La notion de temps est relative. On peut faire beaucoup de choses en 10mn, cela peut paraitre court ou long, selon ce que l’on essaye d’entreprendre.
10 mn, c’est par exemple le temps qu’il a fallu en 2021 à l’américain Joey Chestnut pour engloutir 76 hot dogs et établir ainsi un nouveau record du monde.
C’est également la durée nécessaire avec la plateforme Tanium™ pour déterminer la présence d’une vulnérabilité logicielle sur ses endpoints, appliquer les actions de remédiation, vérifier l’état des machines post-remédiation et créer un tableau de bord pour le suivi.
S’attaquer au record du monde de Hot Dogs ou éliminer une ou plusieurs vulnérabilités dans votre environnement IT : je vous laisse juge de la façon la plus profitable de mettre à profit ce laps de temps de 10mn 😊
Au-delà de la gestion des vulnérabilité… La remédiation !!!
Si l’évaluation régulière de son niveau d’exposition aux vulnérabilités constitue une activité essentielle, la correction rapide des failles de sécurité ainsi découvertes s’inscrit également dans une stratégie de cyberdéfense efficace. Pour autant, ce volet « remédiation » demeure complexe et apporte avec lui son lot de défis.
Techniquement, la remédiation d’une vulnérabilité logicielle est réalisée selon deux grands principes :
- L’application d’un correctif lorsque la vulnérabilité provient directement d’une partie du code dans le logiciel
- L’application d’une configuration spécifique lorsque la vulnérabilité provient d’une erreur de paramétrage du logiciel
En règle générale, les organisations exploitent un (ou plusieurs) scanner(s) de vulnérabilité pour auditer leur environnement, mais disposent rarement d’une solution technologique intégrée qui leur permet d’appliquer les actions de remédiation simplement et rapidement, sur un grand nombre de machines, et ce quel que soit leur emplacement (On-Prem, Cloud, en mobilité…).
La réactivité : un point clé en cas d’alerte ou de crise
Outre la capacité des solutions à remédier (en déployant un correctif ou une configuration spécifique), les équipes sécurité doivent pouvoir bénéficier de ces fonctionnalités avec un certain niveau de réactivité, notamment en cas d’alerte ou de crise. Dans la réalité, cela touche concrètement à trois aspects :
- La gestion simple des règles de remédiation : l’administrateur doit être en mesure de créer facilement et rapidement les actions de remédiation afin d’optimiser le temps de réponse.
- La capacité à appliquer rapidement : l’application de la remédiation doit pouvoir être réalisée le plus vite possible (idéalement en temps réel).
- Le contrôle de l’état post remédiation : l’administrateur doit pouvoir contrôler l’état de la remédiation appliquée afin de s’assurer que les vulnérabilités sont effectivement éliminées. Ce type de contrôle doit pouvoir être réalisé dans un délai très court (idéalement en temps réel).
Vous êtes sceptiques ?
Quoi de mieux qu’une démonstration live pour vous donner un aperçu de ce qu’il est possible de réaliser en 10mn avec la plateforme Tanium™?
Scénario : Nous travaillons pour le SOC interne d’une organisation ; nous sommes notamment en charge de la gestion des vulnérabilités, et de l’application/maintien des configurations de sécurité. Un service externe de Threat Intelligence nous alerte sur l’exploitation de la CVE-2016-2183 lors de plusieurs campagnes d’attaque récentes, ciblant des organismes œuvrant dans notre secteur d’activité. Nous avons donc pour objectif :
- De vérifier notre exposition à la CVE-2016-2183
- De déterminer les options de remédiation envisageables
- D’appliquer les actions de remédiation sur les équipements vulnérables
- De suivre l’évolution dans le temps de l’exposition et de la remédiation
…et tout cela le plus rapidement possible.
Pour cela, nous utilisons la plateforme Tanium™ Converged Endpoint Management avec les modules suivants :
- Tanium Comply: pour identifier et avoir plus de détails sur la vulnérabilité cible dans notre environnement
- Tanium Enforce: pour créer les actions de remédiation correspondantes et les appliquer rapidement
- Tanium Interact: pour vérifier en temps réel l’état de la vulnérabilité et l’application effective de la remédiation sur l’ensemble des machines connectées
- Tanium Data: pour créer un tableau de bord de suivi de la vulnérabilité CVE-2016-2183
Article rédigé par Laurent