Quelle est votre fenetre d exposition aux risques

Maintenance de serveurs vulnérables 1

difficulté de la gestion des patchs Les administrateurs système, également appelés « administrateurs de la sécurité ou des serveurs », sont chargés de gérer la confidentialité, l'intégrité et la disponibilité générales des serveurs de l'entreprise. La virtualisation et l'adoption croissante de diverses technologies de cloud computing augmentent le niveau de complexité. Alors que la responsabilité de protéger et de défendre les actifs de l'entreprise incombe à une équipe informatique différente, les actions ou inactions des administrateurs système ont un impact significatif sur la sécurité de l'entreprise, ce qui est susceptible de créer un conflit interne.

Malgré des informations claires sur les effets des failles dans la sécurité des données, certains administrateurs préfèrent ne pas appliquer de patchs à leurs serveurs ou points finaux, ou ne peuvent tout simplement pas le faire. Les entreprises savent que des attaques peuvent être lancées à tout moment contre leurs réseaux. Alors, pourquoi les administrateurs gardent-ils des systèmes vulnérables ?

Figure 1. top des faillescOntinuité des activités. Pour les systèmes stratégiques qui requièrent une disponibilité de 100 %, les redémarrages requis pour les mises à jour peuvent peser sur l’activité commerciale. Cela incite les administrateurs à retarder le patching.

assurance Qualité. Les tests des patchs peuvent prendre de quelques minutes à un mois, en particulier s'ils identifient des failles sur des centaines de configurations système différentes. Les environnements virtualisés et les applications basées sur le cloud peuvent représenter des défis supplémentaires.

rétrOGradatiOns et retards intentiOnnels. Les adminis-trateurs sont susceptibles de retarder le déploiement de patchs instables ou à l'origine de comportements inattendus, en particulier si la reprise sur sinistre est fastidieuse et chronophage.

PatcHs d'urGence (nOn PrOGraMMés). Les mises à jour non planifiées peuvent se produire à des moments inopportuns, lorsque les administrateurs se consacrent à des projets à priorité élevée, sont dans l'incapacité de mettre des actifs stratégiques hors ligne ou sont en congés, à l'instar de la mise à jour de Microsoft le 29 décembre 2011.

indisPOnibilité des PatcHs. Le développement des patchs peut prendre des jours, des semaines, voire des années aux fournisseurs. Il se peut que des fournisseurs ou développeurs ne prennent plus en charge les systèmes hérités comme certaines versions de Windows 2000 et Windows Server 2003 qui ne sont plus prises en charge par Microsoft.

Les administrateurs système doivent prendre des décisions difficiles qui peuvent mettre en danger leurs data centers et réseaux. Les systèmes d'exploitation des serveurs notamment, organes vitaux des data centers efficaces, ne sont pas exempts de failles. La Figure 1 montre les systèmes d'exploitation des serveurs les plus vulnérables selon la base de données des failles et expositions les plus courantes (CVE) et le pourcentage de gravité des failles connues pour chacun d'entre eux.

Classement des produits avec le plus grand nombre de failles

Solaris 6ème

Windows Server 2008 18ème

Windows Server 2003 25ème

Suse Linux 32ème

Redhat Enterprise Linux 40ème

Gravité des failles par système d'exploitation (%)

« Il y a tellement de systèmes non protégés par des patchs... [qu']il est plus facile d'utiliser une faille connue pour cibler une base d’utilisateurs suffisamment grande. »

—Raimund Genes,« Zero-Day Vulnerabilities Risk Overblown »

Élevée Moyenne Faible

Source : CVE « Top 50 vendors »

100 %

80 %

60 %

40 %

20 %

0 %

Note sur la sécurité du cloud

Maintenance de serveurs vulnérables

QUELLE EST VOTRE FENÊTRE D’EXPOSITION AUX RISQUES ?


risques engendrés par des serveurs vulnérables

PrOGraMMes Malveillants Perturbateurs

DOWNAD, également connu sous le nom de « Conficker », a causé de graves ralentis-sements du trafic LAN sur les réseaux infectés. Cet effet dépend des variantes et des routines de DOWNAD, mais il est à noter que l'infection aurait pu être facilement évitée.

Figure 2. impact de dOWnad sur le trafic réseau

Trafic réseau normal

Trafic réseau sur un réseau infecté par DOWNAD

Le ver DOWNAD se propage sur un réseau en exploitant la faille service Server (CVE-2008-4250), pour laquelle un patch est disponible depuis 2008. Cependant, les données de Trend Micro™ Smart Protection Network™ pour décembre 2011 montrent que DOWNAD reste un programme malveillant courant sur les serveurs sous Windows. Il est détecté plus spécifiquement dans les entreprises appartenant aux secteurs bancaire et financier, des assurances et de la santé.

Les vers OTORUN, appelés ainsi en raison de leur propension à se propager par le biais de lecteurs amovibles, figurent également sur la liste des programmes qui infectent couramment les réseaux. Une variante particulière de ce ver, par exemple, exploite la faille LNK qui peut provoquer l'exécution de code logiciel à distance. Des traces de ces vers ont été trouvées dans des entreprises du secteur des télécommunications et de l’industrie.

cYbercriMe, viOlatiOn de dOnnées et attaQues ciblées

Attaques d'ingénierie sociale/côté client

Dans notre rapport de sécurité annuel, nous avons observé en 2011 que les tentatives de piratage étaient ciblées, originales et bien maîtrisées. En outre, les cybercriminels trouvent les failles de type « zero-day » onéreuses. Il est donc plus facile et moins cher pour eux d'utiliser des failles déjà connues à partir du moment où ils utilisent des tactiques d'ingénierie sociale efficaces.

Les formes d'exploitation les plus connues pour ce genre d'attaques tirent parti de failles au niveau des systèmes d'exploitation et des applications. Par exemple, en décembre 2011, Trend Micro a analysé un PDF joint à un message électronique. Le PDF se présentait comme un sondage de satisfaction des employés, mais il exploitait la faille CVE-2011-2462 qui installait un backdoor.

Attaques côté serveur

Les applications Internet et de serveur Internet contiennent des failles qui permettent aux cybercriminels d'accéder à certaines parties confidentielles des serveurs des entreprises. Les attaques côté serveur, tout comme les attaques de type cross-site scripting, les injections SQL et autres, tirent parti de failles pouvant être utilisées pour infiltrer les ressources d’entreprises. Par exemple, les cybercriminels utilisent des failles trouvées dans Apache HTTP Server (CVE-2011-3192) pour réaliser des attaques de déni de service qui ne requièrent pas un trafic important pour paralyser les sites.

Pertes FinanciÈres

Les entreprises s'exposent à des pertes d'informations confidentielles (secrets de fabrication, bases de données clients) qui sont revendues sur des forums clandestins ou utilisées pour des attaques ultérieures plus dévastatrices. De plus, ces victimes doivent consacrer des ressources, en temps et en argent, pour faire face aux conséquences des intrusions. Elles doivent ensuite reconstruire leur image de marque.

« Il faut prendre en compte le coût d'information des victimes, des poursuites judiciaires, de mise en œuvre de nouvelles mesures de sécurité et de marketing sur le long terme pour restaurer sa réputation : certaines entreprises ne s'en remettent jamais. »

—Procureur McKenna au sujet de la faille de

sécurité TJX, 2009


virtual Patching

La lutte contre l'exploitation des failles de sécurité, également appelée « protection virtuelle », est une stratégie de sécurité ou de gestion des patchs qui peut protéger les systèmes d'exploitation, les applications et les points finaux contre les attaques qui tirent parti des failles de sécurité logicielles.

Le principe du Virtual Patching est de déterminer comment une vulnérabilité peut être exploitée. Après cette analyse, un « patch virtuel » peut être mis en oeuvre. Ce dernier permet de comble la vulnérabilité en interceptant le trafic qui aura été identifié comme illégitime lors de l’analyse préalable.

Plutôt que d'altérer immédiatement un programme vulnérable, la lutte contre l'exploitation des failles de sécurité permet aux administrateurs système d'analyser les écarts entre un trafic normal et un trafic suspect, dans le but d'empêcher efficacement toute exploitation des failles. Avec cette méthode, les administrateurs n'ont pas besoin d'arrêter les systèmes. Cela minimalise les temps d'arrêt et leur permet d'appliquer des patchs d'urgence à la volée : ils peuvent ainsi suivre le calendrier normal d'application des patchs.

Des solutions de lutte contre l'exploitation des failles comme Deep Security et OfficeScan avec le plug-in Intrusion Defense Firewall (IDF) offrent la protection nécessaire pour minimaliser les périodes de vulnérabilité.

Figure 4. diagramme des risques de sécurité : points d'entrée des formes d'exploitation

Figure 3. scénarios de fenêtre d'exposition

Démonstration de faisabilité

détectée

Patch publié par le

fournisseur


fournisseur


fournisseur

Déploiement du patch en entreprise



serveur de base de données

commutateur routeur Pare-feu Point d'entrée

Test du patch

Test du patch

Forme d'exploitation en circulation


déc

ou

vert

e d

e la

fai

lle


Lutte contre l'exploitation

des failles utilisée par les

entreprises

Apparition de menaces « zero-day »

Apparition de formes d'exploitation sur les

anciens systèmes

téléchargement involontaire à partir d'un site malveillant

lecteurs amovibles infectés

(usb, disques externes)

injection sQl, Xss

internet

Fichier infecté sur partage réseau

spam contenant des programmes malveillants

© 2012 by Trend Micro, Incorporated. Tous droits réservés. Trend Micro et le logo Trend Micro t-ball sont des marques ou des marques déposées de Trend Micro, Incorporated. Tous les autres noms de produit ou de société sont des marques ou des marques déposées de leurs propriétaires respectifs.

TRENDLABSSM

TrendLabs est un centre multinational dédié à la recherche, au développement et à l'assistance. Présent dans de nombreuses régions et opérationnel 24h/24 et 7j/7, il est chargé de surveiller les menaces, de prévenir les attaques et de fournir des solutions rapides et efficaces. Grâce à plus de 1 000 spécialistes des menaces et ingénieurs spécialisés qui se relaient en permanence dans des laboratoires situés dans le monde entier, TrendLabs permet à Trend Micro de : surveiller en permanence l’évolution des menaces à travers le monde ; fournir des données en temps réel afin de détecter, de prévenir et d’éliminer les menaces ; rechercher et analyser des technologies de lutte contre de nouvelles menaces ; réagir en temps réel face aux menaces ciblées ; aider les clients du monde entier à limiter les dommages, réduire les coûts et garantir la continuité des activités.

TREND MICRO™

Trend Micro Incorporated (TYO : 4704 ; TSE : 4704), leader international de la sécurité Internet, crée un monde sécurisé pour l'échange d'informations numériques grâce à ses solutions de sécurité de contenu Internet et de gestion des menaces destinées aux entreprises et aux particuliers. En tant que société pionnière dans la sécurité de serveur avec plus de 20 ans d'expérience, nous fournissons une sécurité de client, de serveur et de cloud à la pointe de la technologie de manière à répondre aux besoins de nos clients et de nos partenaires, à bloquer plus rapidement les nouvelles menaces et à protéger les données dans des environnements physiques, virtuels et de cloud. Bénéficiant de notre infrastructure de sécurité du cloud computing Trend Micro™ Smart Protection Network™ à la pointe du secteur, nos produits et services stoppent les menaces là où elles émergent : sur Internet. Ils bénéficient d'une assistance fournie par plus de 1 000 experts répartis dans le monde entier, spécialisés dans le renseignement sur les menaces.

Technology

Quelle est votre fenetre d exposition aux risques