Pour gérer vos consentements :

Vulnérabilité : les 3 critères qui doivent vous alerter

Pour avoir une vue d’ensemble de l’écosystème de la vulnérabilité, il faut d’abord examiner les tendances en matière de recherche et de divulgation sur les vulnérabilités.

Cet aspect est bien étudié, de nombreux fournisseurs et organisations de l’industrie publiant régulièrement des commentaires sur les tendances dans la base de données CVE (Common Vulnerabilities and Exposures) et la base de données NVD (National Vulnerability Database).

Cela donne une idée des failles existantes, mais ne fournit que des informations descriptives.
Les CVE et NVD indiquent quelles vulnérabilités existent en théorie mais ne fournissent pas d’aperçu en temps réel des vulnérabilités existantes.

Pour comprendre quelles vulnérabilités existent réellement, il faut comprendre le comportement de l’utilisateur final et la télémétrie.

Sur les 107 710 CVE publiées depuis 1999, 22 625 (23 %) existent effectivement dans les entreprises. Le véritable écosystème de vulnérabilité se trouve précisément ici.

Néanmoins, nous constatons une croissance continue du nombre relatif et absolu de vulnérabilités. En 2017, 15 038 nouvelles vulnérabilités ont été publiées contre 9 837 en 2016, soit une augmentation de 53 %. Et le nombre de vulnérabilités a encore augmenté en 2018.

Une gestion efficace des menaces et des vulnérabilités est désormais dictée par l’échelle et la complexité, le volume et la vitesse – l’échelle et la complexité des réseaux et des utilisateurs distribués, mobiles et hétérogènes, le volume des vulnérabilités qui en résultent et la vitesse avec laquelle les nouvelles vulnérabilités sont révélées et exploitées.

Dans cette course contre la montre, pour colmater les failles avant qu’elles ne soient utilisées, l’exploitabilité des renseignements est critique.

Le Vulnerability Intelligence Report publié par Tenable Research souligne trois aspects importants dans cette course.

La version 3 du CVSS a aggravé les problèmes de priorisation

La version 3 du CVSS a été introduite en 2015 et visait notamment à dépasser certaines limites dans la façon dont la version 2 évaluait l’impact d’une vulnérabilité.

Alors que les scores de la version 3 sont rarement disponibles pour les vulnérabilités plus anciennes, la plupart des vulnérabilités ultérieures à 2016 a commencé à recevoir des scores du CVSS v3.

Les retours provenant du terrain et les rapports de tierces parties ont révélé des faiblesses dans la version 3 depuis sa publication.

Notre propre analyse corrobore cette critique, montrant que le CVSS v3 considère la majorité des vulnérabilités comme élevées et critiques. Comme le montre le graphique ci-dessous, le CVSS v2 a qualifié 31 % des CVE comme étant de gravité élevée, contre 60 % selon le CVSS v3.

Utilisé seul, le CVSS v3 aggrave, au lieu de résoudre, le défi de l’établissement des priorités. Attention, cela ne veut pas dire qu’il vaut mieux utiliser le CVSS v2, car la version plus ancienne ne donne pas d’indications fiables sur le risque qu’une vulnérabilité représente pour les autres composants du système.

Les vulnérabilités des logiciels et infrastructures hérités représentent toujours un risque

La prévalence des vulnérabilités qualifie les vulnérabilités qui existent réellement dans les entreprises, et a été identifiée grâce à la compilation de plus de 900 000 analyses de vulnérabilité effectuées entre mars et août 2018, notamment dans les navigateurs web et applications en raison de leur inclusion dans les kits d’exploitation et d’autres attaques.

Résultat : un nombre important de vulnérabilités détectées par les entreprises se trouvent dans des logiciels anciens ou hérités du passé.

Ce graphique montre clairement la concentration des vulnérabilités chez Firefox entre 2012 et 2017, avec un pic en 2015. Firefox comptait pour un peu plus de 10 % des navigateurs Web, mais représentait 53 % de toutes les vulnérabilités de gravité élevée parmi les navigateurs étudiés.

Il existe un phénomène similaire pour Microsoft Office et Java.

Il peut y avoir des justifications commerciales raisonnables pour conserver d’anciens systèmes et logiciels. Java, en particulier, est connu pour causer des problèmes dus aux dépendances de version.
Dans ces cas, les systèmes vulnérables peuvent être segmentés, ou le logiciel peut être installé sur un système virtuel et démarré uniquement en cas de besoins.

Cependant, sans raison commerciale légitime, ces logiciels représentent un risque résiduel évitable.

L’exploitabilité n’est pas suffisamment utilisée dans l’établissement des priorités

Lorsqu’une vulnérabilité est découverte pour la première fois, il s’agit d’un risque hypothétique.

Avec la publication d’un exploit, cette vulnérabilité devient un risque potentiel pour tous les propriétaires de systèmes sur lesquels la vulnérabilité est présente.

Lorsque nous avons analysé les 609 vulnérabilités distinctes des applications à sévérité élevée de notre ensemble de données, nous avons constaté ce qui suit: la majorité des mises à jour de sécurité non effectuées visaient à corriger des vulnérabilités pour lesquelles des exploits publics étaient disponibles.

Celle-ci a révélé que des exploits publics existent pour 79 % des mises à jour de sécurité non effectuées qui traitent des vulnérabilités Adobe Flash de haute gravité. Pour Adobe PDF, ce chiffre est de 96 %.

Étant donné que le contenu Flash sur Internet a fortement diminué et qu’il ne sera plus pris en charge à partir de 2020, il n’est guère utile de garder Flash installé.

De plus, l’application représente cependant un risque résiduel énorme. Parmi tous les correctifs, le taux de non mise à jour de sécurité traitant d’une vulnérabilité pour lesquels un exploit a été publié était de 41 %.

Compte tenu de l’utilité de l’exploitabilité comme critère pour évaluer si une vulnérabilité représente un risque aigu, et du fait que l’information est largement disponible, ce résultat est surprenant. Il est nécessaire de sensibiliser la communauté à ce critère de priorisation simple mais efficace.

Crédit Photo : Smeisatch-Shutterstock

Recent Posts

Du ransomware au ransomware as a service : comment aller plus loin dans la lutte à l’heure de l’Intelligence artificielle

Si j'avais un seul souhait à formuler pour 2024, ce serait que l'on cesse d’appeler…

1 jour ago

Le défi de la cybersécurité des infrastructures critiques du secteur de l’énergie

La cybersécurité est un enjeu crucial pour le secteur de l'énergie et de manière générale…

3 jours ago

Les paquets de données : pilier fondamental de la cybersécurité

L'absence d'une analyse poussée des paquets de données peut avoir des conséquences désastreuses pour les…

7 jours ago

Les entreprises en quête de solutions face aux faiblesses du cloud

La convergence d'un cadre de Zero Trust et d'une collaboration renforcée entre les équipes de…

1 semaine ago

Dark Web et groupes de cybercriminels : décryptage

Il est assez compliqué de bloquer l’accès au Dark Web. Cependant, en bloquant l’installation du…

2 semaines ago

Allier le FinOps au GreenOps pour des dépenses Cloud plus écoresponsables

En adoptant la méthode FinOps, une entreprise s’assure une optimisation de ses investissements Cloud. En…

2 semaines ago