Gestion des vulnérabilités : phase d'évaluation

Mettez au point un processus d'évaluation mature qui identifie l'ensemble de votre surface d'attaque

La gestion des vulnérabilités est une composante clé du programme de sécurité de toute entreprise. Elle est déterminante pour la Cyber Exposure, une discipline émergente de gestion et de mesure du risque de cyber-sécurité à l'ère du digital. Un programme mature de gestion des vulnérabilités comprend les cinq étapes du cycle de vie de la Cyber Exposure.

Ce descriptif de solution porte sur la phase d'évaluation, deuxième étape de la gestion des vulnérabilités.

L'objectif Évaluer consiste à comprendre la Cyber Exposure de tous les assets, y compris leurs vulnérabilités, mauvaises configurations et autres indicateurs d'intégrité de la sécurité.

Avantages clés

• Évaluez l'ensemble de votre surface d'attaque afin d'appréhender les risques et de protéger efficacement votre entreprise.
• Effectuez un audit des mises à jour correctives et des changements de configuration pour vous assurer que les vulnérabilités et les mauvaises configurations ont bien été corrigées.
• Éclairez la gestion des incidents à l'aide d'informations sur les vulnérabilités et les mauvaises configurations afin de mieux prioriser les investigations.

Défis

L'évaluation de tous les assets est une tâche compliquée pour deux raisons principales :

• Les divers types d'assets, regroupant des assets IT traditionnels, transitoires, mobiles, dynamiques et de type OT, nécessitent souvent différentes technologies de découverte. Les scans d'évaluation actifs sont parfaitement adaptés aux assets IT traditionnels. Cependant, le cloud, les applications web, les conteneurs et les technologies opérationnelles (OT) nécessitent d'autres méthodes d'évaluation. Par exemple, vous devez utiliser la surveillance passive pour évaluer les assets OT, tels que les PLC et les RTU. Cela permet de réduire le risque que les scans actifs perturbent leur fonctionnement.

• La véracité des données. Aux yeux des propriétaires/administrateurs d'assets, rien ne génère plus de défiance envers les équipes de sécurité que des données d'évaluation inexactes. Un seul chiffre erroné et vous perdez votre crédibilité. Vous devez anticiper soigneusement la portée et la fréquence des évaluations. Vous avez besoin de technologies capables d'évaluer tous vos types d'assets sans compter deux fois un asset et/ou une vulnérabilité. Vous avez besoin d'informations d'authentification à jour pour des évaluations authentifiées approfondies, et vous devez effectuer les tests adéquats pendant l'évaluation. Enfin, vous devez fournir les informations en temps voulu.

Solution

La mise au point d'un processus d'évaluation mature permettant d'identifier l'ensemble de la surface d'attaque de votre entreprise se fait en quatre niveaux. Tenable vous accompagne à chaque étape.

Niveau 1. Évaluer les assets traditionnels sur site

Vous devez sélectionner les hôtes découverts que vous souhaitez évaluer et utiliser le modèle Nessus Basic Network Scan pour effectuer un scan des vulnérabilités interne. Les évaluations de niveau 1 supposent que Nessus ne dispose pas des informations d'authentification requises pour les scans authentifiés. Par conséquent, Nessus outrepasse automatiquement les contrôles de sécurité locaux, qui sont compris dans le modèle Basic Network Scan mais qui nécessitent des informations d'authentification.

Niveau 2. Augmenter la portée et la fréquence des évaluations

Vous devez élargir la portée de l'évaluation de sorte à inclure toutes les assets modernes à mesurer, afin de gérer efficacement toute la surface d'attaque. Tenable propose un processus d'évaluation optimisé pour les ordinateurs portables, les appareils mobiles, l'infrastructure virtuelle, le cloud, les applications web, les conteneurs et les technologies opérationnelles. Vous devrez éventuellement adopter une nouvelle approche, établir de nouvelles relations avec les équipes de développement d'applications et trouver des moyens novateurs de mettre en œuvre la sécurité tout en facilitant les processus DevOps. Une façon d'y parvenir est d'intégrer l'évaluation dans les workflows de build dès la phase de développement plutôt que d'attendre que les assets logiciels soient déployés en production.

Vous augmentez la portée des évaluations en ayant recours à des scans authentifiés et avec agent. Les scans authentifiés, également appelés scans avec informations d'authentification, utilisent ces informations pour se connecter à distance aux appareils et les examiner de l'intérieur. Étant donné que les scans authentifiés examinent les appareils de l'intérieur, ils peuvent rassembler une mine d'informations liées à la sécurité concernant les logiciels installés et les vulnérabilités. Les scans avec agent, effectués par un logiciel installé sur les appareils cibles, permettent de voir les appareils de l'intérieur et peuvent fournir des informations détaillées similaires à celles des scans authentifiés. Les agents résolvent deux problèmes courants liés aux assets transitoires. Premièrement, ils évitent que des assets qui sont déconnectés du réseau échappent aux scans. Deuxièmement, ils ne signalent qu'une seule fois un asset donné (et ses vulnérabilités), même si son adresse IP change à chaque reconnexion.

Vous devez inclure la détection des malwares dans vos évaluations. Les scans authentifiés peuvent rechercher les malwares connus dans les systèmes de fichiers. De plus, ils peuvent détecter la présence de solutions antivirus, et rendre compte de leur état et de leur fonctionnement.

Vous devez augmenter la fréquence des évaluations, d'un mode ad hoc à un intervalle régulier programmé. L'intervalle doit être au moins aussi fréquent que votre cycle de patch, ou au moins hebdomadaire.

Niveau 3. Évaluer les configurations et optimiser l'évaluation par catégorie d'assets

L'évaluation des configurations réduit la surface d'attaque d'un asset en désactivant les services inutiles, tels que FTP et RDP, en renforçant l'authentification et en sécurisant l'asset. Vous pouvez évaluer vos serveurs, vos ordinateurs de bureau, vos ordinateurs portables, vos services web, vos bases de données, votre infrastructure cloud, vos périphériques réseau et plus encore en utilisant les normes du Center for Internet Security, de la Defense Information Systems Agency et de nombreux fournisseurs. Remarque : lorsque vous évaluez pour la première fois vos assets conformément à l'une de ces normes, vous risquez de découvrir beaucoup plus de problèmes de configuration que prévu. Par conséquent, il se peut que vous deviez adapter les normes pour atténuer les exigences au départ, puis les augmenter progressivement.

Vous définirez les paramètres d'évaluation en fonction du SLA pour chaque catégorie d'assets. Les SLA de catégorie d'assets précisent la portée et la fréquence des évaluations afin de sécuriser efficacement votre surface d'attaque selon les répercussions théoriques d'une fuite de données pour vos différents services métier. Vous évaluerez ainsi les assets considérés « prioritaires » de manière plus rigoureuse que les autres catégories d'assets.

Niveau 4. Évaluer vos assets en continu et intégrer la solution à la gestion des accès privilégiés

À ce niveau, vous ajoutez l'évaluation en temps quasi réel des nouveaux assets et l'examen périodique des SLA d'évaluation. Vous pouvez également intégrer la solution aux systèmes de gestion des accès privilégiés, le cas échéant.

L'évaluation en temps réel examine immédiatement les assets qui viennent d'être détectés. La surveillance passive identifie en permanence de nombreuses nouvelles vulnérabilités et peut déclencher automatiquement un scan actif pour évaluer de manière plus approfondie l'asset détecté. Si le nouvel asset inclut un agent dans son image de build, l'agent évalue l'asset et rend compte automatiquement des résultats.

L'examen des SLA garantit que les politiques d'évaluation (portée et fréquence) continuent de convenir à chaque catégorie d'assets. Par exemple, si votre équipe de développement d'applications est responsable d'un site web qui génère des revenus et a récemment utilisé des conteneurs ou Azure, vous devez vous concerter pour mettre en œuvre une politique d'évaluation appropriée.

L'intégration de la gestion des accès privilégiés est particulièrement utile si vous modifiez fréquemment les informations d'authentification requises pour les scans authentifiés. Cette intégration communique automatiquement les informations d'authentification actuelles au scanner pour éviter les échecs de scan.

Pour en savoir plus :

Rendez-vous sur fr.tenable.com

Nous contacter :

Envoyez-nous un e-mail à l'adresse [email protected] ou rendez-vous sur fr.tenable.com/contact