La longueur d'avance de l'attaquant : un avantage quantifié
Tenable Research vient de publier un rapport sur le laps de temps entre le moment où un exploit est disponible publiquement pour une vulnérabilité donnée et la première fois où cette vulnérabilité est évaluée.
Pour cette étude, nous avons analysé les 50 vulnérabilités de sévérité critique et élevée les plus courantes parmi près de 200 000 évaluations des vulnérabilités réalisées sur une période de trois mois à la fin de l'année 2017, pour fonder cette analyse sur des données concrètes. Nous avons utilisé ces vulnérabilités pour déterminer le « délai de disponibilité de l'exploit » et le « délai d'évaluation », afin de calculer le delta médian.
Le delta représente la première action de l'attaquant et du défenseur. Bien qu'il ne couvre pas la boulce OODA (observation, orientation, décision et exécution) dans son intégralité pour chacun des acteurs, il indique qui a pris le meilleur départ, et qui va finalement gagner.
Un delta négatif indique que les attaquants disposent d'une fenêtre d'opportunité pour exploiter une vulnérabilité, avant même que les défenseurs ne prennent connaissance du risque.
Les attaquants ont une longueur d'avance
Notre analyse a conclu que le delta médian était de -7,3 jours. Le délai de disponibilité médian de l'exploit était de 5,5 jours, contre 12,8 jours pour le délai d'évaluation médian. Les attaquants ont donc une avance de sept jours en moyenne sur les défenseurs.
Le delta était négatif pour 76 % des vulnérabilités analysées. Au cas par cas, ce sont donc les attaquants qui ont le plus souvent l'avantage de l'offensive.
Lorsque le delta était positif, c'était le plus souvent parce que le temps avant la mise à disposition d'un exploit était très long, et non grâce à la fréquence d'analyse élevée des défenseurs. Pour 34 % des vulnérabilités analysées, un exploit a été mis à disposition le jour même de la divulgation de la vulnérabilité. Cela donne à réfléchir. L'examen individuel de chaque vulnérabilité est néanmoins encore plus intéressant.
24 % des 50 vulnérabilités les plus courantes que nous avons analysées sont activement exploitées par des malwares, des ransomwares ou des kits d'exploit. 14 % étaient suffisamment dommageables pour attirer l'attention des médias. L'échantillon contenait des vulnérabilités visées par les kits d'exploit Disdain et Terror, les ransomwares Cerber et StorageCrypt, et même par des groupes APT tels que Black Oasis pour installer le logiciel de surveillance FinSpy.
Comment reprendre l'avantage
La plupart des professionnels de la sécurité ont le sentiment d'être toujours à la traîne, mais en quantifiant la longueur d'avance des attaquants, nous pouvons déterminer précisément notre retard et définir les mesures à appliquer pour reprendre le dessus.
La plupart des entreprises effectuent des évaluations des vulnérabilités une fois par mois, voire par trimestre. Cette fréquence est déterminée par des facteurs internes, comme les cycles de correctifs mensuels définis par l'entreprise, et non par les événements externes. Nous avons tendance à oublier que c'est l'adversaire qui siffle le début de la partie. Nous ne pouvons pas contrôler quand et comment l'attaquant va lancer l'offensive, mais nous pouvons contrôler notre propre environnement.
Les comportements des entreprises en matière d'analyses nous indiquent qu'à peine plus de 25 % d'entre elles procèdent à des évaluations des vulnérabilités au moins tous les deux jours. Cet objectif tout à fait réalisable permettrait de réduire l'avance qu'ont les attaquants pour la plupart des vulnérabilités. Cependant, la latence faisant partie intégrante du processus, il reste une composante de risque qui ne peut pas être éliminée simplement en augmentant la fréquence d'analyse.
Une approche plus efficace de la gestion des vulnérabilités et de la Cyber Exposure ne peut pas être basée sur un modèle de type marche-arrêt ou de cycles distincts. Elle doit reposer sur les éléments suivants :
- Évaluation continue de notre positionnement de sécurité
- Approche proactive face aux risques prévisibles
- Réaction rapide face aux nouveaux risques et aux risques imprévus
Le paysage des menaces évolue à un rythme sans précédent, sur une surface d'attaque en expansion. Il exige un processus plus agile, fonctionnant comme une boucle de rétroaction. La nouvelle discipline baptisée SecDevOps propose déjà certaines pratiques d'excellence bien établies. Un meilleur alignement et une collaboration plus étroite des équipes opérationnelles et des équipes de sécurité sont également indispensables.
Nous ne devons pas sous-estimer l'importance de l'évaluation des vulnérabilités dans l'analyse et la compréhension de l'état de Cyber Exposure, ainsi que dans la définition de la « rétroaction » appropriée dans notre boucle. Bien qu'il soit impossible de remédier immédiatement à chaque vulnérabilité, l'évaluation continue peut permettre une remédiation d'urgence au cas par cas, ou rendre compte que des contrôles d'atténuation des risques, tels que le contrôle des accès, doivent être appliqués pour réduire le retard de correction et la fenêtre d'exposition qu'il génère.
Réduisez le temps d'évaluation des vulnérabilités
Pour obtenir des recommandations sur la manière d'accélérer les évaluations des vulnérabilités et des informations détaillées sur les résultats de notre étude, téléchargez le rapport La longueur d'avance de l'attaquant : un avantage quantifié.
Articles connexes
Pig Butchering Scam: How Bitcoin, Ethereum, Litecoin and Spot Gold (XAUUSD) Investments Are Used in Romance Scams to Steal Hundreds of Millions
February 14, 2024This is the second part of a two-part series based on firsthand research into pig butchering scams from the end of 2022 into early 2024. In this post, we delve into the types of investment scams perpetrated by pig butchers to steal hundreds of millions of dollars from victims, including in the form of cryptocurrency and spot gold.
Tales Of Zero-Day Disclosure: Tenable Researchers Reveal Recommendations for a Successful Experience
November 15, 2021Real life stories of vulnerability discovery and disclosure from Tenable’s Zero Day Research team offer guidance you can use to refine your organization's policies.
Spotlight on Brazil: Remote Work Requires New Risk Management Practices
October 14, 2021Remote work is here to stay — along with the risks it introduces to Brazilian organizations, if not managed properly. Here's what you need to know. The pandemic forced many Brazilian organizations to...
How Risk-based Vulnerability Management Boosts Your Modern IT Environment's Security Posture
July 11, 2024Vulnerability assessments and vulnerability management sound similar – but they’re not. As a new Enterprise Strategy Group white paper explains, it’s key to understand their differences and to shift from ad-hoc vulnerability assessments to continuous, risk-based vulnerability management (RBVM). Read on to check out highlights from this Tenable-commissioned study and learn how RBVM helps organizations attain a solid security and risk posture in hybrid, complex and multi-cloud environments.
Microsoft’s July 2024 Patch Tuesday Addresses 138 CVEs (CVE-2024-38080, CVE-2024-38112)
July 9, 2024Microsoft addresses 138 CVEs in its July 2024 Patch Tuesday release, with five critical vulnerabilities and three zero-day vulnerabilities, two of which were exploited in the wild.
How the regreSSHion Vulnerability Could Impact Your Cloud Environment
July 5, 2024With growing concern over the recently disclosed regreSSHion vulnerability, we’re explaining here what it is, why it’s so significant, what it could mean for your cloud environment and how Tenable Cloud Security can help.
- Reports
- Research Reports
- Vulnerability Management
- Vulnerability Scanning