensuite un exploit local uniquement pour obtenir une élévation de privilèges, le correctif virtuel n'offre aucune protection. En fait, le correctif virtuel ne "corrige" rien, il empêche simplement l'attaquant d'exploiter certaines vulnérabilités à distance.
Le patching virtuel repose sur des "signatures" ou des profils de réseau connus et peut donc être mis en échec si l'attaquant ajoute des couches de chiffrement supplémentaires ou modifie une partie du chemin d'attaque connu. Il vaut mieux le considérer comme une couche supplémentaire à l'intérieur du pare-feu plutôt que comme une véritable solution de correction, similaire à ce que font les pare-feu au niveau des applications.
Toutefois, si l'attaquant parvient à contourner le pare-feu, la protection ne fonctionnera pas du tout. En fait, si plusieurs systèmes dépendent de ce pare-feu pour se protéger des vulnérabilités, le contournement du pare-feu (que ce soit par le cryptage, l'accès à distance ou la modification de la signature de l'attaque) signifie que tous les systèmes seront en danger.
Lorsqu'il bloque une attaque, un acteur extérieur aura simplement l'impression que l'opération n'a pas fonctionné, ce qui l'amènera à penser que le système visé n'est pas vulnérable ou qu'il a été corrigé (d'où son nom). Comme dans le cas du "live patching", aucun fichier n'est mis à jour à aucun moment.
Conclusion
Des couches supplémentaires de sécurité sont toujours souhaitables. C'est pourquoi nous disposons de pare-feu, de mécanismes de correction, d'anti-virus et d'une série d'autres outils pour améliorer le profil de sécurité d'un système ou d'un environnement, mais la correction virtuelle ne remplace pas la correction réelle. Chaque catégorie de mécanisme de correction a des objectifs différents et fonctionne à des niveaux différents dans une infrastructure informatique.
Si vous vous préoccupez de la sécurité du fonctionnement de vos systèmes et que vous souhaitez résoudre le plus grand nombre possible de problèmes de sécurité, qu'ils soient exploitables localement ou à distance, les correctifs en direct sont la meilleure solution pour votre situation.
Si, en plus de cela, vous voulez ajouter un correctif virtuel, considérez-le comme une protection au niveau du réseau - et non du système.