Stratégie de patch management

Date : 07 Octobre 2021

La multiplication du nombre de vulnérabilités à traiter amène certains à la conclusion qu’il n’est plus possible d'appliquer les correctifs de sécurité pour toutes les vulnérabilités et sur tous les systèmes de l’entreprise. Il est alors souvent proposé de mettre en place un système RBVM (Risk-Based Vulnerability Management) afin de se concentrer sur les vulnérabilités les plus graves pour l’entreprise.

Le RBVM implique bien sûr de connaitre les assets de l’entreprise, leurs valeurs et les niveaux de risques acceptables. Cela peut nécessiter la mise en place d’un système complexe (surtout quand on le déploie sur un grand périmètre), mais on peut aussi mettre en place des systèmes simples. Cet article présente une stratégie simple de patch management que l’on pourrait qualifier de mini système RBVM.

 

Appliquer les patches partout

Il est important de noter tout d’abord que l’idée qu’il n’est pas nécessaire (ou pas possible) d’appliquer les patches partout est de notre point de vue une mauvaise idée. Il est clair que l’on n’atteindra jamais une couverture de 100% (à cause par exemple du shadow-IT et des systèmes que l’on ne peut pas mettre à jour). Par contre il est clair aussi qu’un système non patché se dégrade progressivement, au fur et à mesure que de nouvelles vulnérabilités sont découvertes, et qu’il devient de plus en plus vulnérable aux attaques.

De notre point de vue, il est donc nécessaire de réaliser régulièrement (par exemple au moins une fois par an) une application systématique de tous les patches de sécurité disponibles (quelle que soit la gravité des failles corrigées), et sur tous les systèmes. Ces campagnes de patch sont généralement faites à l’occasion des maintenances applicatives programmées qui existent déjà sur les systèmes (ce qui permet d’optimiser les activités de validation ou de qualification).  

Nota : pour les systèmes sur lesquels ce n’est pas possible (ceux qui empêchent d’atteindre la couverture 100% mentionnée ci-dessus) nous avons créé la « zone 0 » que nous décrivons plus loin dans l’article.

 

Choisir le bon délai pour appliquer les patches

Mettre en place un RBVM implique de :

  • Définir pour chaque vulnérabilité une gravité intrinsèque,
  • Définir pour chaque asset (ou chaque sous-système du SI) un niveau de sensibilité et d’exposition,
  • Décider de la vitesse à laquelle une protection devra être mise en place en fonction des deux paramètres précédents.

Pour ce qui est de la vitesse de protection, la méthode SSVC (cf. notre article de juillet 2021) propose 4 niveaux :

  • Defer : pas de traitement pour le moment,
  • Scheduled : application du patch à la prochaine maintenance programmée,
  • Out-of-Band : application à une date définie spécifiquement, sans attendre la prochaine maintenance programmée,
  • Immediate : application immédiate.

 

Classer les assets par sensibilité

Nous proposons de répartir les assets dans 4 catégories :

  • Non maintenu (zone 0) : On place dans cette catégorie tous les assets pour lesquelles il n’y a pas de maintenance de sécurité (pour lesquelles par exemple il n’est pas prévu au moins une mise à jour annuelle de sécurité). Ces assets sont vulnérables. A défaut de les faire disparaitre, il faut les isoler (pour éviter qu’ils n’infectent d’autres composants) et les protéger (en les plaçant derrière des systèmes de protection).
     
  • Minimale (zone 1) : On place dans cette catégorie les assets qui recevront les mises à jour « Scheduled ».
     
  • Normale (zone 2) : On place dans cette zone (cette catégorie) la plupart des assets. Ils recevront les mises à jour « Scheduled » et quelques « Out-of-band » (au sens de SSCV). Sauf circonstance très exceptionnelle, ils n’auront jamais de « Immediate ».
     
  • Sensible (zone 3) : Ces assets recevront les mises à jour « Scheduled », des « Out-of-band », mais aussi (de façon non exceptionnelle) des « immediate ». Les équipes responsables de ces assets auront donc définies à l’avance des processus (et des ressources) qui seront appliquées lorsque l’on déclenche un « Out-of-band » ou un « immediate ». Cela est vrai aussi pour les autres zones qui définiront chacune les processus pour les événements qui leurs sont applicables.

Chaque entreprise définit ses propre règles pour répartir les assets dans les zones. Cependant, de notre point de vue, la catégorie « Sensible » doit contenir les équipements exposés sur Internet (accessibles depuis Internet sans protection de type VPN) et la règle « Immediate » doit être déclenchée pour eux dès qu’un programme d’exploitation existe sur Internet pour une vulnérabilité.

 

Surveiller les menaces

En général, 2 équipes interviennent dans le patch management.

  • L’équipe responsable du maintien opérationnel des assets (ou d’un ensemble d’assets). C’est elle qui se charge d’évaluer l’exposition réelle des assets à une menace donnée et du meilleur moyen pour contrer cette menace (application du correctif ou mis en place d’un palliatif).
     
  • L’équipe responsable de la sécurité de l’entreprise (ou d’une partie de l’entreprise). C’est elle qui centralise les informations sur les nouvelles menaces et les transmet aux équipes opérationnelles. Par défaut toutes les menaces pour lesquelles un correctif existe sont transmises aux équipes opérationnelles avec le statut « Scheduled » (statut par défaut). Certaines menaces, jugées plus graves pourront être qualifiées de « Out-of-band », ce qui indique aux équipes opérationnelles qu’il est fortement recommandé d’organiser une opération de déploiement spécifique, sans attendre la prochaine maintenance programmée. Le statut « Immediate » peut enfin être utilisé pour indiquer aux équipes opérationnelles que la menace a atteint un niveau nécessitant une action immédiate.

 

Conclusion

La gestion des correctifs de sécurité est un problème complexe (on le sait depuis longtemps). Les processus que nous présentons sont simples et assez classiques dans leurs principes. Mais la réelle difficulté est de réussir à les déployer à grande échelle, avec des ressources limitées.

De façon plus globale, on peut noter enfin que la gestion des correctifs n’est qu’une partie de l’activité de défense contre les attaques. On considère en effet aujourd’hui qu’il existe 3 moyens pour attaquer une cible :

  • Le 0-day : l’attaquant utilise une vulnérabilité jusque-là inconnue pour rentrer dans l’entreprise.
  • Le N-day : l’attaquant utilise une vulnérabilité déjà connue et pour laquelle un correctif est disponible depuis N jours.
  • Le ATO (Account Take Over) : au lieu d’utiliser une vulnérabilité technique, l’attaquant va voler ou acheter au marché noir un compte utilisateur ou convaincre l’utilisateur de lancer un exécutable malveillant.

Le patch management permet de maîtriser le risque induit par les attaques N-day. C’est une composante indispensable de la défense. Elle est précédée en amont par une activité de construction des défenses (durcissant les systemes, segmention les réseaux, etc.), et effectuée en parrallèle des activités de surveillance continue (par le SOC) et de résolution des incidents détectés (par l'équipe de Réponse à Incident).

Précedent Précedent Suivant Suivant Imprimer Imprimer