Des chercheurs de Kollective, une société de diffusion de contenu définie par logiciel, ont mené une enquête auprès de deux cents organisations américaines et britanniques. Ils ont
constaté que près de la moitié des entreprises avaient besoin d'un mois complet pour fermer une vulnérabilité connue. Nous expliquerons pourquoi cela se produit et ce qui peut être fait à ce sujet.
/ PxHere / PDLes entreprises installent des correctifs trop longtemps
L'enquête Kollective a été menée auprès des chefs des services informatiques. 45% des répondants de grandes entreprises (qui ont plus de 100 000 terminaux réseau) ont déclaré avoir besoin d'environ 30 jours pour installer le correctif. Un autre 27% a déclaré qu'il leur fallait parfois plusieurs mois pour installer les mises à jour.
Avec un nombre croissant de cybermenaces, une approche similaire semble inacceptable. Selon Symantec, l'année dernière, le nombre d'attaques de rançongiciels a
augmenté de 36%. De plus, il est connu que plus de 230 000 échantillons de logiciels malveillants
apparaissent chaque jour.
À cet égard, au cours des deux dernières années, le temps nécessaire pour installer le correctif, dont la société dispose avant que les attaquants ne profitent de la vulnérabilité,
a diminué de 29%. Cependant, une simple mise à jour de sécurité reste l'une des méthodes de protection les plus efficaces. Dans de nombreux hacks et vidages de données, les pirates informatiques exploitent des vulnérabilités pour lesquelles un correctif a déjà été publié.
ServiceNow a mené une enquête auprès de 3 000 experts en sécurité de l'information du monde entier et a constaté que 56% des entreprises auraient pu éviter la fuite d'informations par le passé si elles avaient installé la mise à jour à temps. Un exemple serait le
vol massif de données personnelles à Equifax aux États-Unis. Plus de 140 millions d'Américains ont ensuite afflué dans le réseau.
Cet incident aurait pu être évité si les spécialistes du bureau de crédit avaient installé le patch à temps. Les pirates ont utilisé la vulnérabilité dans le cadre Apache Struts (
CVE-2017-5638 ) en raison d'une erreur dans la gestion des exceptions. Un correctif pour cette vulnérabilité a été publié
deux mois avant l'attaque d'Equifax.
Pourquoi retarder les mises à jour
1. Manque de personnel. Les services de sécurité de l'information souffrent d'un manque de spécialistes qualifiés. Selon
l' organisation à but non lucratif ISACA, d'ici 2019, il y aura une pénurie de personnel de sécurité de l'information dans l'industrie. La pénurie sera d'environ 2 millions de personnes.
Cela affecte déjà directement la protection des organisations contre les cyberattaques. Dans une
étude réalisée en 2016 par McAfee, un quart des personnes interrogées ont déclaré que le manque d'experts en sécurité de l'information dans leur entreprise avait entraîné des fuites de données.
2. Gestion inefficace de l'installation des correctifs. Cependant, l'expansion du personnel de spécialistes de la sécurité de l'information dans l'entreprise n'entraîne pas toujours une augmentation de la fiabilité de l'infrastructure informatique. ServiceNow note que vous ne devez pas attendre une sécurité accrue jusqu'à ce que les processus métier associés aux correctifs soient modifiés.
Le taux de fermeture des vulnérabilités est affecté par un grand nombre de processus manuels. Certaines entreprises utilisent encore Excel pour gérer le correctif. Une entreprise de Fortune 100 a même formé tout un département d'employés
chargés de gérer les feuilles de
calcul avec des données de vulnérabilité - ils y écrivent s'il y a un correctif, qui l'installe, etc.
Selon Trend Micro, vice-président de Cloud Research chez Mark Micro, Mark Nunnikhoven est précisément que le manque d'automatisation dans le processus de mise à jour des systèmes informatiques dans les entreprises est devenu l'une des principales raisons de l'adoption généralisée de WannaCry.
3. La difficulté de prioriser les mises à jour. Selon la publication CSO, une autre
raison de la lente mise à niveau des systèmes est le trop grand nombre de correctifs. Il est difficile pour les professionnels de la sécurité de prioriser et de décider lesquels doivent être définis avant les autres. Même dans le cas de Spectre et Meltdown, les experts ont
exprimé des opinions opposées: certains experts ont suggéré d'attendre, tandis que d'autres étaient pressés d'installer des correctifs plus rapidement.
La situation est compliquée par la lente reconstitution des bases de données présentant des vulnérabilités. En août de cette année, plus de 3 000 menaces provenant de celles détectées de janvier à juin 2018
n'étaient pas tombées dans les bases de données CVE et NVD. Près de la moitié d'entre elles ont reçu la cote de danger la plus élevée pour CVSSv2.
4. La complexité de l'installation. Barkly a mené une enquête sur l'installation des mises à jour Meltdown et Spectre auprès des professionnels de la sécurité. 80% des personnes interrogées ont
estimé que le processus d'installation de correctifs pour supprimer les vulnérabilités des puces Intel n'était pas clair.
«Lorsque Meltdown et Spectre sont apparus, il n'y avait aucun utilitaire de test pratique pour identifier ces vulnérabilités. Au fil du temps, les utilitaires ont commencé à apparaître, mais il était impossible de garantir leur fiabilité, explique Sergey Belkin, chef du département de développement 1cloud . - Plus tard, Microsoft a proposé une méthode de vérification, mais c'était assez compliqué. Cependant, il y avait ensuite des solutions (en particulier pour un certain nombre de distributions Linux ) qui permettaient de savoir si Meltdown et Spectre étaient affectés ou non par une seule commande dans la console. »
Comment augmenter la vitesse des mises à jour
1. Automatisez l'installation des correctifs. L'automatisation du processus de mise à niveau simplifie la tâche des administrateurs et des utilisateurs finaux. Le système lui-même télécharge des correctifs sur Internet et l'administrateur système doit suivre le processus d'installation. Ceci est particulièrement important pour les fournisseurs de cloud, car ils exécutent un grand nombre de "machines".
Il existe des outils (tels que HPE Server Automation) qui mettent à jour de manière centralisée les systèmes d'exploitation sur les serveurs du centre de données. Ils vous permettent de sélectionner les correctifs nécessaires proposés par le fournisseur du système d'exploitation. Même avec leur aide, vous pouvez configurer le processus d'installation lui-même, par exemple, pour exclure les mises à jour qui ne conviennent pas à un environnement particulier.
2. Former les employés. Les personnes jouent un rôle important pour garantir la sécurité des données. Par conséquent, il est nécessaire de sensibiliser les informaticiens et les employés ordinaires de l'entreprise, d'investir de l'argent et du temps, au moins dans les cours de cyber-hygiène de base.
/ Flickr / kelly / ccEn général, diverses méthodes peuvent être utilisées pour mieux se renseigner sur la sécurité des données, comme la gamification. PricewaterhouseCoopers Australia
joue le jeu Game of Threats parmi ses clients lorsque des équipes de «hackers» et de «défenseurs du système» s'affrontent dans un simulateur spécial.
3. Investissez davantage dans la cybersécurité. Selon Gartner, en 2018, les dépenses des organisations en matière de cybersécurité
augmenteront de 12,4% par rapport à l'année dernière. Les entreprises
dépenseront davantage pour l'automatisation des processus et les nouvelles technologies de protection des données afin que les experts en sécurité de l'information puissent travailler plus efficacement.
Et ensuite
L'installation lente des mises à jour de sécurité est un problème système. Et, probablement, cela entraînera des «désagréments» pendant assez longtemps, en particulier à la lumière de la découverte de nouvelles vulnérabilités majeures dans les processeurs, comme
Foreshadow . Cependant, si plus d'entreprises commencent à installer rapidement des correctifs, cela affectera positivement l'ensemble de l'écosystème et réduira considérablement le nombre de fuites de données personnelles. Comme celui qui s'est produit avec Equifax.
Quelques autres articles du blog d'entreprise de 1cloud: