Rapports d'analyse des vulnérabilités : Fatigué de marquer les faux positifs ?

L'épuisement des faux positifs redouté par les analystes entraîne de nombreux problèmes. Les analystes commencent à ignorer les rapports, l'examen d'un faux positif prend du temps et de l'argent, et la réponse aux incidents et la chasse aux menaces sont affectées. Les fournisseurs de scanners améliorent continuellement leurs procédures pour mieux prévenir les faux positifs, mais ceux-ci continuent d'avoir un impact sur les opérations informatiques. L'impact des faux positifs peut être grave lorsque des rapports bénins créent des frais généraux exhaustifs pour vos analystes. Pire encore, il peut être délicat d'expliquer aux auditeurs pourquoi certains éléments ont été marqués.

Contenu :

1. Les effets des faux positifs sur l'organisation
2. Pourquoi les faux positifs apparaissent-ils dans l'analyse du noyau Linux ?
3. Comment KernelCare Enterprise traite-t-il le problème des faux positifs pour l'analyse CVE du noyau Linux ?
4. Qu'est-ce qui est inclus dans KernelCare Enterprise pour rendre la gestion des vulnérabilités de l'entreprise irréprochable ?

Les effets des faux positifs sur l'organisation

L'étape initiale de la gestion des correctifs consiste à analyser les serveurs et les périphériques pour obtenir des informations sur leur système d'exploitation et leurs versions logicielles actuellement installés. Dans l'idéal, l'analyseur dispose des autorisations appropriées qui indiquent aux bannières de renvoyer les informations nécessaires à l'exécution de l'analyse, mais des configurations erronées peuvent entraîner le renvoi de données incomplètes ou incorrectes.

Les scanners utilisent une base de données des vulnérabilités et expositions communes (CVE) et comparent les résultats aux versions signalées sur un serveur. Si une version obsolète est trouvée, le serveur est signalé comme devant être corrigé et marqué comme vulnérable. Pour une grande entreprise, ce système automatisé améliore considérablement la posture de cybersécurité de l'entreprise, réduit les frais généraux des administrateurs et permet à l'entreprise de rester conforme aux normes réglementaires.

Les problèmes surviennent lorsque le scanner ne peut pas interroger le système d'exploitation de manière complète. Si les scanners ne renvoient pas d'informations précises ou si le système d'exploitation lui-même n'est pas renvoyé au scanner, celui-ci signale le serveur comme potentiellement vulnérable. Cela crée un faux positif et nécessite l'intervention de l'administrateur. Pour une entreprise dont des centaines de serveurs signalent des faux positifs, le problème provoque une lassitude à l'égard des alertes, un phénomène courant chez les analystes lorsque les scanners de vulnérabilité traitent de manière inefficace les faux positifs.

Dans un récent rapport Ponemon, 58 % des personnes interrogées ont indiqué que leur centre d'opérations de sécurité (SOC) était inefficace, et 49 % d'entre elles ont déclaré que la raison de cette inefficacité était le nombre trop élevé de faux positifs. Outre le fait que les faux positifs sont la cause de l'inefficacité, 42 % des personnes interrogées ont également indiqué que les faux positifs interféraient avec les équipes de chasseurs de menaces. La recommandation numéro un des répondants est de mieux améliorer les outils d'automatisation et les flux de travail des analystes.

Pourquoi les faux positifs apparaissent-ils dans l'analyse du noyau Linux ?

La raison la plus courante des faux positifs est un problème d'authentification ou d'autorisation. Donner à un scanner de vulnérabilité un accès ouvert au réseau avec tous les privilèges a également ses propres problèmes. Les analyses non authentifiées sont également une option, mais elles augmentent la surface d'attaque du réseau en permettant à quiconque d'accéder aux informations détaillées du serveur. Les analyses non authentifiées fournissent aux attaquants suffisamment d'informations pour exploiter des logiciels de serveur présentant des vulnérabilités connues.

Les scanners saisissent les bannières pour obtenir les versions actuelles des logiciels. Les bannières système contiennent le nom et la version du logiciel, et les scanners doivent avoir accès à ces informations pour rapporter des données précises. Ces informations peuvent être critiques et révéler des vulnérabilités du serveur, elles sont donc souvent protégées par des règles d'authentification. Cependant, si les scanners n'y ont pas accès, une bannière peut renvoyer des informations vagues ou incorrectes. Par exemple, une bannière pourrait renvoyer "Unknown Linux" à un scanner et déclencher un faux positif car le scanner est incapable de déterminer si le système d'exploitation est entièrement corrigé.

Les scanners ont besoin d'un accès authentifié mais l'authentification peut poser des problèmes, alors que doivent faire les administrateurs ? Voici quelques bonnes pratiques pour éviter les faux positifs :

• Pour les analyses non authentifiées, ne fournissez pas d'informations critiques telles que les versions du logiciel ou du noyau.
• Savoir quelles informations sont renvoyées par les analyses authentifiées et non authentifiées. Examiner les informations des bannières à l'aide de tests initiaux.
• Entraînez les scanners de vulnérabilité en marquant les faux positifs dans le logiciel afin qu'ils soient supprimés à l'avenir.
• Ajustez finement les scanners en les configurant et en les testant pour qu'ils renvoient des informations sur les bannières en utilisant les normes de moindre privilège.

Comment KernelCare Enterprise traite-t-il le problème des faux positifs pour l'analyse CVE du noyau Linux ?

KernelCare fonctionne avec des logiciels d'automatisation et d'analyse pour appliquer des correctifs à Linux sans avoir à redémarrer le système. L'application de correctifs Linux sans redémarrage profite aux grands réseaux d'entreprise dont les serveurs critiques ne peuvent pas être redémarrés sans discernement. KernelCare effectue les correctifs en corrigeant les problèmes de sécurité dans le code source, en générant des blobs binaires avec du code sécurisé et en remplaçant le code binaire non sécurisé dans un noyau en cours d'exécution par la version sécurisée.

Tout en corrigeant les vulnérabilités de sécurité, KernelCare ne change pas la version du noyau. Le résultat final est que le noyau en cours d'exécution sera entièrement corrigé, en mémoire, du point de vue de la sécurité, mais /proc/version continuera d'afficher la version vulnérable du noyau.

Qualys et les autres scanners de vulnérabilité ne vérifient pas la présence réelle d'une vulnérabilité dans le noyau en essayant de l'exploiter. Ils détectent plutôt la version du noyau en cours d'exécution en recueillant des informations sur le serveur à partir du fichier /proc/version. Après avoir détecté la version du noyau, les scanners de vulnérabilité comparent leur propre base de données de vulnérabilités à la version du noyau signalée. Par conséquent, même après l'application des correctifs KernelCare, Qualys verra la version vulnérable du noyau et supposera que cette version présente toujours des vulnérabilités de sécurité, même si elles ont été corrigées en mémoire au moment de l'exécution.

Pour aider à résoudre ce problème, KernelCare fournit aux vendeurs l'utilitaire de ligne de commande kcarectl -uname qui affiche la version corrigée du noyau, représentant le niveau de sécurité du noyau jusqu'à la version corrigée signalée. De plus, KernelCare fournit un rapport en exécutant kcarectl -patch-info (et via l'API) qui présente les CVEs qui ont été patchés dans le noyau en cours d'exécution par KernelCare.

Qu'est-ce qui est inclus dans KernelCare Enterprise pour rendre la gestion des vulnérabilités de l'entreprise irréprochable ?

KernelCare Enterprise est conçu pour les grandes entreprises qui possèdent au moins 1000 serveurs. Sans outils d'automatisation, ces organisations souffriraient des frais généraux coûteux liés à l'analyse et à l'application manuelle des correctifs. La surveillance des serveurs pour les mises à jour des correctifs, les tests et l'exécution des correctifs proprement dits seraient un travail à plein temps pour le personnel de plusieurs équipes.

Pour faciliter l'application plus rapide et plus efficace des correctifs, KernelCare Enterprise s'intègre directement aux scanners et aux outils d'automatisation, permet un meilleur contrôle de votre serveur de correctifs et vous offre une meilleure assistance 24 heures sur 24.

KernelCare Enterprise (KCE) fournit :

• Intégration: KCE est prêt pour tous les outils d'automatisation populaires, notamment Ansible, Chef et Puppet. Il s'intègre également aux scanners de vulnérabilité tels que Nessus, Qualys et Rapid7, ainsi qu'aux outils de surveillance du cloud tels que DataDog.
• Assistance haut de gamme: Nous offrons à nos clients professionnels une assistance prioritaire 24 heures sur 24, 365 jours par an, y compris une option de chat en direct.
• Plus de contrôle: KernelCare Enterprise comprend notre serveur sécurisé ePortal, qui est un serveur de correctifs configurable fonctionnant derrière votre pare-feu. Vous prenez le contrôle du serveur ePortal, le gérez et l'auditer quand vous le souhaitez.

Conclusion

La fatigue des alertes et l'épuisement des analystes sont des problèmes réels qui entraînent une rotation du personnel, des frais généraux importants pour les administrateurs et des inefficacités coûteuses. KernelCare Enterprise permet de réduire le nombre excessif de faux positifs et d'appliquer des correctifs sans redémarrage afin que les serveurs critiques soient protégés par les derniers CVE.

En savoir plus sur l'offre KernelCare Enterprise.

Obtenez un essai GRATUIT de 7 jours avec assistance de KernelCare