Voici les réponses à 16 questions sur Predictive Prioritization

Cette année, Tenable a révélé Predictive Prioritization, un processus révolutionnaire basé sur la data science qui redéfinit les priorités des vulnérabilités en fonction de la probabilité qu'elle soit exploitée lors d'une attaque. Ici, nous répondons à 16 de vos interrogations sur ce que cette nouvelle fonction représente pour votre pratique de gestion des vulnérabilités.

16 500 nouvelles vulnérabilités ont été divulguées en 2018 et CVSS a classé la majorité d'entre elles comme étant de sévérité élevée ou critique. Face à la recrudescence des vulnérabilités, comment pouvez-vous identifier les menaces les plus dangereuses pour votre entreprise et savoir lesquelles traiter en premier ? Predictive Prioritization est un processus novateur qui transforme la façon dont les entreprises traitent la prolifération de vulnérabilités en leur permettant de concentrer leurs efforts sur les vulnérabilités les plus importantes. Vous voulez savoir comment Predictive Prioritization opère ? Obtenez des réponses à ce questions et d'autres plus courantes. 

Q. Qu'est-ce que la fonction Predictive Prioritization ?

R. La fonctionnalité Predictive Prioritization s'appuie sur un processus permettant de redéfinir la priorité des vulnérabilités en fonction de la probabilité qu'elles soient exploitées lors d'une attaque.

Q. Quelle est la différence entre Predictive Prioritization et un classement de priorité des vulnérabilités (VPR) ?

R. Le résultat généré par le processus Predictive Prioritization est le classement de priorité des vulnérabilités (VPR), qui indique quelle priorité accorder à la remédiation d'une vulnérabilité donnée. Le classement VPR est compris entre 0 et 10, 10 correspondant au niveau de sévérité le plus élevé. Regardez la vidéo ci-dessous pour en savoir plus sur le classement VPR.

Q. Pourquoi ai-je besoin d'un classement VPR ? L'évaluation CVSS ne permet-elle pas déjà de prioriser les vulnérabilités ?

R. L'évaluation CVSS permet de bien saisir la portée et l'impact des vulnérabilités, et explique de manière claire ce qui pourrait arriver si une vulnérabilité donnée était exploitée. Elle fournit également une base pour évaluer l'exploitabilité d'une vulnérabilité. Cependant, sa version actuelle n'offre pas la précision nécessaire pour identifier efficacement les vulnérabilités à corriger en priorité. Environ 60 % de toutes les CVE reçoivent une évaluation CVSS Élevée ou Critique.

La fonctionnalité Predictive Prioritization reste fidèle à la norme CVSS (voir la figure ci-dessous), mais l'améliore en remplaçant les composantes d'exploitabilité et de maturité du code d'exploit de l'évaluation CVSS par un score de menace généré par l'apprentissage automatique, alimenté par un ensemble divers de sources de données. Les entreprises peuvent alors prendre des décisions de remédiation en fonction des vulnérabilités qui :

• Sont plus susceptibles d'être exploitées
• Auront un impact majeur si elles sont exploitées

Q. Le classement VPR remplace-t-il l'évaluation CVSS ?

R. Non. Nous vous recommandons d'utiliser le classement VPR en complément de vos méthodes de priorisation existantes (par exemple, CVSS).

Q. Les tranches de sévérité VPR sont-elles différentes des tranches de sévérité CVSS ?

R. Les mêmes limites sont utilisées pour composer les tranches de sévérité des scores CVSS et VPR. Cependant, les répartitions sont très différentes en raison du processus de priorisation (voir la figure ci-dessous).

Q. Quelles vulnérabilités se voient attribuer un classement VPR ?

R. Actuellement, Predictive Prioritization génère un classement VPR pour toutes les vulnérabilités pour lesquelles une CVE est publiée dans la National Vulnerability Database (NVD) aux États-Unis. Nous prévoyons d'élargir le champ des vulnérabilités évaluées par Predictive Prioritization à l'avenir.

Q. Un classement VPR peut-il évoluer ?

R. Oui, Predictive Prioritization recalcule les classements VPR de chaque CVE tous les jours. Ils peuvent évoluer ou non en fonction du paysage des menaces.

Q. La fonction Predictive Prioritization génère‑t‑elle un classement VPR pour les CVE qui n'ont pas d'évaluation CVSS ?

R. Oui. Si aucune métrique/score CVSS n'est disponible pour une CVE donnée, Predictive Prioritization génère un classement VPR en utilisant les informations disponibles (par exemple, la description de la vulnérabilité). Ces données seront utilisées pour alimenter un modèle qui prédit l'évaluation de la vulnérabilité en fonction des termes qui apparaissent dans le texte brut.

Par exemple, si la description de la vulnérabilité contient les termes « Adobe » et « exécution de code aléatoire », le modèle peut prédire que son évaluation CVSS sera élevée d'après l'historique des vulnérabilités présentant des caractéristiques similaires. La valeur projetée est ensuite remplacée par l'évaluation CVSS dès qu'elle est publiée. Cette méthode présente un avantage considérable, car il faut généralement 45 jours à NVD pour publier des évaluations CVSS après la publication d'une vulnérabilité.

Q. Aidez-moi à comprendre comment fonctionnent les classements VPR. À quoi correspond un classement VPR critique (> 9) ? Et qu'indique un classement VPR faible ?

R. D'une manière générale, un classement VPR critique signifie que la vulnérabilité en question présente une probabilité élevée d'être exploitée et/ou, si elle est exploitée, aura de graves conséquences pour votre entreprise.

À l'opposé, Predictive Prioritization attribue un classement VPR faible aux vulnérabilités qui présentent une probabilité faible d'être exploitées et/ou, si elles sont exploitées, dont les conséquences seront mineures pour votre entreprise. Cependant, gardez à l'esprit que nous ne pouvons jamais garantir à 100 % qu'une vulnérabilité ne sera pas exploitée.

Q. Tenable explique que la fonction Predictive Prioritization m'aidera à me concentrer sur les 3 % de vulnérabilités les plus importantes. À quoi correspondent ces 3 % ?

R. Ces 3 % correspondent aux vulnérabilités associées à un classement VPR élevé ou critique. Cela vous donne une indication des vulnérabilités que vous devez traiter en priorité. Nous vous recommandons de corriger les vulnérabilités présentant un classement VPR critique ou élevé avant de passer aux vulnérabilités présentant une sévérité moins élevée. En aucun cas nous ne vous suggérons d'ignorer les 97 % de vulnérabilités restantes.

Q. En quoi le classement VPR est-il différent de l'évaluation temporelle CVSS ?

R. La principale différence entre ces deux méthodes est que le classement VPR est une projection tournée vers l'avenir, tandis que l'évaluation CVSS se base uniquement sur le passé. Le classement VPR prend en compte non seulement la disponibilité et la fonctionnalité d'un code d'exploit, mais prédit également l'exploitabilité à court terme. Il offre également des données plus précises sur l'exploitation.

Q. Le terme « Predictive » semble intéressant, mais pourquoi est-ce important ?

R. Plutôt que de simplement nous baser sur les données historiques pour évaluer les vulnérabilités, nous utilisons également un algorithme prédictif basé sur l'apprentissage automatique, qui nous aide à anticiper ce qui est susceptible de se produire (plutôt que ce qui est déjà arrivé) et à prendre les mesures nécessaires. Il est important de savoir si la vulnérabilité a été exploitée par le passé pour gérer les risques, mais il est encore plus important de savoir ce qui est susceptible de se produire à l'avenir.

Q. Existe-t-il une différence entre une vulnérabilité exploitable et exploitée ?

R. Oui. « Exploitable » signifie simplement qu'un exploit est disponible sous une forme aussi basique qu'une preuve de concept non fiable publiée dans une archive publique. En revanche, une vulnérabilité exploitée est à prendre au sérieux : cela signifie qu'un exploit a permis d'exploiter la vulnérabilité.

Q. Qu'en est-il d'une vulnérabilité qui a déjà été exploitée ?

R. Même si une vulnérabilité a été exploitée dans le passé, la probabilité qu'elle le soit activement (c.-à-d. en étant utilisée dans des cyber-attaques) à l'avenir peut changer avec le temps.

Q. Analysez-vous l'historique complet de chaque vulnérabilité ?

R. Nous examinons toutes les informations disponibles depuis la publication de la vulnérabilité.

Q. Quelles données alimentent le modèle d'apprentissage automatique pour calculer le score de menace ?

R. Predictive Prioritization utilise actuellement plus de 150 caractéristiques distinctes pour alimenter le modèle d'apprentissage automatique et générer le score de menace. Une caractéristique est un attribut d'une CVE qui nous permet de la décrire ou de la comprendre plus clairement. Voici quelques exemples :

• Ancienneté de la vulnérabilité
• Disponibilité d'un kit d'exploit
• Discussions sur le Dark Web

De manière générale, nous classons les caractéristiques dans les catégories suivantes :

• Schéma des menaces antérieures (p. ex., preuves d'exploitation par le passé : il y a longtemps ? à quelle fréquence ?)
• Sources des menaces antérieures (p. ex., sources spécifiques donnant des preuves d'exploitation)
• Métriques liées à la vulnérabilité (métriques CVSS telles que le vecteur d'accès, la complexité de l'attaque, le score de base, etc.)
• Métadonnées de la vulnérabilité (ancienneté de la vulnérabilité, CVE, fournisseur/logiciel touché par la vulnérabilité, etc.)
• Disponibilité de l'exploit d'après les données de threat intelligence (la vulnérabilité est-elle recensée dans Exploit Database ? Dans Metasploit ?)

 Aujourd'hui, ces données proviennent de sept sources différentes :

• Sites web dédiés à la sécurité de l'information
• Articles de blog
• Divulgations de vulnérabilité
• Médias sociaux
• Forums
• Dark Web
• Paysage des vulnérabilités

Explorez d'autres ressources sur Predictive Prioritization

Nous avons conçu cette FAQ sur la base des questions les plus fréquemment posées par nos clients au sujet de Predictive Prioritization. Elle sera actualisée au besoin.

Voici d'autres ressources qui pourraient vous être utiles :

• Regardez le webinaire à la demande « Pour réduire votre Cyber Exposure, trouvez et corrigez (en premier) les 3 % de vulnérabilités les plus importantes »
• Explorez la page web relative à Predictive Prioritization