Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Blog Tenable

S'abonner

Le sore EPSS s'avère performant pour prédire les exploits, comme l'indique l'étude de Cyentia et FIRST

L'image montre une figure en forme de cerveau avec une puce dessus.

La recherche réalisée par Cyentia et FIRST sponsorisée par Tenable conclut que bien que l'exploitation des vulnérabilités soit très variable, le score EPSS est de plus en plus efficace pour prédire l'exploitation.

Le nombre de CVE publiées annuellement continue de croître, ce qui indique qu'il est essentiel de prévoir lesquelles requièrent l'intervention des équipes de gestion des vulnérabilités. La nouvelle recherche réalisée par le Cyentia Institute et le Forum of Incident Response and Security Teams (FIRST) détermine que le score EPSS (Exploit Prediction Scoring System) est un facteur utile grâce auquel les équipes de sécurité peuvent prendre des décisions avisées pour prioriser les vulnérabilités.

La recherche s'est attachée à explorer la durée, la prévalence et le volume de l'activité d'exploitation et d'analyser les commentaires recueillis sur les performances du score EPSS. Les résultats ont été regroupés dans le rapport inaugural, Une exploration visuelle de l'exploitation dans l'environnement réel. Le rapport fournit des statistiques et des analyses qui profiteront à la vaste communauté des utilisateurs en entreprise et aux produits de sécurité qui tirent parti du score EPSS. Dans ces deux blogs, nous examinons les principales conclusions et informations délivrées par la recherche. La partie 1 répond aux questions suivantes :

  • Quelle est la proportion de vulnérabilités exploitées ?
  • Quel est le modèle type de l'activité d'exploitation ?
  • Quelle est la part d'exploitation au sein des entreprises/équipes ?
  • Comment fonctionne l'EPSS pour prédire les exploitations ?

Quelle est la proportion de vulnérabilités exploitées ?

Cela semble incroyable, mais près de 250 000 CVE ont été publiées. Et ce nombre a augmenté à un taux de 16 % sur les sept dernières années. Personne n'a le temps ni les ressources pour répondre à toutes ces vulnérabilités, par conséquent identifier et prioriser les plus importantes est essentiel. Une étape cruciale de la priorisation est de connaître et prévoir le nombre des vulnérabilités qui sont exploitées. 

Dans la figure 1, vous pouvez voir le cumul de 13 807 CVE avec une activité d'exploitation sur une certaine période à gauche, qui indique que le nombre des vulnérabilités exploitées connues est proche de 15 000. À droite, vous pouvez voir le nombre en pourcentage des CVE publiées pour la période, qui indique que 6 % de toutes les CVE publiées ont été exploitées, et que ce taux reste stable. 

Figure 1 : vulnérabilités avec une activité d'exploitation 

L'image montre le graphique des vulnérabilités avec l'activité d'exploitation
Source : Une exploration visuelle de l'exploitation en environnement réel réalisée par le Cyentia Institute et FIRST, juillet 2024 

Quel est le modèle type de l'activité d'exploitation ?

Examinons maintenant la tendance type de l'activité d'exploitation, en fait il n'y en a pas ! 

La figure 2 montre l'activité d'exploitation des cinq différentes CVE en 2023. Chacune présente une activité d'exploitation unique :

  • La CVE en haut a connu une exploitation courte et faible
  • La deuxième CVE a connu une activité assez régulière pendant les jours de la semaine 
  • La troisième CVE a connu des tentatives d'exploit quotidiennes et hebdomadaires avec un pic à la mi-décembre 
  • La quatrième CVE a connu une exploitation quotidienne continue qui a été particulièrement élevée dans les trimestres 1 et 2 
  • Et la dernière CVE a connu une activité d'exploitation extrêmement élevée et constante 

Que peut-on en conclure ? L'exploitation a différents niveaux d'intensité et de durée. Pour procéder efficacement à la priorisation des vulnérabilités, il est conseillé de ne pas se contenter de considérer « exploitée » comme variable binaire mais d'examiner d'autres variables comme l'intensité et la durée .

Figure 2 : disparité dans l'activité d'exploitation observée 

La figure montre la disparité dans l'activité d'exploitation observée
Source : Une exploration visuelle de l'exploitation en environnement réel réalisée par le Cyentia Institute et FIRST, juillet 2024 

 

Quelle est la part d'exploitation au sein des entreprises/équipes ?

Pour illustrer le fait de de ne pas considérer « exploitée » comme variable binaire, examinons la prévalence de l'exploitation observée dans une population de plus de 100 000 entreprises partout dans le monde. Il est surprenant d'observer que peu d'équipes constatent que des tentatives d'exploit ciblent une vulnérabilité précise. Les exploits ciblant plus d'une entreprise sur 10 sont rares (moins de 5 % !). Lorsque des vulnérabilités sont signalées comme étant exploitées dans l'environnement réel, elles sont en général considérées comme étant exploitées partout. Ce n'est cependant pas le cas, c'est pourquoi nous ne devons pas traiter tous les cas d'exploitation signalés de la même manière.

Figure 3 : prévalence de l'activité d'exploitation 

L'image montre la prévalence de l'activité d'exploitation
Source : Une exploration visuelle de l'exploitation en environnement réel réalisée par le Cyentia Institute et FIRST, juillet 2024 


 

Comment fonctionne l'EPSS pour prédire les exploitations ?

Selon le FIRST, le score EPSS est un « outil basé sur les données qui permet d'estimer la probabilité qu'une vulnérabilité logicielle soit exploitée en environnement réel ». Le score EPSS donne une estimation quotidienne sur les 30 prochains jours de toutes les CVE connues et fournit un score de probabilité entre 0 et 1 (ou entre 0 et 100 %) indiquant la probabilité d'une exploitation. 

Comme l'indique la figure 4, la capacité à prévoir les exploitation a augmenté avec chaque version du score EPSS. Trois indicateurs mesurent les performances : 

  1. Couverture : mesure l'exhaustivité de la priorisation de l'activité d'exploitation (% de priorisation de toutes les vulnérabilités exploitées connues) 
  2. Efficacité : mesure la précision de la priorisation (% des vulnérabilités exploitées auxquelles il faut remédier en priorité) 
  3. Effort : mesure la charge de travail globale créée par la stratégie de priorisation (% des vulnérabilités priorisés par rapport à toutes les vulnérabilités) 

Selon la figure 4, vous pouvez constater que la remédiation des vulnérabilités avec un score EPSS de +0,6 produit une couverture de ~60 % avec 80 % efficacité, alors qu'un score EPSS de +0,1 produit une couverture de 80 % avec 50 % d'efficacité. La tolérance aux risques varie d'une entreprise à l'autre, ce qui a un impact sur les stratégies de priorisation. Les indicateurs de couverture, d'efficacité et d'effort permettent aux entreprises de prendre des décisions plus avisées sur les stratégies spécifiques à utiliser pour leurs programmes de gestion des vulnérabilités. 

Figure 4 : les performance du score EPSS (Exploit Prediction Scoring System)

Le graphique montre les performances du score EPSS (Exploit Prediction Scoring System)
Source : Une exploration visuelle de l'exploitation en environnement réel réalisée par le Cyentia Institute et FIRST, juillet 2024 


 

Cette recherche est vraiment intéressante. Et maintenant ?

Pour plus d'informations, téléchargez le rapport complet. Tirez parti du score EPSS dans Nessus 10.8.0 avec un essai gratuit ou achetez une licence. Ne manquez pas le deuxième blog !

Articles connexes

Des actualités décisives sur la cyber-sécurité

Saisissez votre adresse e-mail et ne manquez plus aucune alerte ni aucun conseil en matière de sécurité de la part de nos experts Tenable.

Tenable Vulnerability Management

Bénéficiez d'un accès complet à une plateforme cloud moderne de gestion des vulnérabilités qui vous permet de visualiser l'ensemble de vos assets et d'en assurer le suivi avec une précision inégalée.

Les essais de Tenable Vulnerability Management créés partout (excepté aux Émirats arabes unis) incluent Tenable Lumin et Tenable Web App Scanning.

Tenable Vulnerability Management

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

100 assets

Sélectionnez votre option d'abonnement :

Acheter maintenant

Tenable Vulnerability Management

Bénéficiez d'un accès complet à une plateforme cloud moderne de gestion des vulnérabilités qui vous permet de visualiser l'ensemble de vos assets et d'en assurer le suivi avec une précision inégalée.

Les essais de Tenable Vulnerability Management créés partout (excepté aux Émirats arabes unis) incluent Tenable Lumin et Tenable Web App Scanning.

Tenable Vulnerability Management

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

100 assets

Sélectionnez votre option d'abonnement :

Acheter maintenant

Tenable Vulnerability Management

Bénéficiez d'un accès complet à une plateforme cloud moderne de gestion des vulnérabilités qui vous permet de visualiser l'ensemble de vos assets et d'en assurer le suivi avec une précision inégalée.

Les essais de Tenable Vulnerability Management créés partout (excepté aux Émirats arabes unis) incluent Tenable Lumin et Tenable Web App Scanning.

Tenable Vulnerability Management

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

100 assets

Sélectionnez votre option d'abonnement :

Acheter maintenant

Essayez Tenable Web App Scanning

Profitez d'un accès complet à notre dernière offre de scan des applications web conçue pour les applications modernes dans la plateforme de gestion de l'exposition Tenable One. Scannez l'ensemble de votre portefeuille en toute sécurité et avec une grande précision, sans effort manuel important ni interruption des applications web stratégiques. Abonnez-vous dès maintenant.

Votre essai de Tenable Web App Scanning inclut également Tenable Vulnerability Management et Tenable Lumin.

Acheter Tenable Web App Scanning

Bénéficiez d'un accès complet à une plateforme de gestion des vulnérabilités moderne hébergée dans le cloud qui vous permet de consulter l'ensemble de vos assets et d'en assurer le suivi, tout en bénéficiant d'une précision inégalée. Souscrivez votre abonnement annuel dès aujourd'hui.

5  FQDN

3 578,00 $

Acheter maintenant

Essayer Tenable Lumin

Visualisez et explorez votre gestion de la cyber-exposition, suivez la réduction des risques au fil du temps et comparez-la à celle des autres entreprises avec Tenable Lumin.

Votre essai de Tenable Lumin inclut également Tenable Vulnerability Management et Tenable Web App Scanning.

Acheter Tenable Lumin

Contactez un commercial pour découvrir comment Lumin peut vous permettre d'obtenir des informations exploitables sur l'ensemble de votre entreprise et de gérer votre cyber-risque.

Essayer gratuitement Tenable Nessus Professional

GRATUIT PENDANT 7 JOURS

Tenable Nessus est aujourd'hui le scanner de vulnérabilités le plus complet du marché.

NOUVEAU - Tenable Nessus Expert
Maintenant disponible

Nessus Expert offre encore plus fonctionnalités, comme les scans de surface d'attaque externe, et la possibilité d'ajouter des domaines et de scanner l'infrastructure cloud. Cliquez ici pour essayer Nessus Expert.

Remplissez le formulaire ci-dessous pour profiter d'un essai de Nessus Pro.

Acheter Tenable Nessus Professional

Tenable Nessus est aujourd'hui le scanner de vulnérabilités le plus complet du marché. Tenable Nessus Professional vous permet d'automatiser le processus de scan des vulnérabilités, d'écourter les cycles de mise en conformité et de mieux tirer parti de votre équipe informatique.

Achetez une licence pluriannuelle et faites des économies. Ajoutez l'assistance avancée pour bénéficier de l'accès 24 h/24 et 7 j/7 à une assistance par téléphone, via la communauté et via le chat.

Sélectionnez votre licence

Achetez une licence pluriannuelle et faites des économies.

Ajoutez une assistance et une formation

Essayer gratuitement Tenable Nessus Expert

GRATUIT PENDANT 7 JOURS

Conçu pour la surface d'attaque moderne, Nessus Expert vous permet de bénéficier d'une meilleure visibilité et de protéger votre entreprise des vulnérabilités issues de l'IT, comme du cloud.

Vous avez déjà Nessus Professional de Tenable ?
Passez à Nessus Expert gratuitement pendant 7 jours.

Acheter Tenable Nessus Expert

Conçu pour la surface d'attaque moderne, Nessus Expert vous permet de bénéficier d'une meilleure visibilité et de protéger votre entreprise des vulnérabilités issues de l'IT, comme du cloud.

Sélectionnez votre licence

Achetez une licence pluriannuelle pour économiser davantage.

Ajoutez une assistance et une formation