Équipes de sécurité : ce qu'il faut savoir sur la réponse aux vulnérabilités

La fonction Predictive Prioritization de Tenable tire parti de la data science et de l'apprentissage automatique pour faciliter la recherche, la correction et la remédiation des vulnérabilités pour les équipes de cyber-sécurité.  

Semaine après semaine, de nouvelles vulnérabilités critiques sont découvertes dans des logiciels d'entreprise. En conséquence, les équipes de sécurité se démènent pour appliquer le plus de mises à jour correctives possibles afin de minimiser les dommages.

Souvent, les mesures correctives ne sont pas motivées par des besoins métier ni même des considérations de sécurité stratégiques, mais par le signalement dans les médias de certaines vulnérabilités. Ce scénario se répète sans cesse, ce qui provoque des interruptions d'activité inutiles et ajoute une pression considérable sur les équipes de cyber-sécurité, déjà surchargées de travail.

« C'est le serpent qui se mord la queue », délcare Gavin Millard, vice-président du marketing produit chez Tenable, pour décrire la situation lors d'un récent webinaire intitulé Exploiter la puissance de la data science pour la priorisation. 

« En général, vous passez en revue la liste des vulnérabilités qui ont été découvertes et vous les corrigez ou vous mettez en place des contrôles compensatoires. D'autres vulnérabilités sont découvertes [produisant ainsi] un effet boule de neige avec toujours plus de vulnérabilités à traiter », décrit M. Millard.

« C'est regrettable », ajoute-t-il.

Il existe des moyens pour tirer parti de disciplines telles que la data science ou de technologies telles que l'apprentissage automatique, afin de créer une approche plus globale de la remédiation des vulnérabilités logicielles.

Une nouvelle approche de priorisation peut aider les RSSI et leurs équipes de sécurité à gérer plus efficacement les vulnérabilités logicielles auxquelles ils doivent faire face chaque jour. Les équipes peuvent ainsi concentrer leurs efforts de remédiation sur les failles qui représentent vraiment un danger pour l'entreprise.

C'est là où la fonction Predictive Prioritization entre en scène.

Lancée plus tôt cette année, la fonction Predictive Prioritization associe des données de vulnérabilité recueillies par Tenable et des données sur les vulnérabilités et les menaces provenant de sources tierces. Elle analyse le tout en s'appuyant sur un algorithme sophistiqué de data science développé par Tenable Research. Chaque vulnérabilité se voit désormais attribuer un classement VPR (Vulnerability Priority Rating) qui intègre le résultat de cette analyse, mis à jour quotidiennement. Les capacités de Predictive Prioritization offrent aux équipes de gestion des vulnérabilités un moyen de classer les vulnérabilités selon les besoins métier de l'entreprise. 

Surmonter les obstacles de la gestion des vulnérabilités

Le besoin de changer d'approche est confirmé dans une récente étude du Ponemon Institute intitulée Mesure et gestion des cyber-risques pour les opérations commerciales, sponsorisée par Tenable. Pour les besoins de l'étude, Ponemon a interrogé 2 410 professionnels du secteur de l'IT et de la sécurité IT aux États-Unis, au Royaume-Uni, en Allemagne, en Australie, au Mexique et au Japon. 

La moitié des personnes interrogées (51 %) ont déclaré passer plus de temps sur des processus manuels qu'à gérer des vulnérabilités, ce qui entraîne d'énormes retards. En effet, 48 % des personnes interrogées affirment que le recours à des processus manuels désavantage leur entreprise dans sa capacité à répondre aux vulnérabilités.

Seulement 39 % des sondés ont déclaré utiliser la threat intelligence pour décider quels assets sont les plus importants à protéger. Moins d'un tiers des sondés (29 %) estiment avoir une connaissance suffisante de la surface d'attaque de leur entreprise.

Voici les problèmes que Predictive Prioritization a pour objectif de résoudre :

• réduire le recours aux processus manuels ;
• donner aux RSSI, dont les ressources sont limitées, accès aux données les plus récentes et pertinentes de threat intelligence ;
• donner une visibilité claire sur toute la surface d'attaque dans un contexte où les responsabilités des équipes de sécurité s'élargissent.

Quand tout est une priorité… 

D'après la National Vulnerability Database (NVD), plus de 16 500 vulnérabilités ont été publiées en 2018. Parmi celles-ci, 15 % ont reçu une note supérieure ou égale à 9 dans le cadre de l'évaluation CVSS (Common Vulnerability Scoring System).

Cette approche vous fait perdre du temps et des efforts inutilement.

« Si toutes les vulnérabilités sont jugées critiques, alors aucune ne l'est », a déclaré M. Millard lors du webinaire.

Predictive Prioritization capitalise sur l'analyse CVSS traditionnelle en créant un score dynamique qui prend en compte le risque réel que ces failles logicielles posent à l'entreprise, au lieu de se concentrer sur la sophistication technique d'une vulnérabilité en particulier. « Pour moi, l'évaluation CVSS, c'est un peu comme un CV. Cela vous permet de connaître une personne dans les grandes lignes, mais pas sa vraie personnalité ni la façon dont elle l'exploite », explique M. Millard, citant une étude de l'Université Carnegie Mellon, Toward Improving CVSS, qui a révélé que l'évaluation CVSS avait besoin d'être améliorée.

Dans un article de blog du 5 décembre 2018 relatif à cette étude, Deana Schick, membre du corps professoral de Carnegie Mellon, présente ses conclusions : « L'évaluation CVSS a été conçue pour mesurer la sévérité technique d'une vulnérabilité mais est largement utilisée à tort comme moyen de prioriser les vulnérabilités et d'évaluer le risque qu'elles posent. L'algorithme de notation n'est pas clairement justifié et n'offre pas la transparence nécessaire pour que la communauté comprenne quelle est sa fonction. De plus, si le score CVSS est mal utilisé, les conclusions qui en découlent ne peuvent être qu'erronées. »

Dans le webinaire Tenable, M. Millard ajoute que : « l'évaluation CVSS est très technique et se concentre uniquement sur les indicateurs de base, temporels [et] environnementaux de cette vulnérabilité. Il ne vous donne pas une vision du risque qui soit fidèle à la réalité. »

Le classement VPR (Vulnerability Priority Rating), qui est le score généré par la fonction Predictive Prioritization de Tenable, est recalibré chaque nuit pour prendre en compte les nouvelles informations publiées par les ressources mondiales de Tenable. D'une manière générale, la fonction Predictive Prioritization et le classement VPR donnent lieu à une réduction d'environ 97 % du nombre de vulnérabilités nécessitant une remédiation immédiate. Les équipes de gestion des vulnérabilités acquièrent ainsi une vision claire des 3 % de vulnérabilités restantes susceptibles d'être exploitées lors d'attaques.

En savoir plus

• Lisez l'article de blog : Ce qu'il faut savoir sur les meilleures pratiques de gestion des vulnérabilités
• Regardez le webinaire : Exploiter la puissance de la data science pour la priorisation