Les vulnérabilités logicielles majeures sont une réalité, comme l’illustre le fait que Microsoft a corrigé entre 55 et 110 vulnérabilités chaque mois cette année, 7 à 17 % de ces vulnérabilités étant critiques.

May avait le moins de vulnérabilités, avec un total de 55 et seulement quatre considérées comme critiques. Le problème est que les vulnérabilités critiques sont des choses que nous voyons depuis de nombreuses années, comme l’exécution de code à distance et l’élévation des privilèges.

Microsoft n’est pas le seul grand nom à corriger régulièrement des vulnérabilités majeures : nous voyons des mises à jour de sécurité mensuelles provenant d’Apple, Adobe, Google, Cisco et d’autres.

Tout ce qui est ancien est à nouveau nouveau

Avec des vulnérabilités majeures dans tant d’applications, y a-t-il un espoir pour un avenir sûr ? La réponse est, bien sûr, oui, mais cela ne veut pas dire qu’il n’y aura pas de défis pour y parvenir.

Les vulnérabilités observées ne sont peut-être pas nouvelles pour ceux d’entre nous qui ont été se défendre contre les attaquants pendant des années, voire des décennies, mais les adversaires changent continuellement de tactique.

Il n’est pas rare qu’ils utilisent des ressources légitimes à des fins malveillantes, et il n’est pas toujours possible de prévoir cette mauvaise utilisation lors de la création d’une application.

C’est ton privilège

Avec 80% des failles de sécurité impliquant des comptes privilégiés, une vulnérabilité majeure que nous verrons de plus en plus exploitée est l’escalade de privilèges. Une tactique courante des opérateurs de ransomware et d’autres acteurs de la menace consiste à obtenir des privilèges élevés sur un système pour aider à légitimer leurs actions et accéder à des données sensibles.

Si un voleur d’informations a le même accès que l’utilisateur actuel, les chances d’exfiltrer des données sensibles sont considérablement augmentées. Pendant ce temps, l’accès administrateur garantit presque l’accès à des données juteuses.

En plus de maintenir les logiciels à jour, c’est là que les initiatives Zero Trust et la surveillance des flux de données deviennent critiques. Au minimum, Zero Trust signifie que le principe du moindre privilège doit être appliqué et que l’authentification multifacteur doit être requise partout où elle est disponible.

Essentiellement, cela garantit que quiconque n’a pas besoin d’accéder à un système ou à un fichier ne peut pas y accéder – tandis que ceux qui le font doivent prouver qu’ils sont bien qui ils prétendent être. La surveillance du flux de données peut également aider à détecter une violation dès le début, en limitant la quantité de données volées.

Télécommande

L’exécution de code à distance (RCE) ne va pas disparaître de sitôt. Ces attaques ont représenté environ 27% des attaques en 2020, contre 7% l’année précédente. Si un attaquant peut trouver un moyen d’exécuter du code arbitraire sur votre système à distance, il a beaucoup plus de contrôle qu’il ne le ferait en obligeant un utilisateur à exécuter involontairement un logiciel malveillant avec des fonctions prédéfinies.

Si l’attaquant peut exécuter du code arbitraire à distance, il a la possibilité de se déplacer dans le système et éventuellement sur le réseau, ce qui lui permet de modifier ses objectifs et ses tactiques en fonction de ce qu’il trouve.

La surveillance comportementale est l’un des meilleurs moyens de détecter le RCE sur vos systèmes. Si une application commence à exécuter des commandes et à lancer des processus qui ne font pas partie de ses comportements normaux, vous pouvez arrêter une attaque dès le début. Le fait que RCE soit si courant exige également que vous gardiez les correctifs de sécurité à jour pour arrêter bon nombre de ces attaques avant même qu’elles ne commencent.

Qui a besoin de malware de toute façon ?

Aujourd’hui, une méthode d’attaque préférée consiste à utiliser des processus légitimes et des applications de confiance pour atteindre des objectifs néfastes. Ces attaques sans fichier, ou vivant de la terre, peuvent être difficiles à détecter car le logiciel malveillant n’a pas besoin d’être installé.

L’une des applications les plus courantes à exploiter de cette manière est PowerShell. Cela est logique car PowerShell est une application puissante utilisée pour scripter et exécuter des commandes système.

Il s’agit d’un autre cas où la surveillance du comportement des applications et des processus peut être vitale pour arrêter rapidement une attaque. PowerShell a-t-il vraiment besoin de désactiver les fonctionnalités de sécurité ?

Dans la plupart des cas, probablement pas. De tels comportements peuvent être surveillés, même à partir d’applications de confiance telles que PowerShell. Combinez cette surveillance avec un apprentissage automatique et une IA avancés, et vous pouvez commencer à identifier les comportements normaux sur votre réseau, avec des réponses automatisées aux activités inhabituelles.

Allez de l’avant et répétez-vous

Bien que les types d’attaques courants ne changent pas beaucoup, toute modification apportée à l’application ou au code peut potentiellement introduire de nouvelles vulnérabilités. Cela ne signifie pas que nous devons abandonner et laisser les adversaires gagner – cela signifie que le moment est venu de redoubler d’efforts pour contrecarrer leurs tentatives.

Mettre en œuvre un stratégie de gestion des correctifs, surveiller le réseau, utiliser la détection comportementale et éviter la complaisance. Le fait que les principaux fournisseurs de logiciels corrigent régulièrement les vulnérabilités majeures est en fait une bonne chose, car les attaquants n’abandonnent pas, nous ne devrions donc pas non plus.