Crédit : Dreamstime
Ceux qui appliquent des correctifs de sécurité constatent que cela finit par être plus difficile pour planifier les mises à jour et déterminer l’impact des correctifs sur leurs organisations.
Dustin Childs de ZDI No Day Initiative et Trend Micro ont mis ce problème en lumière lors de la conférence sur la sécurité Black Hat actuelle : la qualité des correctifs n’a en fait pas augmenté et se détériore en réalité. Nous nous occupons de corriger des bogues qui n’ont pas été correctement corrigés ou des variantes de bogues qui auraient pu être couvertes la première fois.
Les enfants ont également souligné que les fournisseurs n’offrent pas d’excellentes informations sur le système de notation des vulnérabilités typique (CVSS ) risque d’évaluer facilement s’il faut patcher. Le fournisseur peut attribuer un score de danger CVSS élevé à un bogue qui ne serait pas rapidement exploité.
Je dois approfondir les détails d’un bogue pour mieux comprendre le risque de ne pas utiliser une mise à jour instantanément . Les fournisseurs ajoutent de l’obscurité aux informations sur les bogues et rendent plus difficile la compréhension du danger.
Les scores CVSS ne reflètent pas toujours le danger réel
CVSS est un marché de base destiné à aider à évaluer la gravité des vulnérabilités de sécurité du système informatique. 10 étant le plus sévère, plus le CVSS attribué au spot est élevé, plus nous devons appliquer le patch rapidement.
Cependant, après avoir évalué les circonstances atténuantes et les facteurs de risque supplémentaires, nous n’avons peut-être pas besoin d’être aussi inquiets. Le pire est lorsque le CVSS est inférieur à ce qu’il devrait être en raison du fait qu’il ne tient pas compte des éléments de menace supplémentaires propres à votre organisation.
Par exemple, les mises à jour de sécurité d’août de Microsoft consistent en CVE-2022-34715. , corrigeant la vulnérabilité d’exécution de code à distance du système de fichiers réseau Windows. La cote CVSS est de 9,8, ce qui recommande une préoccupation immédiate.
En regardant plus en détail le bogue, cela n’affecte que le serveur 2022, puis juste si le service de rôle NFS 4.0 est configuré. Le correctif le mieux classé de la version d’août 2022 ne vous affectera probablement pas si vous n’exécutez pas ce code particulier.
La qualité des correctifs, la communication des fournisseurs sur les vulnérabilités diminuent
Childs a souligné que les correctifs se sont aggravés à la fois en termes de qualité des mises à jour et de diminution de la communication autour des mises à jour de sécurité. Il a mentionné que nous ne pouvons pas toujours « simplement le repérer ». Les correctifs défectueux ne rendent pas le scénario plus protégé.
Une entreprise peut retarder les mises à jour parce qu’un effet indésirable a un impact direct sur le service. Les attaquants n’ont pas ce problème. Ils peuvent exploiter les vulnérabilités efficacement et rapidement sans restrictions.
Les mises en garde des médias sociaux et des chercheurs pourraient augmenter la pression sur les RSSI et les équipes informatiques pour déployer des spots. Des études de recherche ont en fait révélé que seulement cinq pour cent des bogues sont traités. Ainsi, nous ne pouvons plus déterminer avec précision le risque, l’exigence d’appliquer des mises à jour, ou pire encore, la menace de ne pas appliquer les mises à jour.
Microsoft a supprimé les informations de ses publications de sécurité à partir de 2020, ce qui rend il est plus difficile d’identifier si une publication s’applique à votre scénario. J’évalue maintenant les publications sur les réseaux sociaux et traque les plateformes de réseaux sociaux que les adversaires utilisent pour mieux comprendre la menace d’une mise à jour.
Pire, certains fournisseurs exigent que les clients se rendent sur place pour obtenir des informations supplémentaires. . Les fournisseurs peuvent mettre des détails dans un certain nombre d’endroits répartis sur leurs plates-formes, ce qui rend le processus de compréhension du bogue et des spots déroutant et long.
Les problèmes compris sont généralement signalés à plusieurs endroits et ne sont pas signalés immédiatement aux clients. L’automatisation ponctuelle et la gestion des informations par l’API éliminent les conseils humains et une grande partie de l’analyse des menaces nécessaires pour mieux nous protéger.
ZDI a expliqué que sur l’ensemble du marché, 10 à 20 % des vulnérabilités sont être revisité et repatché.
Vous pensez avoir réellement protégé votre réseau contre ce bogue d’exécution de code à distance SharePoint, mais il n’a pas été corrigé de manière appropriée et les agresseurs savent comment contourner le correctif que vous venez d’utiliser. Vous ne réalisez peut-être pas que vous devez suivre les conseils d’atténuation plutôt que de vous fier aux correctifs.
Faites pression sur les fournisseurs pour qu’ils repèrent et interagissent mieux sur les vulnérabilités
Qu’est-ce pouvez-vous faire pour mieux comprendre le risque ? Tout d’abord, appuyez sur les vendeurs. Le niveau actuel de correctifs et de correctifs n’est idéal pour personne. Nous avons besoin d’une meilleure communication de la part des fournisseurs et nous devons pousser les fournisseurs à faire de meilleurs tests et à améliorer les spots afin que nous ne refassions pas les spots et recevions des mises à jour défectueuses.
Si un fournisseur vous contacte à propos d’un tout nouveau élément, fournissez des commentaires sur les éléments existants que vous utilisez. Si vous assistez à des conférences de fournisseurs, recherchez un agent fournisseur et échangez avec lui sur ce dont vous avez besoin.
Ensuite, créez des informations afin de mieux comprendre le risque pour votre organisation. On dit que les agresseurs comprennent nos réseaux bien mieux que nous. Sachez quelle application logicielle vous avez dans votre réseau ainsi que votre exposition aux actions et attaques externes.
Si vous n’avez pas de membres d’équipe au sein de votre organisation qui peuvent vous aider, regardez à l’extérieur de votre organisation. Qu’il s’agisse d’une couverture de cyberassurance, d’équipes rouges ou de groupes violets, recherchez les fournisseurs externes que votre organisation utilise actuellement pour fournir des services de sécurité à votre entreprise.
Si votre entreprise dispose de ressources limitées, visez des groupes ou des agences gouvernementales qui fournissent des informations sur les vulnérabilités et les risques.
ZDI réduit ses délais de divulgation pour les fournisseurs lorsqu’ils tombent sur des bogues répétés comme technique pour faire pression sur eux. Comme ZDI l’a noté dans son discours à Black Hat, si un spot fonctionne mal et qu’ils s’attendent à des exploits, le délai de divulgation passe à trente jours.
Conclusion : si vous pensez que la correction est une corvée sans fin et vous et votre équipe n’avancez pas dans la sécurisation de votre organisation, vous n’êtes pas seul. Le marché de l’innovation exige de revenir en arrière et d’intensifier notre assistance. Patcher ne suffit pas.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
