Hacktu Magazine Le magazine de la cybersécurité
La technologie de patching virtuel est l’une des plus populaires dans le domaine de la protection des applications. Le colmatage virtuel des failles de sécurité ou patching virtuel en restreint l’accès jusqu’à ce qu’elles soient éliminées par le développeur. En conséquence, les entreprises ont la possibilité d’attendre sereinement que le fournisseur d’un logiciel particulier publie des correctifs officiels.
L’une des principales raisons du succès des attaques contre les infrastructures et systèmes d’information des entreprises est la présence de vulnérabilités, dont l’exploitation peut conduire à l’exécution de logiciels malveillants sur l’hôte attaqué, téléchargement des données confidentielles ou même prise le contrôle total du serveur. Selon des études, environ 60 % des fuites de données sont dues à l’exploitation de vulnérabilités connues pour lesquelles aucune mise à jour n’a été installée. Pour corriger les failles logicielles, il est nécessaire d’installer les mises à jour immédiatement après leur publication, car cela réduit l’intervalle de temps pendant lequel l’entreprise est exposée aux attaques via l’exploitation de vulnérabilités « non corrigées ».
Lors de l’application de « correctifs classiques », il existe un certain nombre de difficultés. De nombreuses organisations ne suivent pas très strictement le calendrier de mise à jour, parcequ’elles ne disposent d’une politique formelle de gestion des mises à jour. De plus, apporter des modifications à un système en cours d’exécution nécessite souvent des temps d’arrêt pour les processus métier, et certains composants des systèmes d’information peuvent être difficiles, voire impossibles à mettre à jour. Par ailleurs, si une vulnérabilité est découverte dans une application commerciale, le client ne sera probablement pas en mesure de modifier le code source par lui-même. Dans ces cas de figure, il devient dépendant du fournisseur, car il doit attendre la sortie officielle du correctif. Les fournisseurs ont généralement des dates de publication de mise à jour extrêmement serrées et, par conséquent, un correctif officiellement pris en charge peut ne pas être disponible pendant une période prolongée. En outre, une organisation peut utiliser une application commerciale dont le fournisseur a cessé ses activités ou une version du programme qui n’est plus prise en charge par le développeur. Dans ces situations, le code d’application obsolète ne peut pas être corrigé. Une complexité supplémentaire survient lorsqu’une organisation est obligée d’utiliser du code hérité en ajoutant sa propre fonctionnalité personnalisée en plus du code source du fournisseur. Cette fonctionnalité est liée à une application critique pour l’entreprise et les tentatives de mise à niveau peuvent la casser.
C’EST QUOI LE PATCHING VIRTUEL
Le patching virtuel est le développement et la mise en œuvre rapide d’une politique de sécurité conçue pour empêcher l’exploitation d’une vulnérabilité connue. Il s’agit d’un processus dans lequel les vecteurs d’attaque sont bloqués, afin que la vulnérabilité ne puisse être exploitée. Ainsi, l’organisation peut être protégée sans les coûts et les temps d’arrêt opérationnels pour les mises à niveau d’urgence ou les cycles de mise à niveau et, bien sûr, sans coûts supplémentaires dus au piratage d’un système qui n’a pas été mis à jour à temps. Les correctifs virtuels peuvent être appliqués au périmètre du réseau externe ou interne, aux pares-feux d’applicatifs web (WAF), etc. Il est mis en œuvre de plusieurs manières, chacune avec ses propres avantages.
Le premier type repose uniquement sur l’analyse du trafic réseau. Les produits qui proposent ce type de correctif virtuel utilisent des signatures, des expressions régulières et des correspondances de modèles pour détecter les activités malveillantes et bloquer les requêtes correspondantes.
Le deuxième type est basé sur les mêmes principes, mais il offre un moyen plus fiable – la définition de critères de blocage des requêtes à l’aide du langage de règles et de la gestion des états. ModSecurity est un exemple de tels correctifs virtuels.
Ces types de patching virtuel présentent un certain nombre d’inconvénients. En effet, en raison de leur faible prise en compte de la compréhension du contexte, ces méthodes sont connues pour générer des faux positifs. Les signatures et la correspondance de modèles sont des approches heuristiques qui ne peuvent pas fournir la précision requise pour des performances élevées. Un correctif virtuel mal écrit de ce type peut bloquer le trafic légitime, perturber l’exécution normale des applications et ajouter une charge supplémentaire aux mécanismes de protection. De plus, les patchs virtuels de ce type sont très « fragiles » en cas de modification des paramètres applicatifs. Par exemple, lorsqu’une URL vulnérable ou des paramètres HTTP changent dans une application Web, le correctif virtuel doit être reconfiguré. Ces approches protègent des données source spécifiques mais laissent les composants vulnérables sans protection. S’il existe plusieurs points d’entrée menant au même composant vulnérable, le correctif virtuel ne pourra pas le protéger. Étant donné que le code reste vulnérable même après l’application de correctifs virtuels, certains appellent ces approches « protection contre les vulnérabilités » plutôt que correctifs.
Le troisième type est une évolution naturelle des correctifs virtuels utilisant les compilateurs just-in-time de plates-formes modernes, telles que Java. En étant à l’intérieur de l’application et en étant capable de contrôler chaque instruction avant qu’elle ne soit exécutée, un « véritable » patch virtuel peut être réalisé. Il est désormais possible de fournir un patch virtuel qui est fonctionnellement équivalent à un vrai patch fournisseur sans changer le code source de l’application ou ses binaires, tout en s’assurant que le composant est correctement patché et n’est plus vulnérable. Aujourd’hui, la technologie de correction virtuelle a évolué au point où elle peut devenir un processus automatisé qui ne nécessite pas d’intervention manuelle et qui est efficace et peut-être plus fiable que la correction manuelle.
AVANTAGES ET INCONVÉNIENTS
Avantages du patching virtuel : L’application de correctifs virtuels réduit rapidement le risque d’utiliser un exploit jusqu’à ce qu’un correctif complet et permanent soit testé et mis en œuvre. Les correctifs virtuels permettent aux entreprises de maintenir un cycle de correctifs normal sans perturber les processus métier si une vulnérabilité est découverte entre les versions de correctifs complets. L’implémentation de la fonctionnalité de correctif virtuel dans les WAF vous permet de bloquer les tentatives d’exploitation des vulnérabilités dans les applications Web sans apporter de modifications au code source, c’est-à-dire sans attendre la publication d’un correctif officiel par les développeurs.
Inconvénients du patching virtuel : Les correctifs virtuels peuvent ne pas couvrir tous les chemins et emplacements possibles par lesquels l’exploit fonctionne. Il est possible qu’après avoir appliqué un correctif virtuel, qui démontrera immédiatement son efficacité, l’entreprise considère le problème résolu et oublie d’installer un correctif permanent. Bien qu’un correctif virtuel puisse rapidement atténuer les risques majeurs d’une nouvelle vulnérabilité, il peut ne pas offrir autant d’avantages à long terme qu’un correctif permanent car un correctif virtuel ne peut pas résoudre les défauts inhérents à une application vulnérable.
