Ce n’est pas exagéré : la vulnérabilité Log4j a secoué le monde de la cybersécurité.
Parmi les cyberincidents les plus importants de mémoire récente, il a été révélé en décembre 2021 lorsque des chercheurs ont identifié une exécution de code à distance utilisée dans la bibliothèque Apache Log4j.
Des milliards de gadgets ont été mis en danger et d’innombrables attaques ont été tentées (et couronnées de succès). été essayé exploits sur plus de 44% des réseaux d’affaires dans le monde.
Les experts disent que ces chiffres sont certainement beaucoup plus élevés et que nous ne comprendrons jamais vraiment le niveau complet des effets.
Les ondes de choc se poursuivent et une méthode émergente pour les détourner est la gestion de la surface d’attaque externe (EASM), qui consiste essentiellement à examiner et à aborder votre organisation comme un l’adversaire le ferait.
Les outils EASM permettent aux entreprises de voir, de comprendre et de gérer toutes les façons dont un agresseur peut entrer dans votre organisation.
Pour renforcer ce processus, l’entreprise EASM CyCognito a annoncé aujourd’hui la prochaine génération de son Exploit Outil de renseignement (IE). Cette nouvelle itération de sa plate-forme est équipée de Sandbox Virtual Lab, que l’entreprise appelle un premier environnement intégré de filtrage de bac à sable à surface d’attaque externe.
« EASM n’est plus un « génial à avoir », c’est désormais un « besoin à avoir » », a déclaré Phillip Wylie, hacker en résidence chez CyCognito. « Nous devons être vigilants et surveiller et tester en permanence nos environnements. Il ne peut s’agir d’une analyse de vulnérabilité ou d’un test d’intrusion annuels ou semestriels. »
Simuler une attaque
Un outil externe la surface d’attaque correspond à l’ensemble des actifs informatiques d’une organisation : informations, applications et réseaux (sur site ou dans le cloud), ainsi que les environnements subsidiaires, tiers ou partenaires et ceux étroitement liés à l’organisation, tels qu’ils sont vus par les agresseurs effectuant des recherches à partir de l’extérieur. C’est la meilleure façon de garantir votre sécurité, a déclaré Wylie.
L’outil EI amélioré de CyCognito fournit des informations sur la façon de valider une vulnérabilité et d’apprendre comment un ennemi l’exploiterait. Cela présente certains des avantages du filtrage de pénétration (stylo) dans sa plate-forme EASM.
« Le filtrage des enclos est très important car il examine la sécurité du point de vue de l’étoile du danger », a déclaré Wylie. « Nous utilisons les mêmes méthodes que les pirates malveillants pour accéder à des informations délicates. Cette réflexion originale est utilisée par les vedettes de la menace et prend en compte des scénarios que les meilleures pratiques de cybersécurité normales négligent fréquemment. »
Il a souligné que CyCognito n’effectue pas de test d’intrusion ; c’est plus une évaluation de la vulnérabilité. Cela implique toutes les actions d’un test d’intrusion, moins l’exploitation (c’est-à-dire le piratage). EI propose des étapes pour trouver des actifs sensibles et savoir si et comment un ennemi peut les mettre en danger, ainsi que quels pourraient être les impacts potentiels.
Il permet aux équipes de sécurité de reproduire les activités post-exploitation telles que l’escalade chanceuse ou l’exfiltration de données. Cela permet également de répéter les tests de propriété pour garantir un correctif correct.
« Cela permet aux groupes de sécurité de prendre ces informations d’attaque théoriques et d’évaluer leur influence sur leur propre surface d’attaque externe et même d’imiter une attaque », a déclaré Wylie. « Il le fait sans avoir besoin des compétences d’un testeur de stylo. »
Log4j : toujours omniprésent
La version initiale de Sandbox Virtual Laboratory se concentre sur Log4j, mais dans les mois à venir, il prendra en charge des simulations autour des dangers Log4Shell, ProxyShell, ProxyLogon et ZeroLogon.
Comme Wylie l’a expliqué, lorsque Log4j est arrivé, le groupe CyCognito était tête baissée pour aider les consommateurs à repérer. Par la suite, ils ont compris que les outils de résolution des risques futurs comme Log4j avaient besoin d’un environnement de test pour reproduire la façon dont un ennemi utiliserait une propriété spécifique.
Log4j reste si important et omniprésent car de nombreuses applications l’utilisent dans leur pile technologique, a déclaré Wylie.
Certaines applications logicielles nécessitent l’installation de correctifs pour résoudre les vulnérabilités de Log4j, et parfois cela est ignoré. Les spots et les mises à niveau peuvent souvent réintroduire des vulnérabilités, a-t-il expliqué.
Une étude récente de CyCognito a révélé que 70 % des organisations qui avaient auparavant résolu Log4j dans leur surface d’attaque ont encore du mal à corriger les actifs vulnérables de Log4j et à éviter que de nouvelles instances de Log4j ne refont surface dans leur pile informatique. .
Certaines organisations voient même leur exposition directe Log4j augmenter : 21 % des biens sensibles ont connu une évolution à trois chiffres du nombre de propriétés vulnérables Log4j exposées en juillet par rapport à janvier.
« Ainsi, il est non seulement essentiel de mettre constamment à jour les logiciels, mais également d’évaluer les applications pour s’assurer qu’elles ne sont pas sensibles », a déclaré Wylie.
Connaissances exploitables, temps de remédiation réduit
EI s’appuie sur la Cybersecurity and Infrastructure Security Agency (CISA), le FBI et d’autres sources de renseignements sur les risques (y compris les activités des ennemis).
L’association du moteur de découverte et de cartographie de CyCognito et de l’EI fournit des connaissances exploitables, par opposition aux simples flux de données, afin que les équipes de sécurité puissent construire, tester et publier des réparations et se concentrer sur l’atténuation des risques les plus élevés actifs, a déclaré Wylie. EI s’intègre avec SIEM/SOAR, des outils de billetterie et des workflows de correction pour offrir des conseils de preuve et d’atténuation.
Les fonctionnalités secrètes incluent :
- Vitesse de correction : les possessions exploitables les plus à risque dans une surface d’attaque externe sont rapidement reconnues. Cela peut réduire les délais d’action et de correction de plusieurs mois à quelques jours.
- Évaluation d’impact rapide : une carte ciblée brosse une image de tous les actifs potentiellement en danger, y compris ceux déjà protégés et ceux encore vulnérables.
- Propriété de l’identité : le moteur de découverte identifie la propriété des actifs afin de déterminer rapidement qui est responsable de la réparation des biens vulnérables.
« L’Exploit Intelligence de CyCognito comble un espace entre les informations sur les menaces et la gestion des vulnérabilités », a déclaré le PDG Rob Gurzeev. « L’ajout d’Exploit Intelligence ne se contente pas de lier les vulnérabilités à des possessions particulières, mais répond également à la question essentielle de savoir pourquoi il est nécessaire de donner la priorité à la correction immédiate de propriétés spécifiques en raison de leur apparence aux adversaires actifs. »
La mission de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques d’acquérir des connaissances sur l’innovation commerciale transformatrice et de négocier. Découvrez nos Instructions.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur