Cyber Sécurité

Comment les organisations peuvent maîtriser la gestion de la vulnérabilité

Christophe
Christophe

Sécurité des entreprises

N’attendez pas une brèche coûteuse pour fournir un rappel douloureux de l’importance des correctifs logiciels en temps opportun

05 février 2025

,
5 min. lire

L’exploitation de la vulnérabilité est depuis longtemps une tactique populaire pour les acteurs de la menace. Mais il en va de plus en plus – un fait qui devrait alarmer chaque défenseur du réseau. Les cas observés d’exploitation de vulnérabilité entraînant des violations de données ont augmenté trois fois par an en 2023, selon une estimation. Et les attaques ciblant les échappatoires de sécurité restent l’une des trois principales façons dont les acteurs de menace commencent les attaques de ransomwares.

Alors que le nombre de CVE continue d’atteindre de nouveaux records, les organisations ont du mal à faire face. Ils ont besoin d’une approche plus cohérente, automatisée et basée sur les risques pour atténuer les menaces liées à la vulnérabilité.

Surcharge de bogue

Les vulnérabilités logicielles sont inévitables. Tant que les humains créent du code informatique, l’erreur humaine se glissera dans le processus, ce qui entraînera les bogues que les mauvais acteurs sont devenus si experts dans l’exploitation. Pourtant, le faisant à la vitesse et l’échelle ouvre une porte non seulement à des ransomwares et à un vol de données, mais à des opérations d’espionnage alignées par l’État sophistiquées, des attaques destructrices et plus encore.

Malheureusement, le nombre de CVE publiés chaque année est obstinément élevé, grâce à plusieurs facteurs:

  • Le développement de nouveaux logiciels et l’intégration continue entraînent une complexité accrue et des mises à jour fréquentes, élargissant les points d’entrée potentiels pour les attaquants et introduisant parfois de nouvelles vulnérabilités. Dans le même temps, les entreprises adoptent de nouveaux outils qui s’appuient souvent sur des composants tiers, des bibliothèques open-source et d’autres dépendances qui peuvent contenir des vulnérabilités non découvertes.
  • La vitesse est souvent hiérarchisée par rapport à la sécurité, ce qui signifie que les logiciels sont développés sans vérification de code adéquate. Cela permet aux bogues de se glisser dans le code de production – provenant parfois des composants open source utilisés par les développeurs.
  • Les chercheurs éthiques augmentent leurs efforts, grâce en partie à une prolifération de programmes de primes de bogues gérés par des organisations aussi diverses que le Pentagone et Meta. Ceux-ci sont divulgués de manière responsable et corrigés par les vendeurs en question, mais si les clients n’appliquent pas ces correctifs, ils seront exposés aux exploits
  • Les vendeurs commerciaux de logiciels espions opèrent dans une zone grise légale, vendant des logiciels malveillants et des exploits pour leurs clients – souvent des gouvernements autocratiques – pour espionner leurs ennemis. Le National Cyber ​​Security Center (NCSC) du Royaume-Uni estime que le «secteur de la cyber-intrusion» commercial double tous les dix ans
  • La chaîne d’approvisionnement de la cybercriminalité est de plus en plus professionnalisée, les courtiers d’accès initiaux (IAB) se concentrant exclusivement sur la violation des organisations de victimes – souvent via une exploitation de vulnérabilité. Un rapport de 2023 a enregistré une augmentation de 45% des IABS sur les forums de la cybercriminalité et un doublement des publicités sur les IAB Dark en 2022 par rapport aux 12 mois précédents
A LIRE AUSSI :  Semaine en revue: Mitre Att & CK V17.0 Sortie, POC pour Erlang / OTP SSH Bug est public

Quels types de vulnérabilité font des vagues?

L’histoire du paysage de la vulnérabilité est celle du changement et de la continuité. De nombreux suspects habituels apparaissent dans la liste des 25 premiers de Mitre des défauts logiciels les plus courants et les plus dangereux observés entre juin 2023 et juin 2024. -Les listes de lecture, d’injection de code et de contrefaçon de demande de site transversal (CSRF). Ceux-ci devraient être familiers à la plupart des cyber-défendeurs et peuvent donc nécessiter moins d’efforts pour atténuer, soit grâce à un durcissement / protection amélioré des systèmes et / ou à des pratiques DevSecops améliorées.

Cependant, d’autres tendances sont peut-être encore plus préoccupantes. L’Agence américaine de sécurité de la cybersécurité et de l’infrastructure (CISA) revendique dans sa liste de 2023 TOP exploité régulièrement les vulnérabilités qu’une majorité de ces défauts ont été initialement exploités comme un jour zéro. Cela signifie qu’au moment de l’exploitation, il n’y avait pas de correctifs disponibles et que les organisations doivent s’appuyer sur d’autres mécanismes pour les assurer la sécurité ou pour minimiser l’impact. Ailleurs, les bogues à faible complexité et qui nécessitent peu ou pas d’interaction utilisateur sont également souvent favorisés. Un exemple est les exploits zéro-clic offerts par les fournisseurs de logiciels espions commerciaux pour déployer leurs logiciels malveillants.

Explorez comment la vulnérabilité ESET et la gestion des patchs à l’intérieur de la plate-forme ESET Protect fournit une voie pour l’assainissement rapide, aidant à maintenir la perturbation et les coûts au minimum.

Une autre tendance est de cibler des produits à base de périmètre avec une exploitation de vulnérabilité. Le National Cyber ​​Security Center (NCSC) a mis en garde contre une augmentation de ces attaques, impliquant souvent des exploits zéro jour ciblant les applications de transfert de fichiers, les pare-feu, les VPN et les offres de gestion des appareils mobiles (MDM). Il dit:

«Les attaquants ont réalisé que la majorité des produits exposés au périmètre ne sont pas« sécurisés par conception », et donc les vulnérabilités peuvent être trouvées beaucoup plus facilement que dans les logiciels de client populaires. De plus, ces produits n’ont généralement pas de journalisation décente (ou peuvent Soyez facilement étudié en médecine), ce qui réalise parfaitement un réseau dans un réseau où chaque appareil client est susceptible d’exécuter des capacités de détective haut de gamme. “

Aggraver les choses

Comme si cela n’était pas suffisant pour concerner les défenseurs du réseau, leurs efforts sont plus compliqués par:

  • La vitesse de l’exploitation de la vulnérabilité. Google Cloud Research estime un délai moyen à exploiter de seulement cinq jours en 2023, en baisse par rapport à un chiffre précédent de 32 jours
  • La complexité des systèmes d’entreprise IT et OT / IoT d’aujourd’hui, qui couvrent des environnements hybrides et multi-cloud avec une technologie héritée souvent sileuse
  • Patchs de fournisseurs de mauvaise qualité et communications déroutantes, ce qui conduit les défenseurs à dupliquer l’effort et signifie qu’ils sont souvent incapables d’évaluer efficacement leur exposition aux risques
  • Un carnet de commandes NIST NVD qui a laissé de nombreuses organisations sans source critique d’informations à jour sur les derniers CVE
A LIRE AUSSI :  Voler de l'argent liquide à l'aide du relais NFC – Semaine en sécurité avec Tony Anscombe

Selon une analyse Verizon du catalogue connu des vulnérabilités exploitées (KEV) de CISA:

  • À 30 jours, 85% des vulnérabilités ne sont pas médiatisées
  • À 55 jours, 50% des vulnérabilités n’ont pas été déménalisées
  • À 60 jours, 47% des vulnérabilités ne sont pas médiatisées

Il est temps de patcher

La vérité est qu’il y a tout simplement trop de CVE publiés chaque mois, sur trop de systèmes, pour que les équipes informatiques et de sécurité d’entreprise et de sécurité les corrigent tous. L’accent devrait donc être mis sur la priorité efficacement en fonction de l’appétit du risque et de la gravité. Considérez les fonctionnalités suivantes pour toute solution de vulnérabilité et de gestion des patchs:

  • Analyse automatisée des environnements d’entreprise pour les CVE connus
  • Priorisation de la vulnérabilité basée sur la gravité
  • Rapports détaillés pour identifier les logiciels et les actifs vulnérables, les CVE et correctifs pertinents, etc.
  • Flexibilité pour sélectionner des actifs spécifiques pour le correctif en fonction des besoins d’entreprise
  • Options de correction automatisé ou manuelle

Pour les menaces zéro-jour, envisagez une détection avancée des menaces qui déballe automatiquement et analyse les exploits possibles, en exécutant dans un bac à sable basé sur le cloud pour vérifier s’il est malveillant ou non. Des algorithmes d’apprentissage automatique peuvent être appliqués au code pour identifier de nouvelles menaces avec un degré élevé de précision en minutes, les bloquer automatiquement et fournir un statut de chaque échantillon.

D’autres tactiques pourraient inclure la microsegmentation des réseaux, l’accès au réseau zéro fiducie, la surveillance des réseaux (pour un comportement inhabituel) et de solides programmes de sensibilisation à la cybersécurité.

Alors que les acteurs de la menace adoptent leurs propres outils d’IA en nombres toujours plus grands, il leur deviendra plus facile de rechercher des actifs vulnérables qui sont exposés aux attaques orientées sur Internet. Avec le temps, ils peuvent même être en mesure d’utiliser Genai pour aider à trouver des vulnérabilités zéro jour. La meilleure défense consiste à rester informé et à maintenir un dialogue régulier avec vos partenaires de sécurité de confiance.

Partager cet Article
Article Précédent Studio abandonne un tas de jeux car il va tout sur Smite 2
Article Suivant Votre boîte à outils de productivité pratique – Computerworld

Derniers Articles

Ubisoft vient de faire quelque chose d’extrêmement bizarre
Les Meilleurs RPG / MMORPG et Jeux en Ligne
Comment créer des documents (et plus) avec Gemini Canvas – Computerworld
Intelligence artificielle Big Data
Pourquoi l’IA fantôme pourrait être votre plus grand angle mort en matière de sécurité
Cyber Sécurité
C’est officiel, Jagex supprime les microtransactions Treasure Hunter de RuneScape
Les Meilleurs RPG / MMORPG et Jeux en Ligne

Vous pourriez aussi aimer