Les vulnérabilités non corrigées sont l’un des principaux points d’entrée des cyberattaques. Les attaques contre les infrastructures se multiplient et les équipes informatiques ont du mal à faire face à la multitude de nouveaux problèmes découverts. La gestion des correctifs doit donc être un objectif clé pour les équipes informatiques et de sécurité dans la course pour garder une longueur d’avance sur les attaquants.
Linux est responsable de la grande majorité des infrastructures de cloud public – environ 90 % selon le rapport 2017 Linux Kernel Development Report de la Linux Foundation. Il prend également en charge 82 % des smartphones dans le monde et neuf des dix premiers clouds publics. Linux a également une bonne réputation en matière de sécurité, en particulier par rapport à d’autres systèmes d’exploitation.
Cependant, une récente vague de vulnérabilités graves liées à Linux a montré que Linux doit être géré aussi étroitement que tout autre ensemble d’actifs informatiques.
A propos de l’auteur
Shailesh Athalye est SVP Product Management chez Qualys
Comment mieux protéger nos infrastructures dans le temps ? Sommes-nous trop confiants dans Linux et la sécurité ? Et comment pouvons-nous gérer le processus de correction plus efficacement ?
Sommaire
Comprendre le processus de gestion des correctifs
Le logiciel est complexe. Des problèmes tels que des défauts de conception ou des erreurs de programmation surviendront naturellement, et ces défauts peuvent potentiellement entraîner des problèmes de sécurité. Ce qui est important, c’est que ces vulnérabilités soient détectées et traitées rapidement, avant leur exploitation.
Les éditeurs de logiciels propriétaires ont un contrôle total sur leurs processus de mise à jour. L’approche la plus reconnaissable est la publication mensuelle de Patch Tuesday à l’échelle de l’industrie par Microsoft et Adobe.
Ces versions mettent en évidence les vulnérabilités, attribuent des niveaux de gravité et aident les équipes informatiques à hiérarchiser les problèmes à corriger en fonction de leurs priorités et de leurs niveaux de risque. Cette approche permet aux équipes informatiques et de sécurité de planifier leurs correctifs.
Pour Linux, le processus est très différent. Comme Linux est open source, les problèmes peuvent être découverts par les membres de la communauté et des mises à jour publiées à tout moment. Le processus est coordonné afin que toutes les personnes concernées – des plus grandes distributions open source gérées par des fournisseurs mondiaux aux versions plus petites gérées par des équipes communautaires – puissent ajouter les mises à jour à leurs versions.
Des entreprises comme Red Hat et SUSE gèrent des listes de diffusion qui alertent la communauté des vulnérabilités connues et des correctifs associés en temps réel, plutôt que de se limiter à des cadences mensuelles. Ce processus permet de maintenir les principes fondamentaux de l’open source, centrés sur l’ouverture, la transparence et la traçabilité pour tous.
L’importance de Linux
Il est important de ne pas être complaisant envers Linux et la sécurité. Premièrement, le grand nombre de distributions et de variantes alimentées par Linux signifie qu’un problème peut entraîner plusieurs ensembles de correctifs qui doivent être déployés, un pour chaque distribution ou ressource utilisée.
Cela peut devenir incroyablement complexe à suivre. Il est facile de voir comment les équipes peuvent prendre du retard en conséquence, en particulier lorsqu’on suppose que Linux est plus sécurisé.
On peut dire que la fonctionnalité gagnante de Linux – le fait qu’il soit open source – est également son plus grand défi.
Lorsque les vulnérabilités deviennent de notoriété publique, elles sont ouvertes à tous et un code de preuve de concept est souvent créé pour démontrer les problèmes. Bien que cela aide les responsables des communautés Linux et leur donne un aperçu des problèmes, ces données peuvent également être utilisées pour trouver d’autres moyens d’exploiter la vulnérabilité d’origine.
Si les organisations exécutant Linux ne sont pas à jour dans leur gestion des correctifs, il peut être plus facile pour les attaquants de tenter des exploits basés sur ces exemples d’exploits.
Défis du processus de correctifs Linux
Pour gérer efficacement les correctifs Linux, trois éléments doivent fonctionner côte à côte.
Le premier processus à suivre consiste à créer un inventaire précis des actifs informatiques qui peut suivre le matériel, les systèmes d’exploitation et les logiciels, ainsi que tout autre service. Cela devrait fournir une liste complète de ce qui est en place et de l’état actuel des actifs.
Une fois que cela est confirmé, vous pouvez voir quelles vulnérabilités existent et quels correctifs doivent être installés. Avec autant de nouveaux problèmes découverts, il pourrait ne pas être possible de tout corriger immédiatement.
Au lieu de cela, vous pouvez hiérarchiser les problèmes les plus urgents à mettre en œuvre, soit parce qu’ils sont les plus risqués, les plus répandus ou les plus dangereux. Cela dépendra de votre entreprise, de ce qui est en place et de l’appétit de l’entreprise pour le risque.
L’un des défis de la collecte des données nécessaires pour découvrir efficacement vos actifs, rechercher les vulnérabilités, hiérarchiser et corriger est que cela peut nécessiter plusieurs outils qui ne communiquent pas entre eux.
Certains peuvent soutenir que plus il y a d’outils, mieux c’est, et de nombreux professionnels de la sécurité ont déjà appris à suivre l’approche selon laquelle la quantité est égale à la qualité. Alors que la couverture de sécurité de plusieurs outils d’actifs qui se chevauchent peut sembler rassurante pour s’assurer qu’aucune vulnérabilité ou lacune dans la défense n’est jamais manquée, elle devient en réalité plus un obstacle à gérer pour les équipes informatiques et de sécurité au fil du temps.
En réalité, chaque outil que vous adopterez aura sa propre surcharge et sa propre façon de catégoriser les données. Lorsque vous comparez les données entre les outils et les équipes, il est difficile d’obtenir des informations précises en temps réel.
Les équipes sont également susceptibles de redoubler de travail car elles doivent corréler manuellement les données avant même de commencer à corriger les problèmes détectés par les outils. La charge de travail à laquelle les équipes informatiques sont confrontées augmente, donc éliminer toute duplication et automatiser les processus devrait immédiatement porter ses fruits.
Par exemple, les organisations qui utilisent différents outils pour découvrir des actifs, exécuter des analyses de gestion des vulnérabilités, établir des priorités et appliquer des correctifs seront initialement confrontées au défi de s’assurer que tous les différents produits peuvent « s’entendre » sur la façon d’identifier un appareil. Sans cet « accord », les rapports ne peuvent pas être générés et les travaux de correction ne peuvent pas être lancés.
Pour compliquer encore les choses, les organisations qui utilisent plusieurs outils pour accomplir ces tâches devront généralement entreprendre des processus fastidieux pour permettre à leurs équipes de correctifs de déployer des correctifs en fonction des vulnérabilités hiérarchisées.
Cela implique généralement l’envoi d’un rapport avec une liste de vulnérabilités prioritaires à l’équipe de correctifs, qui à son tour devra rechercher chaque vulnérabilité, comprendre quels correctifs sont disponibles, évaluer lesquels sont pertinents pour l’environnement et doivent donc être déployés.
Ce processus peut prendre du temps et nécessite beaucoup de travail lourd de la part de chaque équipe. Les processus de gestion des correctifs longs et complexes tels que ceux-ci sont également susceptibles d’être les premiers à être dépriorisés lorsque d’autres tâches apparemment «plus urgentes» se présentent.
Cela présente un danger pour les organisations qui peuvent, sans le savoir, s’exposer à des attaques en raison de vulnérabilités non corrigées plus longtemps que nécessaire.
L’unification contient les clés du succès
La communauté reconnaît qu’il s’agit d’un processus défectueux. En conséquence, davantage d’outils sont désormais disponibles pour minimiser certaines des étapes de ce processus, mais la plupart sont encore insuffisants et nécessitent une intervention manuelle quelque part en cours de route.
Au lieu de cela, si les organisations peuvent utiliser une solution pour rechercher les vulnérabilités, priorisez et les corriger au sein d’une seule console, le processus est considérablement plus efficace et les organisations peuvent plus facilement garder le contrôle de leur gestion des correctifs.
Cela éliminerait le besoin de recherche manuelle et de rapport sur chaque vulnérabilité individuelle et le correctif associé pour chaque système individuel. Le correctif peut être déployé à partir d’un seul bouton qui fournit un rapport à jour des vulnérabilités corrigées pour documenter le processus et boucler la boucle.
En fin de compte, les équipes doivent créer un flux de travail efficace et efficient, à la fois pour les approches de correctifs proactives et réactives, qui s’exécute sur autant de systèmes d’exploitation que possible.
Plutôt que d’avoir des outils séparés pour Windows et Linux, et des actifs cloud internes, l’intégration de toutes vos données d’actifs au même endroit permet une plus grande efficacité. Cela fournit un aperçu complet de ce que vous avez et de ce qu’il faut prioriser, quel que soit l’endroit où cet actif est hébergé.
Le paysage des menaces évolue constamment, de sorte que les rondes d’analyse planifiées mensuellement ou hebdomadairement à partir de plusieurs agents ne suffisent plus. Les entreprises doivent s’efforcer d’effectuer une analyse continue et automatisée pour s’assurer qu’elles peuvent détecter et résoudre les problèmes en temps réel.
Cela garantit que les équipes informatiques et de sécurité travaillent toujours avec les informations les plus récentes, et cela signifie également que les approches de remédiation peuvent également être automatisées.
