Pourquoi la vulnérabilité Log4j rend la visibilité des terminaux et la sécurité Zero Trust plus importantes que jamais

Les organisations informatiques du monde entier sont encore sous le choc de la découverte d'une vulnérabilité de sécurité majeure dans Apache Log4jun utilitaire de journalisation open source intégré dans d'innombrables applications internes et commerciales.

En soumettant une variable soigneusement construite. string à log4j, les attaquants peuvent prendre le contrôle de toute application qui inclut log4j. Soudainement, les cybercriminels du monde entier ont un plan pour lancer des attaques sur tout, des kiosques des magasins de détail aux applications critiques dans les hôpitaux.

Si les équipes de sécurité oublient même une instance de log4j dans leur logiciel, elles donnent aux attaquants la possibilité d'émettre un système. commandes à volonté. Les attaquants peuvent utiliser ces commandes pour installer des ransomwares, exfiltrer des données, arrêter des opérations – la liste est longue.

Comment les entreprises devraient-elles réagir à cette menace omniprésente ?

Tout d'abord, les organisations ont besoin d'une meilleure visibilité sur les chaînes d'approvisionnement logicielles et les terminaux. Ils ont également besoin d'un moyen de fournir des correctifs et des mises à jour de manière rapide et complète. Enfin, ils ont besoin de contrôles de segmentation de déclenchement capillaire sur les points de terminaison, de sorte que si les attaquants pénètrent dans leur réseau via log4j ou tout autre exploit, ils peuvent rapidement isoler ces points de terminaison via la segmentation du réseau (fermeture des ports réseau) et empêcher l'attaque de se propager.[19659006]Connaissez votre code

Les organisations ont besoin d'une meilleure visibilité sur leurs chaînes d'approvisionnement logicielles. Cela signifie non seulement comprendre quelles applications ils exécutent, mais également comprendre les divers composants qui entrent dans ces applications logicielles.

Si une application logicielle du fournisseur X comprend un composant logiciel du fournisseur Y et que le logiciel du fournisseur Y comprend un composant du fournisseur Z, alors toute vulnérabilité de sécurité dans le logiciel du fournisseur Z affecte l'ensemble de la chaîne d'approvisionnement : les fournisseurs X, Y, Z et les clients des trois sociétés.

Deux cyberattaques récentes illustrent l'ampleur de ce type de vulnérabilité, qui est connue. en tant que compromission de la chaîne d'approvisionnement.

Le premier était la violation de données SolarWinds, au cours de laquelle des attaquants ont pénétré le réseau chez le fournisseur de logiciels SolarWinds et ont implanté des logiciels malveillants dans le produit de gestion de réseau Orion de l'entreprise. Ce malware a finalement donné aux attaquants l'accès aux réseaux de milliers de clients de SolarWinds, y compris des agences gouvernementales.

La deuxième attaque de compromission de la chaîne d'approvisionnement impliquait le fournisseur de logiciels Kaseya. Dans ce cas, les attaquants ont contourné les contrôles d'authentification et ont installé un ransomware dans l'un des produits de Kaseya, qui est utilisé par les fournisseurs de services gérés (MSP) pour gérer les points de terminaison distants. Le ransomware a finalement affecté 1 500 organisations, y compris les MSP Kaseya et leurs clients.

Lorsque des vulnérabilités logicielles sont découvertes, les organisations doivent pouvoir analyser leurs actifs logiciels et découvrir toute utilisation de composants compromis. Cela peut être plus délicat qu'il n'y paraît. Lorsque vous recherchez des composants logiciels plutôt que des applications complètes, vous ne pouvez pas simplement répertorier les applications installées sur un point de terminaison.

Vous devrez peut-être rechercher des noms de fichiers ou même des hachages de fichiers, ou des instructions #include dans les applications elles-mêmes. Et bien sûr, vous devez pouvoir le faire rapidement sur tous vos points de terminaison, y compris ceux situés dans des emplacements distants ou dans le cloud. Le temps compte. Vous ne disposez que de jours, voire d'heures, avant que les attaquants ne trouvent les fichiers à votre place.

Connaître vos points de terminaison

Pour analyser les logiciels sur les points de terminaison, vous devez d'abord trouver tous vos points de terminaison. Plus facile à dire qu'à faire. Une enquête récente a révélé que 94 % des organisations ont ignoré les points de terminaison sur leurs réseaux.

Vous devez savoir où se trouvent tous vos points de terminaison et quels composants logiciels sont inclus dans toutes leurs applications. , afin que vous puissiez passer à l'étape suivante – l'installation de correctifs et de mises à jour – avant que les attaquants ne profitent d'un exploit connu. ou désactivez-le le plus rapidement possible.

Avec une visibilité complète sur les versions logicielles actives sur chaque point de terminaison, vous pouvez cependant cibler vos correctifs et mises à jour. Avec un système de gestion des points de terminaison efficace, vous pouvez les installer rapidement. Et encore une fois, la précision est importante.

Certains systèmes de gestion des terminaux signalent qu'ils ont installé avec succès des correctifs alors que ce n'est pas le cas. La meilleure pratique consiste à auditer certaines de vos installations pour vous assurer que votre système fonctionne comme prévu.

Contenez les attaques instantanément

Vous n'allez pas toujours gagner cette course contre la montre avec chaque vulnérabilité dans tous les logiciels de votre organisation. Des attaques se produiront. Lorsqu'ils le font, vous devez les fermer rapidement.

Avec une solution de confiance zéro en place pour les points de terminaison, vous pouvez détecter instantanément les activités d'attaque et isoler les points de terminaison compromis du reste de votre réseau. La technologie Zero Trust limite l'accès aux terminaux aux seuls utilisateurs autorisés en segmentant le trafic réseau. Il bloque également les ports et les protocoles sur lesquels de nombreux ransomwares et autres souches de logiciels malveillants s'appuient pour se déplacer sur les réseaux.

Malheureusement, les vulnérabilités des composants logiciels comme la vulnérabilité log4j seront probablement un défi permanent pour les organisations informatiques. Mais en améliorant la visibilité sur les terminaux et les applications, en appliquant des correctifs rapidement et avec précision et en utilisant la technologie de confiance zéro pour contenir les attaques de logiciels malveillants, les entreprises peuvent minimiser les dommages causés par ces vulnérabilités.

[CTA]

Pour en savoir plus, visitez-nous ici.