L'exploitation des failles zero-day ne peut pas être évitée, mais elle peut être affrontée avec confiance. Une infrastructure informatique résiliente facilite la détection rapide et la réponse efficace aux menaces, qu'elles soient connues ou inconnues. Alors comment les organisations peuvent-elles rester opérationnelles lors d'une attaque et se rétablir rapidement, afin de réduire l'incertitude engendrée par les vulnérabilités zero-day ?
Les frustrations liées aux vulnérabilités zero-day
C'est une vérité déstabilisante : tous les systèmes d'exploitation et les applications logicielles comportent des vulnérabilités inconnues à la fois des fournisseurs et des utilisateurs. Les cybercriminels recherchent activement ces vulnérabilités, et lorsqu'ils en découvrent une, ils peuvent commencer à l'exploiter dans des attaques zero-day. En France, l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) a révélé que l’exploitation de ce type de vulnérabilités reste « une porte d’entrée de choixpour les attaquants ».
Bien que ces attaques puissent être difficiles à envisager, il n'y a aucune raison de se résigner. Les organisations doivent accepter que les attaquants prennent parfois une longueur d'avance et qu'il est difficile d'empêcher la compromission initiale. L'essentiel est de se concentrer sur le fait d’empêcher les attaquants de progresser et d'accéder à des données précieuses ou de prendre le contrôle du réseau. En d'autres termes, l'exploitation d'une vulnérabilité zero-day n'est que le début de la bataille. Pour remporter cette bataille et minimiser les dommages, les équipes de cybersécurité doivent protéger les données de manière proactive, être capables de détecter et répondre aux attaques efficacement, et se rétablir rapidement.
Protéger les données
La première étape pour réduire le risque des menaces zero-day est de minimiser la surface d'attaque. Dans cette quête, la configuration des contrôles d'accès, la désactivation des services inutiles, la mise en œuvre d'un processus de gestion des correctifs et la segmentation du réseau pour isoler les systèmes critiques et les données sensibles font partie des principales mesures à appliquer.Une autre manière efficace de réduire la marge de manœuvre d'un attaquant est d'appliquer le principe du moindre privilège. Ainsi, même si un adversaire pénètre dans un système, sa capacité à se déplacer latéralement est fortement limitée car les utilisateurs n'ont que les accès nécessaires à leurs tâches. Pour renforcer leur sécurité, les organisations doivent compléter cette approche avec des privilèges élevés accordés juste-à-temps, uniquement après vérification supplémentaire et pour une période limitée. S'assurer que les comptes administrateurs sont créés temporairement et supprimés une fois la tâche terminée limite encore plus la capacité de l'attaquant à se déplacer latéralement dans le système.
Détecter et répondre
Bien que les organisations ne puissent pas anticiper le moment et le point d’entrée d'une intrusion, elles savent ce que l'attaquant veut faire. Les solutions de détection et de réponse aux menaces d'identité (ITDR) exploitent cette connaissance et se concentrent sur la détection des menaces liées à l'identité et aux contrôles d'accès, telles que les tentatives de connexion suspectes, les demandes d'accès ou les changements de privilèges. Les solutions ITDR devraient être complétées par un système de détection et de réponse des terminaux (EDR) pour identifier les menaces à ces niveaux. En travaillant de concert, l'ITDR peut déclencher des actions de réponse telles que le blocage des accès et la réinitialisation des identifiants, tandis que l'EDR assure une réponse rapide aux activités malveillantessur les terminaux.
Pour identifier quels événements sont réellement suspects et ne pas être submergées par de fausses alertes, les équipes de cybersécurité doivent distinguer les changements planifiés des changements imprévus dans le système. C'est là qu'intervient la surveillance de l'intégrité des fichiers (FIM), fournissant une alerte précoce lorsque des fichiers sont modifiés de manière inattendue, permettant ainsi une réponse rapide
aux véritables menaces.
Se rétablir rapidement
Il est également crucial d'avoir une stratégie en place pour minimiser les perturbations en cas d'attaque réussie. Grâce à une solution de sauvegarde et de récupération solide, une organisation peut restaurer les données et relancer les processus rapidement. La stratégie de récupération doit inclure la sauvegarde des données et systèmes critiques, l'identification des actifs affectés lors d'un incident, la réversion des modifications indésirables et la restauration des contrôleurs de domaine. Une sauvegarde et une récupération robustes permettent ainsi de minimiser les temps d'arrêtet les pertes commerciales.
Analyse des vulnérabilités
En plus de se préparer aux vulnérabilités zero-day, chaque organisation devrait se protéger contre les menaces connues grâce à une gestion rigoureuse des correctifs. De plus, de nombreuses entreprises scannent régulièrement tous les systèmes avec un outil automatisé conçu pour identifier les vulnérabilités. Cependant, le nombre croissant de produits logiciels utilisés a rendu ce processus trop chronophage. Les solutions modernes de gestion des correctifs utilisent un processus de découverte appelé « scan-less scan », qui effectue un inventaire en temps réel des logiciels installés et signale toutes les vulnérabilités découvertes, afin que les équipes de cybersécurité puissent les corrigerdès que possible.
En effet, une sécurité bien configurée rend une organisation plus résiliente face à toute attaque, qu'il s'agisse d'un scénario connu ou d'une nouvelle vulnérabilité zero-day. En adoptant les bonnes pratiques décrites ici, elles peuvent maitriser les intrusions et minimiser les temps d'arrêt, la perte de données et autres dommages.
Par Ilia Sotnikov, Security Strategist chez Netwrix