Même si l’atténuation des menaces est dans une certaine mesure une tâche spécialisée impliquant des experts en cybersécurité, la gestion quotidienne de l’atténuation des menaces revient souvent aux administrateurs système. Pour ces administrateurs système, ce n’est cependant pas une tâche facile. Dans l’informatique d’entreprise, les équipes d’administrateurs système ont un large mandat mais des ressources limitées.

Pour les administrateurs système, il est difficile de trouver le temps et les ressources nécessaires pour atténuer une menace croissante et en constante évolution. Dans cet article, nous décrivons les difficultés liées à l’atténuation des menaces d’entreprise et expliquons pourquoi des outils d’atténuation automatisés et spécialement conçus sont la voie à suivre.

La gestion des menaces est une tâche écrasante
Il existe une gamme de spécialistes qui travaillent dans la gestion des menaces, mais la mise en œuvre pratique des stratégies de gestion des menaces revient souvent aux administrateurs système. Qu’il s’agisse de la gestion des correctifs, de la détection des intrusions ou de la correction après une attaque, les administrateurs système supportent généralement le gros du travail.

C’est une tâche impossible, compte tenu de la nature croissante de la menace. Rien qu’en 2021, 28 000 vulnérabilités ont été divulguées. C’est un si grand nombre qu’en fait, une grande partie n’est jamais allée jusqu’à se voir attribuer un CVE. Ceci est particulièrement pertinent dans une industrie axée sur le suivi des CVE, le test de leur présence sur nos systèmes et le déploiement de correctifs mentionnant des numéros CVE spécifiques. Vous ne pouvez pas vous protéger contre ce à quoi vous ne savez pas que vous êtes vulnérable. Si une vulnérabilité donnée n’est pas associée à un CVE et que tous vos outils/état d’esprit/processus sont axés sur les CVE, quelque chose échouera. Les raisons de ne pas attribuer de CVE à une vulnérabilité sont nombreuses et sortent du cadre de cet article, mais aucune d’entre elles ne réduira le travail à effectuer en matière de sécurité.

Même si une organisation disposait d’une équipe d’administrateurs système à trois chiffres, il serait difficile de suivre cette liste de vulnérabilités en constante augmentation. Nous ne parlons même pas des interactions où une vulnérabilité peut affecter un système secondaire fonctionnant sur votre infrastructure d’une manière qui n’est pas si évidente.

Au fil du temps, il se fond simplement dans un « bruit de fond » de vulnérabilités. On suppose que les correctifs sont appliqués de manière méthodique, hebdomadaire ou peut-être quotidienne, mais en réalité, les informations pertinentes et détaillées contenues dans les annonces CVE n’atteignent jamais la priorité.

Des équipes débordées prennent des risques
Les tâches de sécurité, y compris les correctifs, devenant un exercice aussi accablant, il n’est pas étonnant que les administrateurs système commencent à prendre des raccourcis. Peut-être qu’un administrateur système manque cette interaction entre un nouvel exploit et un système secondaire, ou néglige de tester correctement les correctifs avant de déployer le dernier correctif, ce qui peut échouer à empêcher un effondrement à l’échelle du réseau.

Manipulées sans précaution, les tâches de gestion de la sécurité telles que les correctifs peuvent avoir des conséquences. Un petit changement reviendra et hantera les équipes de sécurité quelques jours, semaines ou mois plus tard en cassant quelque chose d’autre auquel ils ne s’attendaient pas.

« Fermer les trous » est tout aussi problématique dans ce contexte. Par exemple, prenez la vulnérabilité Log4j, où la modification de la configuration par défaut de Log4j pourrait facilement fournir une atténuation significative. C’est une étape évidente et sensée, mais la vraie question est : l’équipe d’administration système a-t-elle les ressources pour accomplir la tâche ? Ce n’est pas qu’il soit difficile à réaliser en soi, mais il est difficile de suivre chaque utilisation de log4j sur l’ensemble d’un parc de systèmes, et le travail nécessaire s’ajoute à toutes les autres activités régulières.

Et encore une fois, en ce qui concerne les correctifs, les ressources nécessaires pour le faire de manière cohérente ne sont souvent pas là. L’application de correctifs est particulièrement difficile étant donné que l’application d’un correctif implique le redémarrage du service sous-jacent. Les redémarrages prennent du temps et perturbent et, lorsqu’il s’agit de composants critiques, le redémarrage peut tout simplement ne pas être réaliste.

Le résultat net est que les tâches de sécurité essentielles ne sont tout simplement pas effectuées, laissant les administrateurs système avec le sentiment tenace que la sécurité n’est tout simplement pas ce qu’elle devrait être. Cela vaut également pour la surveillance de la sécurité, y compris les tests de pénétration et l’analyse des vulnérabilités. Oui, certaines organisations peuvent avoir des spécialistes pour accomplir cette tâche – allant même jusqu’à avoir des équipes rouges et des équipes bleues.

Mais, dans de nombreux cas, la surveillance de la sécurité est une autre tâche pour les administrateurs système qui seront inévitablement surchargés et finiront par prendre.

Et ça empire
On pourrait penser que tout ce qui doit se passer est que les administrateurs système prennent de l’avance sur le fardeau – musclez-vous et faites-le simplement. En travaillant sur le backlog, peut-être en obtenant une aide supplémentaire, les administrateurs système pourraient gérer la charge de travail et tout faire.

Mais il y a un léger problème ici. Le nombre de vulnérabilités augmente rapidement – ​​une fois que l’équipe aura traité les problèmes connus, elle en rencontrera sans doute encore plus. Et le rythme des vulnérabilités s’accélère, de plus en plus sont signalés chaque année.

Essayer de suivre le rythme signifierait que la taille des équipes augmente de, disons, 30% d’une année sur l’autre. Ce n’est tout simplement pas une bataille qu’une équipe humaine avec des approches manuelles gagnera. De toute évidence, des alternatives sont nécessaires car une bataille continue de cette nature ne sera tout simplement pas gagnée en augmentant la taille des équipes d’année en année de manière presque exponentielle.

L’automatisation de la gestion des menaces est essentielle
La bonne chose à propos de l’informatique est bien sûr que l’automatisation offre souvent un moyen de sortir des restrictions de ressources persistantes – et c’est également le cas avec la gestion des menaces. En fait, si vous voulez avoir une chance de progresser contre l’environnement croissant des menaces, le déploiement de l’automatisation des tâches dans l’ensemble de la gestion des vulnérabilités est essentiel. De la surveillance des nouvelles vulnérabilités aux correctifs et aux rapports.

Certains outils aideront avec des aspects spécifiques, d’autres aideront avec tous ces aspects, mais l’efficacité des outils a tendance à diminuer à mesure que l’outil devient plus englobant. Les outils plus spécialisés ont tendance à mieux remplir leur fonction spécifique que les outils qui prétendent tout faire en une seule fois. Considérez-le comme la philosophie de l’outil Unix – faites une chose et faites-la bien, plutôt que d’essayer de tout faire à la fois.

Par exemple, les correctifs peuvent et doivent être automatisés. Mais la correction est l’une de ces tâches de sécurité qui nécessitent un outil dédié qui peut aider les administrateurs système en corrigeant de manière cohérente et avec un minimum de perturbations.

Une approche timide ne fonctionnera pas car les correctifs seraient toujours gênés par l’acceptation des fenêtres de maintenance. Cela priverait les équipes informatiques de la flexibilité nécessaire pour répondre en temps quasi réel aux nouvelles menaces, sans affecter les opérations commerciales de l’organisation. L’application de correctifs en direct à l’aide d’outils tels que l’outil KernelCare Enterprise de TuxCare, qui fournit des correctifs en direct automatiques et non perturbateurs pour les distributions Linux, répond parfaitement à ces exigences.

Ce ne sont pas seulement les correctifs qui doivent être automatisés, bien sûr. Tout comme les cybercriminels utilisent l’automatisation pour détecter les vulnérabilités, les équipes techniques doivent s’appuyer sur des analyses de vulnérabilité et des tests de pénétration automatisés et continus. Dans cette sphère d’automatisation devraient également venir les pare-feu, la protection avancée contre les menaces, la protection des terminaux, etc.

Il n’y a nulle part où se cacher en toute sécurité
De toute évidence, le problème des menaces s’aggrave, et rapidement – beaucoup plus rapidement que les organisations ne pourraient espérer développer leurs équipes de sécurité si elles voulaient effectivement s’attaquer à ces problèmes manuellement. Être assis dans un coin particulier en termes de solutions utilisées n’apporte pas non plus de réconfort, en partie parce que les solutions sont désormais tellement intégrées avec du code partagé sur tant de plates-formes qu’une seule vulnérabilité peut avoir un impact presque universel.

En outre, comme l’ont révélé des recherches récentes, la liste des dix principaux produits les plus vulnérables excluait certains produits notables. Par exemple, Microsoft Windows, auparavant considéré comme l’un des systèmes d’exploitation les plus vulnérables, ne figure même pas dans le top dix, qui est plutôt dominé par les systèmes d’exploitation basés sur Linux. S’appuyer sur ce que l’on pense être des alternatives plus sûres n’est pas une bonne idée.

Il souligne que la seule véritable sécurité réside dans l’automatisation de la sécurité. De l’analyse des vulnérabilités aux correctifs, l’automatisation est vraiment la seule voie qui peut aider les administrateurs système débordés à acquérir un certain contrôle sur une situation qui explose – en fait, c’est la seule solution gérable.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *