Comment réussir à gérer les correctifs tout en restant sain d'esprit

La gestion des correctifs est le filtre de la fournaise du monde informatique. Vous savez que vous devez le mettre à jour et vous devez le faire régulièrement. Mais vous continuez à attendre jusqu'à ce que vous obteniez soudainement plusieurs mois de retard et que vous soyez assailli par des pirates et des logiciels malveillants. Le processus est encore aggravé par le fait que, non seulement vous disposez de très peu de temps pour gérer vos différentes tâches de correctif, mais que, pour ne rien gâcher, vous devez tester ces correctifs par rapport au logiciel et aux systèmes d'exploitation que vous avez. installé ainsi que l'autre. Et vous êtes censé faire tout cela entre un flot incessant de demandes d'utilisateurs, de priorités de gestion et le travail quotidien de maintien de votre réseau et de vos serveurs. Mais ceux qui lésinent sur les correctifs se retrouvent souvent face à une affaire de violation massive des données qui fait l’actualité nationale et conduit généralement à un échec rose. Alors, comment allez-vous patcher tout ça?

La réponse courte est que vous ne pouvez probablement pas tout régler à moins d’être assez chanceux d’avoir un personnel exceptionnellement nombreux et un directeur financier qui soit assez généreux pour payer toutes ces personnes avec tout ce que vous devez acheter. faire fonctionner un centre de données. Il existe des progiciels de surveillance du réseau qui incluent des fonctionnalités de correction, mais celles-ci ne couvrent généralement pas tout ce dont vous avez besoin pour corriger une seule boîte. Les solutions de gestion de périphériques offrent également souvent des fonctionnalités de correction, mais pour une infrastructure, même une infrastructure critique telle que des routeurs, des commutateurs et des périphériques similaires, vous pouvez vous retrouver avec plusieurs outils de correction pour des marques individuelles.

Et ne pensez pas que vous pouvez vous échapper en devenant totalement basé sur le cloud. Premièrement, presque personne n’est 100% basé sur le cloud de nos jours, vous aurez donc certainement une infrastructure de centre de données sur site. De plus, vous n'échapperez jamais à la liste sans cesse croissante de périphériques clients nécessitant des correctifs de système d'exploitation et de microprogrammes, ainsi que d'actifs locaux "intelligents" tels que des appareils photo, des périphériques NAS (stockage en réseau), des imprimantes, etc. Tout cela doit encore être mis à jour, donc le patch diable vient vous chercher quoi qu'il arrive.

Si vous êtes comme de nombreux gestionnaires, vos employés travailleront sur ce qui semble être les mises à jour les plus importantes. Vous les téléchargez, vous les testez peut-être, vous les mettez en production et vous espérez le meilleur. La manière dont vous choisissez l'importance dépend généralement de nombreux facteurs, voire de vos préférences personnelles, mais elle dépend souvent des exploits les plus menaçants. C'est peut-être la vraie vie mais ce n'est vraiment pas la meilleure façon de s'y prendre.

La plupart des tâches pressantes pour les professionnels de la cybersécurité en 2018

Prioriser, classer et numériser

Tout d’abord, vous accordez la priorité, explique Ed Bellis, cofondateur et directeur de la technologie de Kenna Security. "Il y a certains petits sous-ensembles auxquels vous devez absolument donner la priorité", a déclaré Bellis. Vous déterminez le sous-ensemble de correctifs en examinant les fonctions les plus critiques pour votre entreprise, puis les correctifs qui feront le plus de différence pour ces fonctions.

"Par exemple, le courrier électronique peut être critique, et il peut être composé de périphériques critiques", a expliqué Sean Blenkhorn, responsable de la technologie sur le terrain et vice-président de l'ingénierie des ventes internationales chez eSentire. Il a déclaré qu'il était nécessaire de décider de l'importance des différents systèmes pour votre entreprise et de vous concentrer sur ceux-ci en premier. Décomposez-les en leurs éléments "accessibles" et construisez votre stratégie à partir de là. Dans ce cas, il peut s'agir du micrologiciel du serveur, du micrologiciel de stockage, du système d'exploitation du serveur et du logiciel du serveur de messagerie, ainsi que de son logiciel anti-programme malveillant / antispam associé côté serveur, le cas échéant. Les logiciels de protection des points de terminaison orientés client ne font généralement pas partie des stratégies de correction manuelle, car ce type de logiciel se met à jour, sauf indication contraire du service informatique.

Blenkhorn a expliqué qu'une erreur commise par de nombreuses organisations consiste à exécuter d'abord un scanner de vulnérabilités. Toutefois, sans classer les systèmes les plus importants, vous pouvez vous retrouver avec des pages de résultats de vulnérabilité sans savoir quand ou si appliquer des correctifs.

"D'abord, faites le classement et ensuite le scan", a déclaré Blenkhorn. Il a déclaré que les trois scanners de vulnérabilité qu'il voit le plus souvent utilisés sont ceux de Qualys ou de Tenable, mais il note qu'il en existe plusieurs autres.

Il a déclaré que la raison pour laquelle vous classifiez vos systèmes avant le scan est pour que vous puissiez prendre une décision intelligente quant à leur priorité. Par exemple, si vous trouvez une vulnérabilité sérieuse dans un système qui est rarement utilisé ou qui ne fait rien d’important, alors il serait peut-être préférable de simplement le supprimer, ou du moins de l’éteindre jusqu’à ce que vous en ayez le temps pour le patcher.

Le rêve impossible: corrigez toutes les vulnérabilités

En effectuant d’abord la classification, vous pouvez également savoir quand une vulnérabilité doit être corrigée immédiatement, peut-être parce qu’elle est essentielle pour votre organisation et également pour le Web. Peut-être pourriez-vous aussi retarder l'application d'un correctif à un système dont les vulnérabilités ne comportent pas d'exploits, ni Internet, ni les deux. Il a ajouté qu'il est important non seulement de déterminer s'il existe une vulnérabilité, mais également s'il existe un exploit et si celui-ci est utilisé.

Dans de nombreux cas, a déclaré Blenkhorn, il n'y a pas d'exploit dans le monde réel, ce qui signifie qu'il pourrait être plus logique de se concentrer sur d'autres actions. Une façon de maîtriser les vulnérabilités consiste à consulter des rapports d'évaluation professionnelle sur la cybersécurité émanant de fournisseurs tels que Kenna Security. Ces rapports analysent diverses bases de données sur les menaces et rendent compte de leurs conclusions, en mesurant les vulnérabilités de divers facteurs en fonction de la manière dont le fournisseur du rapport a abordé le sujet.

"Notre premier rapport paru au printemps dernier", a déclaré Bellis, "nous avons examiné toutes les vulnérabilités de la base de données". Il a déclaré que leur deuxième rapport venait de paraître en janvier 2019. Selon Bellis, son analyse porte sur le fait que très peu de vulnérabilités présentent des exploits connus, ce qui signifie qu'il est plus logique de se concentrer sur ces vulnérabilités plutôt que sur des vulnérabilités être attaqué. Le rapport aide les informaticiens à effectuer cette détermination pour l'infrastructure qu'ils ont installée.

"Nous avons ventilé ces vulnérabilités par source technologique", a expliqué Bellis. Il a déclaré que les vulnérabilités les plus importantes pouvaient provenir d’Oracle pour son encombrement de base de données considérable, d’Adobe pour son client Reader répandu et en constante évolution, de Microsoft pour Microsoft Windows 10, et de fournisseurs de logiciels de même taille. Mais il a noté qu'il peut y avoir de grandes différences dans la manière dont ces vulnérabilités sont gérées.

"Il y a une énorme différence dans le taux de réhabilitation", a déclaré Bellis. "Il est devenu évident que Microsoft a rendu très facile et opérationnel la correction des vulnérabilités par les clients. Oracle et Java se situent à l'autre extrémité de cette échelle."

Prendre l'approche automatisée

Une autre approche consiste à acheter un logiciel spécial qui réduira considérablement le poids de l'analyse et de la planification de la gestion des correctifs. C'est l'approche automatisée.

"Les administrateurs informatiques ne peuvent pas manuellement conserver un compte de tous les correctifs manquants de leur réseau", a déclaré Giridhara Raam M, évangéliste de produit pour ManageEngine (une division de Zoho Corporation), lors d'un échange de courrier électronique. "Ils auraient donc besoin d'un système automatisé pour analyser le réseau, identifier les correctifs manquants, télécharger ces correctifs depuis le site du fournisseur, tester les correctifs et les déployer sur les machines ciblées à temps", at-il poursuivi. "Les administrateurs informatiques doivent être en mesure de planifier ces déploiements en dehors des heures ouvrables pour éviter les tracas des employés."

ManageEngine a des outils qui peuvent aider, à l'instar d'autres fournisseurs, notamment LogicMonitor et Microsoft. Cependant, il reste nécessaire de classer les actifs de votre réseau afin de savoir sur quelles vulnérabilités vous devez vous concentrer.

C'est la classification qui est la clé. Vous n'avez pas besoin de vous concentrer sur toutes les vulnérabilités à la fois; il vous suffit de commencer par ceux qui risquent le plus de causer des problèmes immédiatement, puis de partir de là.