ClickCease Que signifie la directive critique CISA ?

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Que signifie la directive critique de la CISA et comment devez-vous réagir ?

Le 17 novembre 2021 - L'équipe de relations publiques de TuxCare

Soyons francs, tout le monde en a assez. Les exploits sont partout, et il est presque impossible de traiter le problème de manière étanche.

Certaines organisations font de gros efforts, en déployant des solutions de gestion des vulnérabilités de pointe et en appliquant des correctifs en direct pour minimiser l'impact des vulnérabilités, mais beaucoup d'autres ont du mal, et certaines ne font aucun effort.

Ce manque d'action crée des opportunités pour les acteurs malveillants, et l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) a vu tellement d'exploits réussis qu'elle a estimé qu'elle devait tracer une ligne - forçant les agences sur lesquelles elle a autorité à agir.

C'est pourquoi, le 3 novembre, la CISA a publié une nouvelle directive qui oblige les agences fédérales civiles à s'attaquer à 306 vulnérabilités critiques qui, selon la CISA, donnent souvent lieu à des exploits réussis.

Qui est le CISA, et qu'est-ce qu'une directive du CISA ?

 

L'Agence pour la cybersécurité et la sécurité des infrastructures est une agence fédérale créée sous la supervision du ministère américain de la sécurité intérieure pour superviser et gérer les risques de cybersécurité auxquels sont confrontées les agences du gouvernement fédéral américain.

La CISA publie des directives contraignantes couvrant les sujets critiques du jour en matière de cybersécurité et les agences fédérales sont obligées de répondre à ces directives. En d'autres termes, lorsque la CISA publie une directive, d'innombrables organisations gouvernementales sont obligées d'agir - par exemple, en remédiant à une vulnérabilité.

Il convient également de noter que lorsqu'une directive est publiée par la CISA, elle s'applique à tous les logiciels et matériels concernés utilisés dans les systèmes d'information fédéraux, que ces systèmes soient hébergés par l'agence ou fournis par un fournisseur tiers, ce qui élargit le champ d'application implicite d'une directive CISA.

Que dit la dernière directive de la CISA ?

 

Comme nous l'avons dit au début de cet article, tout le monde commence à en avoir assez des conséquences du paysage complexe de la cybersécurité. Et les conséquences de l'inaction augmentent chaque jour. C'est pourquoi, dans sa dernière directive, la CISA a publié une liste de 306 vulnérabilités que les agences fédérales sont obligées de corriger dans un délai précis.

La CISA a publié cette liste parce qu'elle a constaté qu'un ensemble spécifique de vulnérabilités est responsable d'une grande partie des cyberattaques réussies. L'objectif était de s'assurer que les agences fédérales corrigent ces vulnérabilités afin de réduire de manière significative le nombre total de cyberattaques réussies contre les agences gouvernementales.

La directive contient également une série d'exigences en matière de validation et d'établissement de rapports qui dépassent le cadre de cet article, mais qui montrent à quel point la CISA prend le problème à bras le corps. La récente directive de la CISA est un effort pour améliorer une situation imparfaite dans la mesure du possible en s'attaquant aux exploits les plus dangereux.

Exemples de vulnérabilités incluses dans la directive CISA

 

Maintenant que nous savons ce qu'est une directive CISA, examinons les vulnérabilités couvertes - et pourquoi elles sont importantes. Il s'agit d'un large éventail de vulnérabilités, depuis l'infrastructure des serveurs (Linux et Apache, par exemple) jusqu'aux applications de Microsoft et de SAP, en passant par les vulnérabilités des deux systèmes d'exploitation mobiles les plus répandus. Tout ce qui se trouve entre les deux est également couvert - la liste aborde même les outils de sécurité de Sophos, SonicWall et Trend Micro.

Prenons l'exemple de la vulnérabilité de la macro Widget Connector dans Atlassian Confluence, un outil de collaboration populaire utilisé par les entreprises commerciales et gouvernementales. Cette vulnérabilité permet aux attaquants de monter à distance une exécution de code à distance et une attaque transversale de chemin en utilisant l'injection de modèle côté serveur.

Un autre exemple est lié au populaire serveur HTTP Apache - où plusieurs versions d'Apache Release 2.4 contiennent une vulnérabilité de tableau de bord. Les attaquants peuvent exécuter du code dans des processus enfants moins privilégiés et escalader l'exécution de code arbitraire vers des processus parents avec des privilèges système complets. Cette vulnérabilité Apache est listée comme CVE-2019-0211 et, encore une fois, le CISA l'a incluse dans sa liste parce qu'il s'agit d'un exploit dangereux qui est couramment utilisé dans la nature.

Cela montre à quel point l'éventail des vulnérabilités couvertes par la directive CISA est large, ce qui montre à son tour à quel point la menace de cybersécurité est répandue - les menaces se cachent partout, et il est indubitablement difficile de gérer ces menaces de manière exhaustive.

Attendez, qu'est-ce que le CISA a à voir avec nous ?

 

La directive CISA est pointée du doigt par les agences fédérales américaines. Vous pourriez vous demander ce qu'une directive du gouvernement américain a à voir avec les entreprises commerciales, et encore moins avec les entreprises situées dans d'autres pays.

Bien que la dernière directive de la CISA n'ait aucune autorité sur les organisations extérieures au gouvernement fédéral américain, elle apporte plusieurs enseignements dignes d'intérêt.

Tout d'abord, le CISA a rassemblé des données sur les incidents de cybersécurité et a dressé la liste des vulnérabilités qui entraînent le plus souvent des dommages. Votre organisation devrait envisager de surveiller cette liste - qui continuera à évoluer - pour voir si vous vous appuyez sur l'une des applications, l'un des services ou l'un des appareils énumérés dans le dossier. Si c'est le cas, envisagez d'appliquer des correctifs aussi vite que possible ou de passer à des solutions alternatives. Il est important de souligner que, d'après la description fournie par le CISA, il s'agit de vulnérabilités dont on sait qu'elles sont actuellement exploitées - il ne s'agit donc pas simplement de patcher quelque chose qui pourrait éventuellement être exploité, ces bogues sont activement exploités.

Mais l'enjeu est plus vaste. Comme nous l'avons souligné au début de cet article, les vulnérabilités et les cyberattaques associées sont si répandues que tout le monde commence à en avoir assez. Les mesures d'atténuation fonctionnent, mais jusqu'à un certain point.

Cette liste ciblée produite par le CISA vise à attirer l'attention sur les vulnérabilités les plus dangereuses, mais elle reconnaît implicitement que les efforts habituels de gestion des vulnérabilités ne sont tout simplement pas suffisants. Quelque chose doit changer.

Les stratégies existantes sont difficiles

 

Ainsi, si la liste jointe à la directive CISA indique des corrections critiques et immédiates, elle n'existe qu'en raison de stratégies de gestion des risques imparfaites. Plus précisément, elle montre à quel point le régime de correction typique est incomplet - de nombreuses vulnérabilités de la liste de la CISA pourraient, après tout, être facilement corrigées par de simples correctifs.

La liste de la CISA n'est pas du tout une alternative à l'évaluation continue des vulnérabilités et à l'application de correctifs - elle est simplement une réponse au fait que les stratégies de risque de cybersécurité ne sont tout simplement pas parfaites. Le message sous-jacent est que les organisations doivent affiner leur gestion des risques de cybersécurité, qu'elles relèvent ou non de la CISA.

Cela n'est pas simple, bien sûr, en raison du temps et des ressources limités - ainsi que des implications pratiques des stratégies d'atténuation. Prenons le cas des correctifs, par exemple. Oui, tout le monde sait que les correctifs sont importants, mais en réalité, ils sont souvent négligés. Les correctifs sont négligés parce que les administrateurs système n'ont pas le temps de les appliquer minutieusement, et parce que les correctifs peuvent être perturbateurs, entraînant des temps d'arrêt qui frustrent les parties prenantes.

Dans les ministères soumis à des pressions financières, le budget et les ressources peuvent ne pas être disponibles et il se peut que personne ne soit responsable en dernier ressort. Mais cela vaut aussi pour les organisations commerciales.

L'amélioration de la gestion des correctifs est un début

 

L'application de correctifs est une énigme : même si vous disposez des ressources nécessaires, les perturbations qui en découlent peuvent être rédhibitoires. Il existe des moyens de contourner ces perturbations : une planification approfondie peut être utile, tandis que des systèmes redondants et équilibrés en termes de charge peuvent également contribuer à minimiser l'impact des correctifs. Mais même avec les meilleurs efforts, l'application de correctifs reste imparfaite et laisse des opportunités aux attaquants.

Heureusement, les technologies de pointe ont l'habitude de nous sortir des situations difficiles. C'est également le cas pour les correctifs. Grâce à ce que l'on appelle le " live patching", les administrateurs système peuvent s'assurer que les correctifs sont appliqués aux services critiques sans avoir à les redémarrer.

L'application de correctifs en direct est un moyen simple et automatisé d'appliquer des correctifs aux services critiques couramment utilisés, avec des correctifs à la volée. L'application de correctifs en direct réduit le temps consacré à l'application de correctifs, de sorte que les administrateurs système peuvent appliquer des correctifs plus complets tout en libérant du temps pour d'autres tâches urgentes.

Limiter les perturbations - et améliorer la sécurité

 

Mais surtout, le live patching élimine les perturbations. En d'autres termes, grâce au "live patching", les équipes techniques peuvent s'assurer que les correctifs sont appliqués de manière cohérente et efficace, sans devoir interrompre les services, planifier les fenêtres de maintenance ou coordonner la coopération des parties prenantes. En d'autres termes, moins de choses viennent entraver l'application des correctifs.

Et nous comprenons tous les avantages d'une application cohérente des correctifs : lorsque les correctifs sont appliqués à peu près aussi rapidement qu'ils sont publiés, la fenêtre d'opportunité pour un attaquant est réduite au minimum. Vous ne pouvez pas appliquer de correctif plus rapidement que la vitesse à laquelle les correctifs sont publiés, et entre la journée zéro et la publication d'un correctif, il y a toujours une fenêtre.

Cependant, il faut du temps aux attaquants pour explorer une vulnérabilité et trouver une cible, et, en règle générale, les correctifs sont publiés assez rapidement pour stopper la majorité des attaquants dans leur élan. Si vous omettez d'appliquer le correctif, vous augmentez les chances d'une attaque. Mais si vous appliquez le correctif dès qu'il est publié, la fenêtre d'opportunité est minimale.

Le principal enseignement de la directive CISA

 

Les correctifs et les autres méthodes d'atténuation de la cybersécurité ne sont pas appliqués aussi systématiquement qu'ils le devraient. Cela laisse aux attaquants de larges fenêtres d'opportunité - parfois indéfinies - pour que des acteurs malveillants puissent monter une attaque. C'est pourquoi le CISA s'est senti motivé pour publier une directive. La liste du CISA contient des vulnérabilités couramment attaquées et le CISA sait que les agences fédérales n'ont pas pris le temps de les corriger.

La morale, bien sûr, est que les correctifs doivent être améliorés, tout comme les autres mesures de cybersécurité. Il ne devrait pas être nécessaire que la CISA ou quiconque publie un rappel des correctifs à appliquer.

Voilà donc où nous en sommes : des correctifs imparfaits qui deviennent si mauvais dans la pratique qu'une agence fédérale américaine doit publier une directive. La réponse ? Une meilleure gestion des correctifs, et une meilleure gestion de la sécurité dans son ensemble. Heureusement, les outils nécessaires émergent peu à peu. En ce qui concerne les correctifs, les correctifs en temps réel sont une victoire rapide : il n'y a pas d'autre moyen de corriger les systèmes plus rapidement.

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information