Au-delà des CVE : la clé pour atténuer les risques de sécurité élevés

En 2022, le National Institute of Standards and Technology a rapporté plus de 23,000 XNUMX nouvelles vulnérabilités, le pic le plus important jamais enregistré au cours d’une année civile. Il est alarmant de constater que cette tendance à la hausse devrait se poursuivre, des recherches récentes suggérant que nous pourrions voir plus de 1,900 XNUMX nouvelles vulnérabilités et expositions courantes (CVE) par mois en moyenne cette année, dont 270 de gravité élevée et 155 de gravité critique.

Alors que les RSSI et les équipes de sécurité sont aux prises avec des budgets de sécurité réduits et une pénurie perpétuelle de cyber-talents, corriger chaque année ce véritable raz-de-marée de nouvelles vulnérabilités est tout simplement une tâche inaccessible et ridicule.

Sur les centaines de milliers de CVE enregistrés, seuls 2 à 7 % sont déjà exploités à l’état sauvage. Ainsi, des correctifs irréfléchis sont rarement une activité fructueuse. Avec des surfaces d’attaque élargies, le paysage des menaces n’est plus aussi cloisonné qu’on le pense souvent. Les attaquants n’attaquent pas une vulnérabilité individuelle car ils ne conduisent presque jamais à des actifs critiques. Dans la plupart des cas, les vulnérabilités ne sont pas synonymes d’exposition et ne sont pas suffisamment gratifiantes pour un attaquant cherchant à pénétrer dans les systèmes organisationnels.

Au lieu de se concentrer sur les vulnérabilités, les acteurs malveillants exploitent une combinaison d’expositions, telles que les informations d’identification et les erreurs de configuration, pour attaquer discrètement les actifs critiques et voler les données de l’entreprise. Explorons quelques-unes de ces expositions importantes, et souvent négligées, dont les organisations devraient se préoccuper le plus.

L'environnement abandonné : sur site

Même si nous ne pouvons pas discréditer la nécessité de protections robustes dans le cloud, sa domination au cours de la dernière décennie a conduit de nombreuses personnes à négliger leur investissement dans la mise en place de contrôles sur site efficaces et agiles. Ne vous y trompez pas, les acteurs malveillants continuent d’exploiter activement les expositions sur site pour accéder aux actifs et aux systèmes critiques, même s’ils se trouvent dans des environnements cloud.

Plus tôt cette année, Microsoft a exhorté les utilisateurs à sécuriser leurs serveurs Exchange sur site en réponse à plusieurs cas où des failles de sécurité dans le logiciel ont été utilisées pour pirater des systèmes. Avec toute l’attention portée à la sécurité du cloud, de nombreuses organisations sont devenues aveugles à la surface d’attaque hybride et à la manière dont les attaquants peuvent se déplacer entre les deux environnements.

Identités trop permissives, accès privilégié

Dans un souci de commodité, les utilisateurs du cloud, les comptes de rôles et de services continuent d'accorder des autorisations excessives. Cela peut rendre les choses plus faciles à gérer et éviter d'avoir à faire face à des employés qui demandent constamment l'accès à divers environnements, mais cela permet également aux attaquants d'étendre leur présence et leurs chemins d'attaque après avoir réussi à franchir la première couche de défense.

Il faut trouver un équilibre car à l’heure actuelle, de nombreuses organisations manquent de gouvernance solide en matière d’identité, ce qui entraîne un accès excessif à ceux qui n’ont pas besoin de telles capacités pour accomplir leurs tâches.

Même si la sécurisation des identités est très complexe dans les environnements hybrides et multicloud, le fait de fonctionner selon la philosophie selon laquelle chaque utilisateur est un utilisateur privilégié rend la propagation latérale beaucoup plus difficile à arrêter. Cela pourrait aussi faire la différence entre une attaque mineure et un projet de plusieurs semaines pour tenter de contenir les dégâts. Nos recherches récentes ont montré que 73 % des principales techniques d'attaque impliquent des informations d'identification mal gérées ou volées.

Le problème humain

N’oublions pas l’une des erreurs les plus courantes, mais néanmoins préjudiciables : le déploiement et l’utilisation inappropriés des contrôles de sécurité. Vous faites l’investissement, mais vous devez également vous assurer d’en récolter les bénéfices. Bien qu'il s'agisse d'un problème largement médiatisé, erreurs de configuration du contrôle de sécurité sont encore très répandus. Bien qu'aucune solution de détection et de réponse aux menaces ou de point de terminaison ne soit à l'épreuve des balles, nombre d'entre elles sont également mal configurées, non déployées dans l'ensemble de l'environnement ou inactives même lorsqu'elles sont déployées.

Nous opérons dans un monde d’hypervisibilité, où la lassitude en matière de diagnostic est répandue et les équipes de sécurité sont inondées de trop nombreuses vulnérabilités bénignes et sans rapport. Les RSSI et les équipes de sécurité semblent vouloir tout voir. Mais des listes épuisantes d’expositions et de faiblesses techniques priorisées sur la base du CVSS ou d’autres mécanismes de notation ne rendent pas leurs organisations plus sûres. La clé est de voir ce qui est important et de ne pas perdre l’essentiel dans la mer du bienveillant.

Au lieu d'essayer de réparer peut, les organisations doivent s’efforcer d’identifier leurs points d’étranglement, les zones où les expositions convergent généralement vers une trajectoire d’attaque. Cela nécessite une évaluation diligente de votre paysage d’exposition et une compréhension de la manière dont les attaquants peuvent naviguer dans votre environnement pour atteindre les actifs critiques. Une fois ces points d’étranglement identifiés et corrigés, les autres expositions ne seront plus pertinentes, ce qui permettra non seulement d’économiser énormément de temps, mais potentiellement également de compromettre la santé mentale de votre équipe de sécurité.

De plus, cela peut avoir l’avantage supplémentaire de mobiliser vos équipes informatiques car cela leur donne une vision claire de l’importance de certains correctifs et elles n’ont plus l’impression de perdre leur temps.

Garder une longueur d’avance sur le paysage des menaces

Comme l’a dit un jour Henry Ford : « Si vous faites toujours ce que vous avez toujours fait, vous obtiendrez toujours ce que vous avez toujours eu. » Même si la plupart des organisations disposent de solides programmes de gestion des vulnérabilités, les vulnérabilités ne représentent qu’une petite partie du risque.

Garder une longueur d’avance sur le paysage volatil des menaces nécessite des mécanismes continus de gestion des expositions. Comprendre quelles expositions présentent le plus de risques pour votre organisation et vos actifs critiques – et comment un attaquant peut exploiter ces expositions sur une voie d'attaque – contribuera considérablement à combler les lacunes et à améliorer la posture de sécurité globale.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
• Frapper l'avenir avec Adryenn Ashley. Accéder ici.
• La source: https://www.darkreading.com/vulnerabilities-threats/beyond-cves-the-key-to-mitigating-high-risk-security-exposures