D’accord, à partir de maintenant, la grande majorité de votre effectif travaille à distance. Il est clair que la gestion de toutes ces connexions VPN entrantes est votre préoccupation principale, mais qu’en est-il des autres vulnérabilités que vous devriez mettre sous surveillance ?
Vient s’ajouter à la croissance exceptionnelle du nombre de connexions VPN, une probable augmentation de l’utilisation d’outils collaboratifs Cloud, tels que Slack, Dropbox, G-Suite ou Trello… Au-delà de la mise en œuvre stricte de permissions sur ce qui peut être installé sur les ordinateurs portables de l’entreprise, il faut également surveiller continuellement les vulnérabilités attenantes. Imaginez, il n’est pas rare pour des hackers d’écrire du code d'exploitation dans la journée qui suit la publication de la vulnérabilité...
Les scans de vulnérabilité d’éditeurs tels que Nessus et Qualys seront importants pour connaître et comprendre la surface d’attaque du réseau. Bien sûr, ces scans doivent être exécutés avec les dernières mises à jour. Une fois ces vérifications effectuées, vous êtes en mesure de rechercher les vulnérabilités du VPN.
Splunk Security Essentials (SSE) propose un très bon exemple de recherche qui vous permet de rechercher les CVE (pour Common Vulnerabilities and Exposures en anglais, une liste publique de failles de sécurité informatique). Lorsque vous faites une recherche dans SSE avec tous les paramètres et toutes les vulnérabilités, vous trouverez un exemple appelé « Ransomware Vulnerabilities ».
En cliquant dans le coin en haut à droite, vous basculerez le mode SPL en « Live Data ». Vous verrez alors la requête SPL changer comme suit :
À partir de là, vous pouvez entrer le CVE que vous recherchez, au fur à mesure que de nouvelles vulnérabilités sont publiées et analysées. En outre, si vous êtes utilisateur de Splunk Enterprise Security, vous savez probablement déjà qu’il y a 63 cas d’analyse (« Analytic Story ») publiés par l’équipe de recherche en sécurité de Splunk au sein de la bibliothèque "Enterprise Security Use Case". Prenons quelques minutes pour regarder l’exemple du cas d’analyse sur les vulnérabilités Spectre et Meltdown.
Il ne s’agit pas nécessairement de regarder en détail les CVE de Spectre et Meltdown en tant que tel, mais d’étudier avec attention le code SPL de cette analyse.
Cet exemple utilise la fonctionnalité « tstats » et peut être assez simplement modifié pour rechercher les vulnérabilités, parmi celles qui vous intéresse sur la base du NIST. Cette fonctionnalité « tstats » nécessite simplement que les données (et add-ons) soient compatibles avec le CIM (Common Information Model).
Dans l’exemple (illustré ci-dessus), la recherche cible les systèmes vulnérables à Spectre et Meltdown, ainsi que les systèmes prêts pour le patch Windows approprié. Les sources de données requises sont les outils d’EDR (Endpoint Detection and Response) et les scanners de vulnérabilités tels que Qualys et Nessus.
Cliquez ici pour accéder à plus de guides pratiques présentant comment sécuriser votre entreprise dans cette nouvelle ère du télétravail.
Remerciements aux contributeurs de cet article de blog : Bryan Sadowski, Lily Lee, Rene Aguero, James Brodsky, Chris Simmons, Lionel Gonzalez et Jérôme Chagnoux.
*Cet article est une traduction de celui initialement publié sur le blog Splunk anglais.
La plateforme Splunk élimine les obstacles qui séparent les données de l'action, pour donner aux équipes d'observabilité, d'IT et de sécurité les moyens de préserver la sécurité, la résilience et le pouvoir d'innovation de leur organisation.
Fondée en 2003, Splunk est une entreprise internationale. Ses plus de 7 500 employés, les Splunkers, ont déjà obtenu plus de 1 020 brevets à ce jour, et ses solutions sont disponibles dans 21 régions du monde. Ouverte et extensible, la plateforme de données Splunk prend en charge les données de tous les environnements pour donner à toutes les équipes d'une entreprise une visibilité complète et contextualisée sur l'ensemble des interactions et des processus métier. Splunk, une base solide pour vos données.