Après la publication d’une nouvelle CVE (vulnérabilités et expositions communes), les cybercriminels commencent souvent à rechercher sur Internet des systèmes pouvant être exploités en moins d’une heure. Cependant, que se passe-t-il si les développeurs du logiciel vulnérable ne publient pas rapidement les correctifs ? Cela soulève la question du temps dont disposent les organisations qui utilisent des logiciels potentiellement vulnérables pour améliorer leur sécurité et de la meilleure façon de résoudre le problème.
Les pirates effectuent des analyses actives des adresses IP pour identifier les services vulnérables lors de la phase initiale de collecte de renseignements (basée sur la matrice MITRE ATT&CK). Là encore, selon des estimations d’experts, cela peut être observé quelques minutes après la publication de la CVE.
Mais après avoir identifié les systèmes vulnérables, les cybercriminels ont encore besoin de temps pour développer eux-mêmes un exploit ou attendre qu’il apparaisse sur des sites Web sombres spécialisés. Pour les vulnérabilités très médiatisées mais simples, les pirates peuvent préparer des instructions et un ensemble de commandes pour développer des vecteurs d’attaque en quelques heures.
L’exploit sera-t-il disponible pour un large éventail d’attaquants ? L’exploit sera-t-il gratuit ? Au début, généralement pas. Cela peut prendre plusieurs jours avant que l’exploitation massive de la vulnérabilité ne commence. Il faut plusieurs heures pour préparer un exploit. Dans le même temps, cela peut prendre des semaines, des mois et, dans les cas complexes, voire des années, aux fabricants de logiciels vulnérables pour publier des correctifs. Selon les rapports, moins de la moitié de toutes les vulnérabilités identifiées et soumises aux fournisseurs sont corrigées dans un délai raisonnable. En moyenne, il faut 246 jours pour corriger les vulnérabilités de haute gravité.
La difficulté d’une tâche affecte la vitesse
Si un attaquant cherche simplement à violer un point de terminaison ou à y accéder, ou à exécuter un crypto-mineur, il peut alors se débrouiller avec un seul exploit. Une cyberattaque qui aurait des conséquences importantes pour la cible nécessiterait un investissement plus important en temps, en ressources et en efforts de la part des auteurs. Il faudra beaucoup de temps à un attaquant pour franchir le périmètre du réseau, obtenir un accès initial, élever les privilèges, accéder aux segments clés du réseau et aux serveurs cibles, collecter des données supplémentaires et enfin mettre en œuvre des événements inacceptables. Peu de groupes criminels peuvent le faire rapidement et efficacement. Certaines des tâches ne peuvent être effectuées que par des attaquants hautement « professionnels » qui proposent leurs services à des groupes spécialisés. Tout cela prend du temps et allonge la chaîne d’attaque. En conséquence, l’attaque peut prendre non pas 15 minutes mais plusieurs semaines pour les cybercriminels.
Rendre la vie plus difficile aux hackers
Il est crucial de rendre le travail d’un cybercriminel aussi difficile que possible, c’est-à-dire de rendre la mise en œuvre d’une attaque potentielle non rentable en termes de ressources dépensées. Pour ce faire, vous pouvez effectuer les mesures tactiques suivantes :
- D’abord, identifiez vos propres événements inacceptables.
- Identifiez les processus métier clés et les systèmes cibles que ces événements inacceptables peuvent influencer.
- Enfin, divisez le réseau en segments.
- Quatrièmement, améliorez le niveau de sécurité de base en renforçant les paramètres des systèmes cibles.
- Inventorier régulièrement les actifs. Gardez un œil sur le périmètre du réseau et les zones critiques du réseau pour tout nouveau nœud ou service, et faites attention à toute modification des paramètres.
- Prenez soin de la surveillance de la sécurité et des mesures de réponse aux incidents, y compris la récupération des distracteurs. Les auteurs de rançongiciels n’aiment pas du tout que des données cryptées soient restaurées à partir de sauvegardes.
- Utilisez des tests d’intrusion et des cyber-exercices pour tester les défenses de votre système et fournir une formation avancée à l’équipe de sécurité de l’information.
- Améliorer les habitudes de sécurité des employés.
En avance sur la courbe
Les attaquants sont pressés de publier des exploits, ce qui signifie qu’il est important d’agir de manière proactive :
- Analysez les cybermenaces et surveillez l’actualité des nouvelles vulnérabilités. Utilisez l’expertise des fournisseurs de sécurité pour hiérarchiser et gérer les vulnérabilités.
- Si de nouvelles vulnérabilités pertinentes pour l’infrastructure sont découvertes, analyser la possibilité de détecter les faits de leur exploitation par des signes indirects dans le réseau ou sur les endpoints et lister les résultats obtenus dans les règles de détection des menaces.
- Détectez les anomalies du réseau à l’aide de solutions spécialisées telles que NTA et XDR.
- Surveillez les incidents avec les solutions SIEM en utilisant les règles de détection appropriées.
- Répondre selon des procédures strictes dans un délai clairement défini.
Où chercher de l’aide ?
Lors de la mise en œuvre de mesures de sécurité, il convient de tenir compte du fait qu’un attaquant exploitera une vulnérabilité plus rapidement qu’elle ne peut être corrigée, et une mise à jour du fabricant du logiciel apparaîtra. La défense en profondeur, la segmentation du réseau et le renforcement du système constituent des ensembles de mesures minimes mais insuffisants. L’analyse des cybermenaces et l’élaboration de règles pour leur détection nécessitent des compétences uniques que peu d’entreprises possèdent. Il est difficile de gérer la protection des systèmes cibles uniquement dans de telles conditions.
On pense généralement qu’avec le temps, les outils et les techniques disponibles pour les pirates ont tendance à devenir plus sophistiqués et efficaces. Dans le même temps, les outils et techniques à la disposition des défenseurs s’améliorent également, mais à un rythme plus lent. Malheureusement, cela signifie que la « course aux armements » entre les hackers et les défenseurs est en cours, et il est difficile de prédire quel côté aura le dessus à un moment donné.
Cependant, il est essentiel de noter que l’efficacité des pirates et des défenseurs dépend également de facteurs tels que les ressources dont ils disposent, les technologies et les systèmes spécifiques qu’ils ciblent ou protègent, et le niveau de sensibilisation et de formation des personnes qui les utilisent. outils. Par conséquent, il est important de se tenir au courant des dernières menaces en matière de cybersécurité et des meilleures pratiques afin de se protéger le plus efficacement possible.
L’utilisation de systèmes de gestion des vulnérabilités (VM), d’analyse de l’activité réseau (NTA), de surveillance des événements de sécurité (SIEM) et de réponse avancée (XDR) avec une expertise approfondie des développeurs peut augmenter considérablement le niveau de sensibilisation aux menaces et la sécurité réelle. Combiner l’expertise des fournisseurs de sécurité et la connaissance de votre propre infrastructure permet d’obtenir de bons résultats face aux attaques ciblées exploitant à la fois les vulnérabilités zero-day et anciennes.