Les tuyaux sales et l'importance de la protection de l'infrastructure des applications

Le début de cette année a vu une poignée de vulnérabilités au niveau de l’infrastructure impactant les organisations cloud natives, telles que Log4j et Pwnkit. Cette tendance s'est poursuivie avec Dirty Pipe, une vulnérabilité présente dans le noyau Linux. Dirty Pipe permet d'écraser des données dans des fichiers arbitraires en lecture seule, ce qui peut entraîner une escalade des privilèges en injectant du code dans les processus racine.

Étant donné que les mauvais acteurs peuvent exploiter Dirty Pipe pour causer des dommages au niveau de l’infrastructure, cela peut constituer un problème pour de nombreuses entreprises. Mais avec une vue globale de l’environnement complet, des vulnérabilités comme celles-ci peuvent être correctement gérées dès leur apparition.

Le problème de la défense contre les canalisations sales

Selon le rapport sur l'état de la stratégie applicative de F5, de nombreuses organisations qui entreprennent des efforts de transformation numérique se concentrent sur la « modernisation » de leurs principales applications métier. Nous constatons que nos clients investissent de plus en plus dans des infrastructures basées sur des microservices pour exécuter ces applications, car elles offrent de solides avantages tels qu'une plus grande agilité et un meilleur rythme d'innovation.

Conformément à cet effort de modernisation des applications, nous constatons également un besoin croissant de protection des applications. Le mois dernier, F5 a résolu ce problème avec la sortie de F5 Distributed Cloud WAAP , offrant aux clients une multitude d'outils de protection au niveau de la couche applicative comme Bot Defense ou Advanced WAF. Cette solution donne à nos clients la possibilité d’empêcher les attaques d’impacter l’organisation en accédant aux applications métier clés.

Le problème avec des vulnérabilités comme Dirty Pipe (et d’autres exploits récents tels que Pwnkit ou Log4j) est que le simple fait d’empêcher les mauvais acteurs d’accéder à la couche applicative à l’aide d’outils comme Distributed Cloud WAAP ne suffit pas lorsque l’attaque ciblée expose des faiblesses au niveau de l’infrastructure. Les applications ne sont sécurisées que dans la mesure où l'infrastructure cloud native sur laquelle elles s'exécutent est présente. Ainsi, pour se défendre contre un exploit comme Dirty Pipe, les clients doivent protéger l'infrastructure elle-même. Avec l’acquisition de Threat Stack , F5 est idéalement positionné pour offrir également cette capacité.

Threat Stack surveille toutes les couches de la pile d'infrastructure cloud native (de la console de gestion cloud, aux hôtes, au conteneur et à l'orchestration) pour détecter les comportements indiquant que les attaquants ont accédé à l'infrastructure. Threat Stack fournit ensuite l'observabilité nécessaire aux clients pour prendre de manière proactive et rapide des mesures ciblées pour remédier aux menaces pesant sur cette couche. Associé à F5, les clients peuvent sécuriser leurs applications modernisées avec une vue complète des menaces pesant sur les niveaux de l'application et de l'infrastructure.

Comment Threat Stack aide à gérer les canalisations sales

Pour Dirty Pipe en particulier, les clients de Threat Stack ont immédiatement bénéficié d' Oversight , la surveillance et l'expertise du centre d'opérations de sécurité (SOC) 24 h/24, 7 j/7 et 365 j/an de Threat Stack. Tout comme avec Log4j et Pwnkit, l’équipe a commencé à rechercher dans l’ensemble de la clientèle des indications sur Dirty Pipe afin de déterminer comment nous pourrions mieux soutenir nos clients.

Après avoir exécuté une chasse aux menaces et recherché des sources tierces expertes, nous avons déterminé que, tout comme avec Log4j, Threat Stack détecte l'activité post-exploitation spécifique à cette vulnérabilité. Les règles prêtes à l’emploi de Threat Stack sont définies pour observer et alerter sur tout indicateur de compromission qui montre l’activité de Dirty Pipe dans l’environnement d’un client.

Nous continuons à suivre l’impact que Dirty Pipe pourrait avoir sur nos clients, comme nous le faisons pour Log4j, Pwnkit et d’autres. Mais l’essentiel ici est que les attaques peuvent se produire uniquement au niveau de l’infrastructure, et pour assurer la sécurité des applications modernisées, vous devez avoir une vue d’ensemble de ces attaques. Chez Threat Stack et F5, nous nous engageons à faire exactement cela.