Gestion des vulnérabilités pour le Socket et le Client de Cato

Cet article explique comment la plateforme Cato gère les vulnérabilités de différentes gravités pour le Socket de Cato et le Client de Cato.

Vue d'ensemble

Cato surveille en continu les vulnérabilités grâce à une participation active aux organisations de divulgation de sécurité et de vulnérabilités. En tant que membre et contributeur, Cato reçoit des notifications anticipées sur les Vulnérabilités et Expositions Communes (CVE) pertinentes pour ses produits. En parallèle, Cato effectue régulièrement des tests de pénétration, à la fois en interne et en collaboration avec des experts externes, pour identifier de manière proactive les faiblesses potentielles.

Selon les meilleures pratiques de l'industrie, Cato ne publie les CVE qu'après avoir validé la vulnérabilité et publié une nouvelle version du Socket ou du Client contenant le correctif, quelle que soit sa gravité. Tous les avis CVE de Cato incluent des étapes de remédiation dans la section Quels changements dois-je apporter.

Cato maintient également des cycles de mise à jour stricts pour les bibliothèques tierces, telles qu'OpenSSL, afin de garantir une adoption rapide des correctifs de sécurité critiques. Le cas échéant, Cato publie ses propres CVE dans le cadre d'un processus de divulgation transparent et responsable.

Pour recevoir des notifications par e-mail lorsque Cato publie une nouvelle mise à jour de sécurité, veuillez cliquer sur le bouton Suivre dans la section Annonces de sécurité de la base de connaissances.

Exemple de publication d'une CVE

Cette section donne un exemple qui décrit le processus par lequel Cato corrige une vulnérabilité découverte et publie la CVE.

L'équipe de sécurité des applications Cato découvre et valide qu'il y a une vulnérabilité dans le Client Windows v5.7.
L'équipe RnD du Client Windows termine le développement et les tests d'un nouveau Client v5.7.1 contenant le correctif et le distribue aux clients.
Cato publie une CVE avec les détails de la vulnérabilité.

Pour atténuer les voies potentielles d'attaque, Cato ne divulgue publiquement les vulnérabilités que lorsque des mesures de protection sont activement en place.

Sockets

Le Socket de Cato utilise un système d'exploitation propriétaire (Socket-OS), ce qui réduit considérablement l'exposition aux vulnérabilités courantes de l'open-source. Cato effectue en continu des tests de pénétration pour s'assurer que le Socket reste une plateforme sécurisée et robuste.

Processus de gestion des correctifs du Socket

Cato applique des correctifs aux dispositifs Socket en fonction de la gravité du problème de sécurité identifié :

Lorsqu'un problème de sécurité critique est découvert :
- Cato publie une mise à jour urgente du Socket (généralement une version mineure) en tant que service géré qui inclut des correctifs pour les problèmes critiques. Tous les Sockets dans le compte du client sont mis à jour automatiquement. Ce processus inclut une communication claire et des notes de publication détaillées.
  
  Remarque : Si le service de mise à jour automatique du Socket est interrompu, vous devez reprendre la mise à jour du Socket pour recevoir la dernière version avec les correctifs de sécurité.
Lorsqu'un problème de sécurité allant de moyen à faible est découvert :
- Cato propose des mises à jour trimestrielles du Socket qui améliorent la sécurité avec des correctifs pour les problèmes moyens à faibles, améliorent les performances et introduisent de nouvelles fonctionnalités. La mise à jour régulière de vos Sockets vers la dernière version vous aide à maintenir une posture de sécurité solide sur votre réseau.

Clients Cato

Cato effectue en continu des tests de pénétration pour s'assurer que les Clients sur toutes les plateformes (Windows, macOS, iOS, Android, Linux, Chromebook), ainsi que nos solutions sans client, restent sécurisés et robustes.

Processus de gestion des correctifs du Client

Cato applique des correctifs aux Clients en fonction de la gravité du problème de sécurité identifié :

Lorsqu'un problème de sécurité critique est découvert :
- Cato publie une mise à jour urgente du Client avec un correctif pour le problème critique qui peut être téléchargée depuis la page Accès> Déploiement de client dans l'Application de gestion Cato ou sur le portail de téléchargement du Client. Ce processus inclut une communication claire et des notes de publication détaillées.
  
  Pour Windows, macOS, et Linux, le Client peut être déployé en tant que service géré, où tous les Clients du compte client sont mis à jour automatiquement par Cato Networks. Pour d'autres systèmes d'exploitation, le Client peut être distribué via un MDM ou installé manuellement.
Lorsqu'un problème de sécurité allant de moyen à faible est découvert :
- Cato propose des versions trimestrielles du Client qui améliorent la sécurité avec des correctifs pour les problèmes moyens à faibles, améliorent les performances et introduisent de nouvelles fonctionnalités. La mise à jour régulière de vos Clients vers la dernière version vous aide à maintenir une posture de sécurité solide sur votre réseau.