La sécurité informatique ne se produit que lorsque les logiciels sont tenus à jour. Cela devrait être un principe de base pour les utilisateurs professionnels et les services informatiques.
Apparemment, ce n’est pas le cas. Au moins pour certains utilisateurs de Linux qui ignorent l’installation de correctifs, critiques ou autres.
Une enquête récente commanditée par TuxCareun système de support d’entreprise indépendant du fournisseur pour Linux commercial, montre que les entreprises ne parviennent pas à se protéger contre les cyberattaques même lorsque des correctifs existent.
Les résultats révèlent qu’environ 55 % des répondants ont eu un incident de cybersécurité parce qu’un correctif disponible n’a pas été appliqué. En fait, une fois qu’une vulnérabilité critique ou hautement prioritaire a été découverte, 56 % ont mis entre cinq semaines et un an en moyenne pour corriger la vulnérabilité.
L’objectif de l’étude était de comprendre comment les organisations gèrent la sécurité et la stabilité dans la suite de produits Linux. Parrainé par TuxCare, le Ponemon Institute a interrogé en mars 564 membres du personnel informatique et praticiens de la sécurité dans 16 secteurs différents aux États-Unis.
Les données des répondants montrent que les entreprises mettent trop de temps à corriger les vulnérabilités de sécurité, même lorsque des solutions existent déjà. Indépendamment de leur inaction, de nombreux répondants ont indiqué qu’ils se sentaient lourdement touchés par un large éventail de cyberattaques.
Il s’agit d’un problème réparable, a noté Igor Seletskiy, PDG et fondateur de TuxCare. Ce n’est pas parce que la solution n’existe pas. C’est plutôt parce qu’il est difficile pour les entreprises de hiérarchiser les problèmes futurs.
“Les personnes qui construisent les kits d’exploitation sont devenues vraiment, vraiment bonnes. Auparavant, 30 jours étaient la meilleure pratique [for patching]et c’est toujours une bonne pratique idéale pour de nombreuses réglementations », a déclaré le président de TuxCare, Jim Jackson, à LinuxInsider.
Principaux plats à emporter
Les résultats de l’enquête révèlent l’idée fausse selon laquelle le système d’exploitation Linux n’est pas rigoureux et infaillible sans intervention. Ainsi, les utilisateurs ignorants n’activent souvent même pas de pare-feu. Par conséquent, de nombreuses voies d’intrusion résultent de vulnérabilités qui peuvent être corrigées.
« L’application de correctifs est l’une des mesures les plus importantes qu’une organisation puisse prendre pour se protéger contre les ransomwares et autres cyberattaques », a noté Larry Ponemon, président et fondateur du Ponemon Institute.
La correction des vulnérabilités ne se limite pas seulement au noyau. Il doit s’étendre à d’autres systèmes tels que les bibliothèques, la virtualisation et les back-ends de bases de données, a-t-il ajouté.
En novembre 2020, TuxCare a lancé le premier service de support de cycle de vie étendu de la société pour CentOS 6.0. Cela a été un succès fou dès le départ, se souvient Jackson. Mais ce qui continue de le troubler, ce sont les nouveaux clients qui viennent pour un support de cycle de vie étendu et qui n’ont fait aucun correctif.
« Je pose toujours la même question. Que faites-vous depuis un an et demi ? Rien? Vous n’avez pas patché depuis un an. Réalisez-vous combien de vulnérabilités se sont accumulées pendant cette période ? » il a plaisanté.
Processus à forte intensité de main-d’œuvre
Les recherches de Ponemon avec TuxCare ont révélé les problèmes rencontrés par les organisations pour corriger les vulnérabilités en temps opportun. Et ce malgré des dépenses moyennes de 3,5 millions de dollars par an sur 1 000 heures hebdomadaires de surveillance des menaces et des vulnérabilités, de correction, de documentation et de communication des résultats, selon Ponemon.
“Pour résoudre ce problème, les DSI et les responsables de la sécurité informatique doivent travailler avec d’autres membres de l’équipe de direction et des membres du conseil d’administration pour s’assurer que les équipes de sécurité disposent des ressources et de l’expertise nécessaires pour détecter les vulnérabilités, prévenir les menaces et corriger les vulnérabilités en temps opportun”, a-t-il déclaré. a dit.
Le rapport a révélé que les entreprises des répondants qui ont appliqué des correctifs ont passé un temps considérable dans ce processus :
- Le temps le plus long passé chaque semaine à patcher des applications et des systèmes était de 340 heures.
- Les systèmes de surveillance des menaces et des vulnérabilités prenaient 280 heures par semaine.
- La documentation et/ou la création de rapports sur le processus de gestion des correctifs prenait 115 heures par semaine.
Pour le contexte, ces chiffres concernent une équipe informatique de 30 personnes et un effectif de 12 000 personnes, en moyenne, parmi les répondants.
Des excuses illimitées persistent
Jackson se souvient de nombreuses conversations avec des prospects qui répètent la même histoire sordide. Ils mentionnent l’investissement dans l’analyse des vulnérabilités. Ils consultent le rapport de vulnérabilité généré par l’analyse. Ensuite, ils se plaignent de ne pas avoir suffisamment de ressources pour affecter quelqu’un pour réparer les choses qui apparaissent sur les rapports d’analyse.
“C’est fou!” il a dit.
Un autre défi auquel les entreprises sont confrontées est le syndrome omniprésent de la taupe. Le problème devient si important que les organisations et leurs cadres supérieurs ne vont pas au-delà d’être dépassés.
Jackson a comparé la situation à essayer de sécuriser leurs maisons. De nombreux adversaires se cachent et constituent des menaces potentielles d’effraction. Nous savons qu’ils viennent chercher les choses que vous avez dans votre maison.
PUBLICITÉ
Les gens investissent donc dans une clôture élaborée autour de leur propriété et surveillent les caméras pour essayer de garder un œil sur chaque angle, chaque vecteur d’attaque possible, autour de la maison.
«Ensuite, ils laissent quelques fenêtres ouvertes et la porte arrière. Cela revient à laisser des vulnérabilités non corrigées. Si vous le corrigez, il n’est plus exploitable », a-t-il déclaré.
Alors revenez d’abord à l’essentiel, a-t-il recommandé. Assurez-vous de le faire avant de dépenser pour d’autres choses.
L’automatisation rend le patch indolore
Le problème de patching reste sérieux, selon Jackson. Peut-être que la seule chose qui s’améliore est la capacité d’appliquer l’automatisation pour gérer une grande partie de ce processus.
« Toute vulnérabilité connue que nous avons doit être atténuée dans les deux semaines. Cela a conduit les gens à l’automatisation des correctifs en direct et à d’autres choses afin que vous puissiez répondre à des dizaines de milliers de charges de travail. Vous ne pouvez pas tout commencer toutes les deux semaines. Vous avez donc besoin de technologies pour vous aider à traverser cela et l’automatiser », a-t-il expliqué comme une solution viable.
Jackson a déclaré qu’il trouvait que la situation s’améliorait. Il voit de plus en plus de personnes et d’organisations prendre conscience des outils d’automatisation.
Par exemple, l’automatisation peut appliquer des correctifs pour ouvrir les bibliothèques SSL et G et C, tandis que les services les utilisent sans avoir à rebondir les services. Désormais, les correctifs en direct de la base de données sont disponibles en version bêta, ce qui permet à TuxCare d’appliquer des correctifs de sécurité à Maria, MySQL, Mongo et à d’autres types de bases de données pendant leur exécution.
« Ainsi, vous n’avez pas à redémarrer le serveur de base de données ou l’un des clients qu’ils utilisent. Continuer à sensibiliser les gens aide certainement. Il semble que de plus en plus de gens prennent conscience et réalisent qu’ils ont besoin de ce type de solution », a déclaré Jackson.