SolarWinds, pipeline colonial, MSFT Exchange — ces noms sont devenus synonymes d’événements de cybersécurité infâmes. Nous continuons d’appeler chaque nouvel exploit zero-day un « appel de réveil », mais tout ce que nous avons fait, c’est d’appuyer collectivement sur le bouton de répétition.
Mais la découverte de la dernière vulnérabilité critique répandue, Log4Shell, a ruiné la saison des fêtes de l’industrie. C’est la plus grande menace de cybersécurité à émerger depuis des années, grâce à la quasi-omniprésence de Java dans les applications Web et à la popularité de la bibliothèque Log4j. En raison de son ampleur sans précédent, aggravée par le fait qu’il n’est pas facile à trouver, se débarrasser de ce bogue de votre environnement informatique n’est pas une activité « one-and-done ».
Les équipes de sécurité du monde entier se précipitent une fois de plus pour remédier à une faille logicielle, alors même que les attaquants ont commencé à cibler le fruit à portée de main – les serveurs Web publics – à un rythme récemment signalé de 100 tentatives par minute. À peine sept jours après sa découverte, plus de 1,8 million d’attaques avaient été détectées contre la moitié de tous les réseaux d’entreprise.
Êtes-vous réveillé maintenant?
J’ai participé à de nombreux briefings Log4Shell urgents avec des clients Qualys (qui comprennent plus de 19 000 entreprises dans le monde, 64% de Forbes Global 100), et il est clair que faire face à un barrage constant de vulnérabilités zero-day est l’un des plus grands défis auxquels sont confrontés équipes de sécurité d’aujourd’hui.
Tout comme l’inventaire, la collecte et l’analyse des informations sur les menaces sont essentielles pour fournir la base nécessaire aux équipes de sécurité pour prendre des mesures calculées et intentionnelles.
Il peut être écrasant de hiérarchiser les correctifs et les correctifs lorsque vous répondez à un exploit zero-day comme Log4Shell. Voici quelques étapes pour répondre aux menaces de sécurité que nous avons apprises et cataloguées au fil des ans :
Établir un mode opératoire standard
Créez une procédure d’exploitation standard détaillée qui comprend des activités étape par étape adaptées au type de vulnérabilité.
Pour une réponse zero-day, les informations suivantes doivent être incluses :
- Flux de processus pour les réponses. Si vous avez besoin d’aide, la US Cybersecurity & Infrastructure Security Agency (CISA) a créé un excellent guide.
- Catégorisez la vulnérabilité par type, gravité et temps de réponse requis. Il devrait y avoir une catégorie spécifique pour les vulnérabilités critiques du jour zéro.
- Accords de niveau de service prédéterminés pour chaque équipe d’intervention.
- Procédure de déclaration et de communication d’un incident (il peut s’agir d’une référence à la procédure opérationnelle standard de réponse aux incidents).
- Étapes pour le suivi, le signalement et la conclusion de l’incident et le retour aux opérations normales.