La réduction du temps d'exploitation est une menace - ce que vous pouvez faire
Nous devons avoir la possibilité d'atteindre nos objectifs en matière de cybersécurité. Plus cette fenêtre est étroite, plus il est difficile de faire notre travail en matière de cybersécurité. Les rapports récents indiquant que le délai d'exploitation continue de se réduire ne sont donc pas de bonnes nouvelles.
Dans cet article, nous expliquons comment le délai entre l'identification des vulnérabilités et leur exploitation s'est réduit, ce que cela signifie pour la cybersécurité et ce que vous pouvez faire pour y remédier.
Il reste une fenêtre...
Il existe de nombreuses failles de sécurité (vulnérabilités) dans le code des logiciels existants dont personne n'a connaissance - jusqu'à ce qu'un chercheur ou des acteurs de la menace découvrent la faille. En fait, il peut s'écouler une décennie avant qu'une faille cachée à la vue de tous ne soit découverte, comme le montre la vulnérabilité Sudo introduite dans le code en juillet 2011 mais qui n'a été découverte et corrigée qu'en 2021.
Dans la plupart des cas, une vulnérabilité est découverte bien plus tôt, puis documentée et affectée d'un CVE. Une fois que la vulnérabilité est documentée, elle est bel et bien révélée au grand jour. Certes, les utilisateurs peuvent désormais se protéger, mais les acteurs de la menace peuvent exploiter la vulnérabilité dans les systèmes qui ne sont pas protégés.
Il y a donc une différence de temps entre le moment où une vulnérabilité est découverte et documentée - et le moment où les premiers acteurs de la menace exploitent cette vulnérabilité. Ce délai peut être nul - dans le cas d'un exploit du jour zéro.
Le délai est souvent plus long - de quelques jours à quelques semaines ou mois, en fonction de la facilité d'exploitation de la vulnérabilité, de ce qu'un acteur de la menace peut réaliser avec la vulnérabilité, et de son étendue.
... mais les statistiques sont alarmantes
Le rapport Rapport de veille sur les vulnérabilités 2022 de Rapid7 met en évidence une tendance préoccupante : le délai entre la divulgation d'une vulnérabilité et son exploitation diminue. Le rapport montre que 56 % des vulnérabilités ont été exploitées dans les sept jours suivant leur divulgation. Il s'agit donc d'une nette majorité de vulnérabilités exploitées dans la semaine qui suit leur divulgation.
C'est bien sûr préoccupant, mais le taux de changement l'est tout autant : 56 % est une augmentation significative (12 %) par rapport à 2021, et 2021 était une augmentation encore plus importante (87 %) par rapport à 2020. Il s'agit en tout cas d'une tendance à la hausse.
Les ressources limitées pour trier les vulnérabilités et y remédier signifient que les équipes de sécurité ont du mal à suivre l'afflux de vulnérabilités. Il convient de se poser la question suivante : la plupart des vulnérabilités étant désormais exploitées dans les sept jours, à quelle vitesse les entreprises procèdent-elles aux correctifs ?
Elle varie d'une enquête à l'autre. A titre d'exemple, une enquête Edgescan de 2022 indique qu'elle est d'environ deux mois. L'institut Infosec Instituteestime quant à lui qu'il faut entre 60 et 150 jours, précisant que "les équipes de sécurité mettent au moins 38 jours pour diffuser un correctif".
Le temps nécessaire à l'application d'un correctif dépend probablement, dans une certaine mesure, de la gravité de la vulnérabilité et de l'intérêt qu'elle suscite, mais, quoi qu'il en soit, il y a clairement un écart entre les "moyennes". Le délai moyen de correction est beaucoup plus long que le délai moyen d'exploitation.
Pourquoi la fenêtre d'exploitation se ferme-t-elle ?
Le chemin a été long et la construction lente... mais les temps ont changé. Il y a quelques dizaines d'années, il fallait des mois et des mois pour qu'une vulnérabilité soit exploitée, voire jamais, et lorsqu'une exploitation était possible, elle nécessitait généralement un accès interne.
L'internet a offert des possibilités sans précédent aux entreprises, aux particuliers et aux gouvernements. Mais avec l'évolution de l'internet, la menace des cyberattaques s'est considérablement accrue. Les pirates informatiques sont aujourd'hui beaucoup plus prompts à exploiter les vulnérabilités nouvellement découvertes. Pourquoi ?
- L'augmentation de la connectivité et du partage d'informations a permis aux pirates informatiques d'exploiter plus facilement et plus rapidement les failles.
- Le nombre croissant de pirates informatiques et de groupes de pirates a également aggravé la situation. Avec autant d'acteurs à la recherche de vulnérabilités, il n'est pas surprenant que celles-ci soient découvertes beaucoup plus rapidement.
- Les outils et les techniques de piratage sont également de plus en plus sophistiqués, avec notamment la possibilité d'analyser automatiquement des milliers de systèmes à la recherche de vulnérabilités.
- Connectivité accrue des appareils (par exemple l'IdO) contribue également à réduire le temps nécessaire pour exploiter une vulnérabilité.
Globalement, cela signifie qu'un plus grand nombre d'acteurs agissent sur une plus grande surface d'attaque. Il est donc plus facile pour les pirates de trouver des failles et de les exploiter rapidement.
Ce que cela signifie en pratique
Le résultat net est que les organisations doivent agir plus vite et plus fort pour protéger leurs systèmes. Il s'agit toujours d'une compétition entre les priorités et les ressources... mais avec la réduction du temps d'exploitation, la pression est encore plus forte.
En théorie, les organisations devraient au moins avoir suffisamment de temps pour corriger une vulnérabilité. Toutefois, pour des acteurs déterminés, les vulnérabilités pour lesquelles il n'existe pas de correctifs ou qui n'ont pas été corrigées par l'utilisateur présentent un attrait considérable. Certaines des cyberattaques les plus importantes et les plus connues se sont appuyées sur l'écart entre la découverte et la correction, par exemple :
- Le ver Stuxnet : En 2010, le ver Stuxnet a été découvert. Il a été conçu pour cibler et perturber le programme nucléaire iranien. Il a utilisé une vulnérabilité de type "zero-day" dans Microsoft Windows pour infecter le système et se propager à travers les réseaux.
- La violation de données d'Equifax : En 2017, Equifax, l'une des plus grandes agences d'évaluation du crédit aux États-Unis, a été victime d'une violation massive de données qui a touché plus de 147 millions de personnes. Les pirates ont utilisé une vulnérabilité zero-day dans Apache Struts pour accéder au système d'Equifax.
- Logiciel espion Pegasus : En 2021, on a découvert que le logiciel espion Pegasus était utilisé pour cibler des journalistes, des militants et des hommes politiques. Ce logiciel espion utilisait une vulnérabilité de type "zero-day" dans iMessage d'Apple pour infecter des appareils et voler des informations sensibles.
Les acteurs de la menace exploitant désormais les vulnérabilités de plus en plus rapidement, nous risquons d'assister à des attaques de plus en plus réussies, à moins que les organisations ne parviennent à réagir plus rapidement.
Répondre à un resserrement de la fenêtre
Il faut y consacrer plus de ressources, agir plus rapidement et plus efficacement. C'est aussi simple que cela, mais comme nous le savons tous maintenant, la théorie de la cybersécurité est une chose, mais l'exécution en est une autre.
Le rapport Rapid 7 suggère que les équipes de sécurité doivent classer les vulnérabilités par ordre de priorité en fonction de leur impact potentiel et de leur probabilité d'exploitation, plutôt que de se concentrer uniquement sur les vulnérabilités les plus récentes et les plus médiatisées.
Ils recommandent également aux entreprises d'investir dans des technologies permettant d'automatiser l'analyse des vulnérabilités et l'application de correctifs afin de réduire la charge de travail des équipes chargées de la sécurité. Comme toujours, il s'agit d'un effort concerté : il faut toucher le plus grand nombre possible de bons points, de la manière la plus complète possible :
- Contrôle continu: Si vous n'étiez pas au courant d'une menace ou si vous n'avez pas pu l'atténuer, veillez au moins à ce que quelque chose de grave se produise. Mettez en place une surveillance 24 heures sur 24, 7 jours sur 7, qui recherche en permanence les activités des acteurs de la menace, afin de détecter les anomalies ou les activités suspectes dès qu'elles se produisent, ce qui vous permet de prendre des mesures proactives pour les atténuer.
- Classer les vulnérabilités par ordre de priorité: Toutes les vulnérabilités ne sont pas identiques, c'est pourquoi il existe des scores CVE. Si la presse spécialisée dans la cybersécurité affirme que la vulnérabilité est alarmante, c'est probablement le cas, mais faites également vos propres recherches pour ne pas perdre un temps précieux. Ne restez pas bloqué à corriger des vulnérabilités moins menaçantes.
- Organisez-le : Les entreprises doivent disposer d'un programme de gestion des correctifs solide et organisé afin de déployer rapidement les mises à jour de sécurité et les correctifs dès qu'ils sont disponibles. La cohérence et la persistance peuvent contribuer à atténuer les vulnérabilités et à réduire la fenêtre MTTE.
- Utiliser les meilleurs outils disponibles: L'automatisation de la sécurité est essentielle, qu'il s'agisse d'outils de gestion des informations et des événements de sécurité (SIEM) ou de plateformes d'orchestration, d'automatisation et de réponse en matière de sécurité (SOAR). Il en va de même pour les correctifs : automatisez là où vous le pouvez, et appliquez des correctifs en direct à tous les systèmes compatibles avec ces correctifs..
La formation des employés est et sera toujours un autre outil important. Même les exploits de type "zero-day" nécessitent parfois un "petit coup de pouce" de la part d'une personne interne à l'organisation. Une formation visant à éduquer les utilisateurs sur les escroqueries courantes en matière d'ingénierie sociale peut s'avérer très efficace.
La rigueur au service de la rigueur
Les pirates prennent moins de temps pour exploiter les vulnérabilités parce qu'ils sont plus minutieux. Les organisations doivent faire preuve de la même rigueur en remédiant aux vulnérabilités encore plus rapidement qu'auparavant. Heureusement, les outils existent.
L'automatisation est une aide précieuse, tout comme les outils de niche. Par exemple, la technologie de patching en direct de TuxCare garantit un patching plus cohérent parce qu'elle réduit la charge de travail de la main-d'œuvre et minimise la planification et les perturbations associées au patching. Elle permet également aux entreprises d'oublier de prioriser les vulnérabilités à corriger, car tous les correctifs publiés sont automatiquement appliqués en arrière-plan, sans temps d'arrêt.
Vous pouvez en savoir plus sur nos services de correctifs en direct ici.