RSAC 2020 : Assurer la conformité grâce à une gestion plus rapide des correctifs

Lors de la RSA Conference 2020, Igor Seletskiy, PDG de KernelCare, a eu l'occasion de partager les meilleures pratiques pour assurer la conformité avec une gestion plus rapide des correctifs. Dans cet article, vous trouverez les points à retenir de ce discours.

Pour les entreprises, la conformité n'est pas une tendance, c'est une nécessité. De plus en plus, les clients ne feront pas affaire avec vous si vous n'êtes pas conforme. La non-conformité peut entraîner de graves pertes, en termes de revenus, et dans l'ensemble de l'entreprise.

Les meilleures pratiques en matière de conformité touchent tous les aspects de l'activité de votre entreprise, depuis les services du personnel et des RH jusqu'au cœur même de votre infrastructure informatique. Il existe des dizaines de normes parmi lesquelles choisir.

Si vous regardez SOC2 ou la loi Sarbanes-Oxley, par exemple, ils disent que "les vulnérabilités des logiciels doivent être atténuées dans les 30 jours". Si vous avez déjà géré un parc de serveurs, vous savez que c'est plus facile à dire qu'à faire.

Aujourd'hui, j'aimerais donc vous expliquer comment vous pouvez rester conforme en rationalisant votre gestion des correctifs, et pourquoi la gestion des correctifs est cruciale pour la sécurité et la conformité.

Pourquoi la gestion des correctifs est-elle importante ?

Tout d'abord, pourquoi la gestion des correctifs est-elle si importante?

Nous savons tous que les logiciels obsolètes ou vulnérables sont l'une des principales causes des violations de la sécurité. Voici quelques exemples pour nous rappeler ce fait :

1. La violation de données d'Equifax en 2017, dans laquelle une vulnérabilité non corrigée d'Apache Struts a conduit les pirates à voler les données de près de 150 millions de clients. La vulnérabilité signifie qu'un pirate peut exécuter des commandes sous les privilèges du serveur Web. Il s'agit d'une exécution complète de commandes à distance et elle a été activement exploitée dans la nature depuis sa divulgation initiale. Equifax a perdu près de 700 millions de dollars, et ils sont encore en train de compter le coût de leur... soyons gentils et disons "surveillance".
2. La violation de données de Marriott en 2018, un piratage qui a fait fuir entre 300 et 500 millions d'enregistrements de clients d'un système de réservation d'hôtel. Marriott a reçu une alerte d'un outil de sécurité interne le 8 septembre de cette année-là, les avertissant que quelqu'un essayait d'accéder à leur base de données de réservation de clients Starwood aux États-Unis. En enquêtant, ils ont découvert qu'une partie non autorisée avait copié des données de la base, les avait cryptées et téléchargées. La raison de cette violation de données était un logiciel non corrigé sur un système précédemment acquis par Marriott (le réseau Starwood) permettant aux pirates d'accéder à la base de données des clients.
3. Violation de données dans une compagnie d'électricité classée au Fortune 500. Une compagnie d'électricité anonyme a violé les règles de sécurité obligatoires en ignorant les correctifs logiciels du système de contrôle physique pendant plus d'un an, mettant ainsi en danger l'alimentation en électricité de millions de foyers. La cause principale était une mauvaise configuration qui empêchait le système de se mettre à jour automatiquement. Cette entreprise n'avait pas de sauvegardes car le système était en cours de mise hors service. Ils ne voulaient pas faire de correctifs manuels car cela aurait signifié un redémarrage. Même si la société a signalé elle-même l'incident au Western Electricity Coordinating Council et a payé une pénalité, elle est restée non conforme jusqu'en juillet 2017, date à laquelle les systèmes de contrôle d'accès physique en cause ont été remplacés et un nouveau programme de gestion des correctifs de sécurité a été mis en place.

Poste connexe : Trois grandes violations de données

Ce ne sont là que quelques-uns des nombreux cas qui contribuent à expliquer l'importance de la gestion des correctifs. Le problème est que seuls les grands noms et les grandes violations de données font les gros titres. Pour voir ce que je veux dire, jetez un coup d'œil à privacyrights.org. Ils ont une feuille de calcul avec plus de 9000 cas, et ce uniquement pour les États-Unis. Imaginez tous les autres cas non signalés dans le reste du monde.

Nous devrions donc tous savoir qu'il est nécessaire de corriger les logiciels vulnérables dans les 30 jours suivant la publication d'une vulnérabilité. Une pratique essentielle de la sécurité informatique consiste à rechercher les vulnérabilités et à les corriger, généralement au moyen d'un outil de gestion des correctifs.

A utiliser absolument : Scanners de vulnérabilité et outils de gestion des correctifs (Patch Management)

Vous avez peut-être entendu parler de certains de ces scanners de vulnérabilité.

1. 1. Qualys
   2. Nessus
   3. Rapid7

Ces outils facilitent grandement la gestion des vulnérabilités. Ils peuvent même trouver et corriger les vulnérabilités pour vous, ce qui aide vraiment le personnel chargé de la sécurité et des opérations. Les scanners détectent et classent les faiblesses du système, donnent la priorité aux correctifs et peuvent parfois aider à prévoir l'efficacité des contre-mesures.

En général, la surface d'attaque cible est recherchée dans une base de données d'informations sur les failles de sécurité connues, y compris des détails tels que les anomalies dans la construction des paquets et les chemins vers des programmes ou des scripts exploitables.

1. Outils de gestion des correctifs
   1. Yum / apt Mise à jour
   2. Ansible
   3. Marionnette
   4. SaltStack
   5. Chef
   6. Sortie dans l'espace

Les outils de gestion automatisée des correctifs comme ceux-ci soulagent les administrateurs système. Si vous en parlez à l'un d'entre eux, il vous dira à quel point c'est génial d'avoir quelque chose qui télécharge et installe automatiquement les correctifs sur différents appareils. Les correctifs des serveurs Linux sont déployés plus rapidement et de manière plus fiable.

Gestion des correctifs - Quelques bonnes pratiques

Les entreprises pensent généralement à utiliser des outils de gestion automatisée des correctifs lorsque leur parc de serveurs Linux dépasse les 40 ou 50 unités. À partir de ce nombre, les services informatiques sont tellement sollicités par l'application manuelle de correctifs qu'ils finissent par ne déployer que les correctifs urgents ou hautement prioritaires.

Les correctifs Linux impliquent plus qu'une simple mise à jour du code source d'un noyau. Ces correctifs comprennent des mises à jour qui garantissent la sécurité du système, minimisent les erreurs et introduisent les dernières fonctionnalités. Mais surtout, une bonne gestion des correctifs peut améliorer considérablement la sécurité d'une entreprise, en remédiant aux vulnérabilités de ses logiciels et systèmes d'exploitation.

Mais l'application de correctifs aux serveurs Linux peut être complexe. Le développement des logiciels à code source ouvert est moins réglementé, de sorte que les mises à jour sont plus imprévisibles. Les logiciels à code source ouvert fonctionnent également à tous les niveaux de la pile logicielle, de sorte que les modifications doivent être soigneusement analysées.

Si la plupart des mises à jour sont aussi simples que l'exécution d'une commande Linux, il ne s'agit pas seulement d'aspects techniques. Il y a aussi des questions d'organisation. Vous devez garder la trace de ce qui doit être mis à jour, et comprendre l'impact des mises à jour. Les mises à jour doivent être testées et échelonnées, et les changements doivent être communiqués à tous les services.

Selon une étude du Ponemon Institute, les entreprises consacrent en moyenne 18 000 heures par an, pour un coût de 1,1 million de dollars, aux activités de correction. Malgré ces efforts, beaucoup ont constaté une réduction du temps nécessaire pour qu'un exploit apparaisse dans la nature pour une vulnérabilité corrigée donnée. Sans la mise en œuvre de bonnes pratiques de gestion des correctifs, les entreprises perdent du temps et risquent de laisser la porte ouverte aux attaques.

L'étude de Ponemon révèle également que près des deux tiers des victimes de cyberattaques ont déclaré que l'application d'un correctif aurait empêché l'attaque. Et un tiers ont déclaré qu'ils connaissaient la vulnérabilité avant l'attaque mais n'ont rien fait. C'est effrayant.

Il est donc clair qu'un solide processus de gestion des correctifs est un élément essentiel d'un cadre de sécurité mature. Plus vite vous pourrez appliquer le bon correctif à la bonne application, plus votre environnement sera sécurisé.

Si la gestion des correctifs est un défi, elle n'est pas impossible. Il existe un certain nombre de bonnes pratiques de gestion des correctifs que les entreprises utilisent à leur avantage :

1. Tout d'abord, ils procèdent à un inventaire complet de tous les logiciels et matériels de l'environnement. Une fois que l'entreprise a une image claire de ce dont elle dispose, elle compare les vulnérabilités connues à l'inventaire pour découvrir rapidement quels sont les correctifs importants.
2. J'ai déjà mentionné que les entreprises perdent en moyenne 18 000 heures par an en appliquant des correctifs aux mauvais systèmes. Il existe un moyen d'éviter cela. Si tous les systèmes doivent être patchés, il est judicieux d'attribuer des niveaux de risque à chaque élément de l'inventaire. Par exemple, l'application de correctifs à certains composants peut être une activité planifiée, tandis que l'application de mises à jour de sécurité contre les principales CVE du noyau Linux est essentielle pour l'entreprise. Une règle d'or est la suivante : plus un élément est exposé à une attaque, plus il doit être corrigé rapidement.
3. Les entreprises ont l'habitude de consolider les versions des logiciels (et les logiciels eux-mêmes). Plus l'organisation utilise de versions d'un logiciel, plus le risque d'exposition est élevé. Cela crée également de grandes quantités de frais généraux administratifs. Passez périodiquement en revue tous les logiciels utilisés et leur finalité, trouvez plusieurs logiciels remplissant la même fonction, choisissez-en un et débarrassez-vous du reste.
4. Une autre pratique courante dans le processus de gestion des correctifs consiste à suivre les annonces de correctifs des fournisseurs et à créer un processus pour s'assurer que chaque correctif peut être ajouté au calendrier des correctifs.
5. Parfois, l'application d'un correctif nécessite plus de temps - lorsque les modifications doivent être effectuées pour que le correctif fonctionne. Dans de tels cas, les entreprises atténuent le risque dans la mesure du possible. Il est important de réduire l'impact et la probabilité d'un exploit jusqu'à ce que le correctif puisse être appliqué en toute sécurité.
6. Même si vous êtes impatient de mettre la main sur un nouveau correctif et de l'appliquer à tous les serveurs de production en même temps, testez-le d'abord. Chaque environnement étant unique, même un simple correctif peut causer des problèmes ou faire tomber vos serveurs. En général, les entreprises prennent un petit sous-ensemble de leurs systèmes et y appliquent le correctif pour s'assurer qu'il n'y a pas de problèmes majeurs.

Mise à jour des noyaux Linux

99 % des types de correctifs ne nécessitent pas de redémarrage du système. Mais lorsqu'il s'agit de patcher le noyau Linux, 99 % des organisations appliquent les correctifs de la même manière : en redémarrant leurs serveurs. Comme le redémarrage d'une flotte de serveurs est un casse-tête, les gens le remettent à plus tard, aussi longtemps qu'ils le peuvent. Cela signifie que les correctifs ne sont pas appliqués le plus tôt possible. Ce décalage entre l'émission d'un patch et son application est synonyme de risque, mais aussi de mauvaises pratiques.

En outre, la plupart des entreprises ne peuvent pas se mettre hors ligne, ce qui rend difficile la mise à jour des logiciels système. Les entreprises y font face en développant des fenêtres de maintenance ou des cycles de redémarrage et en les suivant de manière rigide. Ces pratiques prennent beaucoup de temps à planifier, et beaucoup de ressources à mettre en œuvre, et elles se terminent toujours par un redémarrage du système et le début d'un autre cycle de redémarrage. Voici un processus de correction typique.

1. Tout d'abord, vous devez savoir ce qu'il faut corriger. Cela signifie qu'il faut disposer d'un inventaire précis des systèmes couvrant tous les services et toutes les plateformes de l'entreprise.
2. Ensuite, vous devez déterminer l'impact et mettre en place une sorte de processus de gestion du changement.
3. Vous devez effectuer des tests, et ceux-ci doivent être reproductibles et vérifiables.
4. Ensuite, la joie de négocier des fenêtres de maintenance avec des dizaines de parties prenantes, toutes désireuses d'éviter toute atteinte à leurs accords de niveau de service et à leur taux de disponibilité.
5. Ensuite, vous effectuez la mise à jour. C'est souvent la partie la plus facile, sauf pour les ingénieurs qui doivent se coucher tard et travailler le week-end.
6. Enfin, vous prévoyez un autre cycle de redémarrage. Et ainsi de suite.

Mais pourquoi ce processus est-il si complexe ? Quelle est la véritable raison qui se cache derrière ? Je vais vous le dire. C'est parce que :

1. Les redémarrages sont difficiles à gérer.
2. Les réinitialisations nécessitent une planification des temps d'arrêt.
3. Les redémarrages vous rendent nerveux - Que se passera-t-il si le système ne revient pas ?
4. Plus vous avez de serveurs, plus les redémarrages sont problématiques.

De nombreuses entreprises ont dû travailler avec des logiciels non corrigés pendant plus de 30 jours ! 
De nombreux cas montrent que même une journée avec un système non protégé peut aboutir à une violation de données 
et des milliards de dollars de pertes. 

Les clients de KernelCare disposent de serveurs entièrement corrigés qui fonctionnent sans interruption depuis plus de six ans et qui prennent en charge les principales distributions Linux. Il fonctionne dans le nuage ou sur site, derrière des pare-feu ou dans des environnements à couverture aérienne. Il existe un support prêt à l'emploi pour les scanners de vulnérabilité et les solutions de gestion des correctifs, ainsi que pour les correctifs personnalisés du noyau.

Voici comment cela fonctionne :

KernelCare a aidé des entreprises comptant plus de 300 000 serveurs à obtenir leur statut de conformité SOC2. Voici quelques-unes d'entre elles.

1. Efinity Insurance - Un assureur en ligne avec des clients dans 14 pays et des tonnes de données personnelles. Il gagne de l'argent en vendant un service de devis d'assurance en temps réel. L'application est implémentée en Java et fonctionne sur CentOS dans AWS. Pour diverses raisons, ils ne peuvent pas mettre cette application en cluster. Ils se sont donc tournés vers nous pour maintenir leurs serveurs en conformité, c'est-à-dire avec les correctifs, sans perdre la disponibilité du service. Pour en savoir plus, lisez cette étude de cas.
2. L'un de nos clients est une célèbre société de paiements numériques en ligne, une entreprise de type fortune-500 avec des centaines de millions de clients, des noyaux Linux personnalisés et des systèmes strictement protégés par un pare-feu. Je suis sûr que vous les connaîtriez si j'étais autorisé à en révéler le nom, mais nous avons signé un accord de confidentialité avec eux, alors, désolé. Tout ce que je peux dire, c'est qu'ils utilisent également KernelCare pour maintenir la sécurité de centaines de noyaux différents sans redémarrage, ce qui est essentiel pour des services de paiement électronique continus. Pour en savoir plus, lisez cette étude de cas.
3. Une solution de vidéoconférence d'entreprise bien connue. C'est leur analyste de conformité qui nous a contactés en premier. Ils avaient un audit SOC2 à venir et les cycles de redémarrage les empêchaient de satisfaire aux critères de conformité. Ils ont passé deux mois à essayer KernelCare, puis ont procédé à un PoC formel. Celle-ci n'a duré que 7 jours avant que KernelCare ne soit mis en production. Nous les avons aidés à intégrer Ansible pour déployer KernelCare sur plus de 7 000 serveurs. Nous avons également reçu d'excellents retours et travaillé avec eux sur leur intégration avec le scanner de vulnérabilités Qualys, qui avait besoin de voir des scans complètement propres.

KernelCare améliore la conformité de plus de 300 000 serveurs de diverses entreprises où la disponibilité du service et la protection des données sont les éléments les plus cruciaux de l'activité : services financiers et d'assurance, fournisseurs de solutions de vidéoconférence, entreprises protégeant les victimes de violences domestiques, sociétés d'hébergement et fournisseurs de services publics.

Nous proposons une tarification flexible pour différentes flottes de serveurs, un essai gratuit pour tous, et des preuves de concept sur mesure pour les clients disposant d'infrastructures personnalisées.

Obtenez un essai GRATUIT de 7 jours avec assistance de KernelCare