Par Chris Van Den Abeele, Global Solution Architect, Datacenter et Cloud Security, Trend Micro.

Les mises à jour sont un processus pénible qui prend beaucoup de temps, entraîne des risques et provoque des périodes d’indisponibilité. Les mises à jour virtuelles sont pour le moins tout aussi sécurisantes, plus rapides et exemptes de complications. Des mises à jour physiques demeurent nécessaires mais le mieux est de choisir l’option virtuelle pour les dangers les plus pressants.
 

N’importe quel administrateur IT entretient une relation amour-haine avec les mises à jour logicielles. D’un côté, les correctifs de sécurité vous protègent contre les hackers qui adorent s’emparer des données de votre entrepris. D’un autre côté, les mises à jour provoquent toute une série de nouveaux problèmes. La compatibilité avec des logiciels existants et critiques peut soudain se volatiliser ; il faut immanquablement faire face à des périodes d’indisponibilité ; et, s’il s’avère qu’un correctif fait plus de mal que de bien, il est quasiment impossible d’annuler les modifications effectuées.

La situation devient véritablement dramatique lorsque des chercheurs rendent une faille de type Zero Day publique. La panique nous saisit alors et nous courons dans tous les sens. Qui peut colmater la fuite? Quand pourra-t-on tester le correctif? Est-il même possible de procéder rapidement à une opération de maintenance? Quels sont les systèmes et applications qui sont en péril?

Vous êtes du genre rapide si vous réussissez, en l’espace de quelques jours, à déployer une mise à jour pour une faille critique touchant votre entreprise. Hélas, même un “patcher” rapide arrive généralement trop tard: dès qu’une faille Zero Day est connue, les hackers sont à la curée. Aussi longtemps que la porte dérobée restera ouverte, la question ne sera pas de savoir si vous serez piraté mais combien de fois. Pendant les cinq jours qui ont suivi la divulgation de la faille ShellShock, j’ai ainsi vu une entreprise être victime de pas moins de 766 attaques qui utilisaient cette nouvelle vulnérabilité.

 

Mises à jour virtuelles

Heureusement pour elle, cette société était protégée, même sans avoir pour cela installé une mise à jour logicielle. Dans le secteur, la solution est connue sous le nom de “virtual patching”, même si, à mon sens, il serait plus judicieux de parler de “vulnerability shielding”. Un correctif virtuel effectue son travail dans un petit cocon tissé autour de l’application ou du serveur vulnérable. Le trafic réseau est analysé minutieusement au départ de ce cocon. Il n’est peut-être pas possible d’éliminer immédiatement une vulnérabilité mais il est par contre possible d’étudier la manière dont les hackers l’exploitent. Une attaque laisse en effet une sorte de signature numérique dans le trafic réseau. Le correctif virtuel utilise cette signature afin d’identifier des attaques similaires et de les bloquer avant qu’elles ne puissent tirer parti de la faille récemment découverte.

Imaginez que la porte d’entrée de votre maison ne ferme plus à clé et que le serrurier ne puisse libérer du temps pour vous aider que dans quelques semaines. Qu’un voleur se présente devant votre porte et il pourra s’introduire subrepticement chez vous. Par contre, si vous installez une grande clôture autour de votre domicile et si vous engagez un garde pour tenir à l’oeil tous ceux qui tenteraient d’atteindre votre porte, le fait que votre serrure soit cassée perd soudain beaucoup de sa criticité. Le “virtual patching” est la version numérique d’une telle clôture avec garde.

Un correctif virtuel ne résout donc pas immédiatement une faille de sécurité mais ajoute une couche de protection supplémentaire. Cela a pour effet de procurer de nouvelles possibilités. Il vous est par exemple possible d’automatiser le processus de correction virtuelle. Ajoutez-y une analyse quotidienne de votre infrastructure IT pour dépister de nouvelles vulnérabilités. Lorsque l’exercice de scan révèle des problèmes, vous pouvez les résoudre immédiatement en appliquant les règles de détection. Aucune période d’indisponibilité n’est à signaler dans la mesure où l’application ou le serveur vulnérable ne doit pas être déconnecté(e).

 

Une faille Zero Day? Pas de souci

Dans un scénario idéal, votre système de correctif virtuel est couplé à une base de données de vulnérabilités totalement à jour. Les chercheurs de la Zero Day Initiative consacrent par exemple tout leur temps à la détection de nouvelles failles Zero Day. S’ils découvrent une faille, ils octroient naturellement quelques semaines au fournisseur pour la colmater. Ce n’est qu’à l’issue de ce délai qu’ils rendent leur découverte publique. Si le fournisseur de votre solution de protection “virtual patch” est membre de la Zero Day Initiative, vous recevez les nouvelles règles de détection de failles Zero Day avant que ces dernières ne soient rendues publiques. Votre environnement IT est ainsi protégé avant que la menace ne se matérialise.

Comme c’est le cas avec des correctifs logiciels, il est bien sûr possible que, dans des situations exceptionnelles, la détection de trafic génère des faux positifs. Peut-être une appli arrête-t-elle soudain de fonctionner correctement parce que le trafic réseau habituel est bloqué. Si la méthode est celle d’un correctif logiciel, vous vous retrouvez alors dans la panade. Avec des correctifs virtuels, vous recevez une alerte qui indique quelle règle a provoqué le blocage. Quelques clics de souris suffisent alors pour passer la règle en mode “detect only” de telle sorte que les processus opérationnels critiques ne soient pas mis en péril.

 

Gagnant-gagnant

Un cycle de correctif classique inclut un instant T mensuel, au cours duquel les mises à jour de sécurité (“critical patches”) sont effectuées (par exemple, le Patch Tuesday chez Microsoft), et en une opération de maintenance semestrielle, pour l’implémentation des grandes mises à niveau fonctionnelles. Avec une solution de correctif virtuel automatisé, les hackers ont l’impression que vos ordinateurs et serveurs bénéficient quasiment en continu des mises à jour les plus récentes.

Cela a d’une part pour effet de ramener la “fenêtre d’opportunité” du hacker d’un ou plusieurs mois à quelques jours ou heures, ce qui renforce considérablement votre “posture de sécurité” (ou degré de protection). D’autre part, dans la mesure où ce système peut parfaitement être automatisé, vous économisez également des coûts opérationnels. Conclusion: moins de travail, plus de protection… une situation gagnant-gagnant, en d’autres termes!


Publié le 16 mai 2018