Rapport Tenable sur le paysage des menaces de 2022 : réduire son exposition en s'attaquant aux vulnérabilités connues

Le rapport sur le paysage des menaces de 2022 mené par Tenable sur l'année écoulée en termes de vulnérabilités et de cyber-menaces subies par les équipes de sécurité, insiste sur les défis titanesques engagés pour réduire le risque. Il fournit une analyse du paysage des menaces, aborde en détail les événements qui l'ont façonné ainsi qu'une liste des vulnérabilités réparties par fournisseur.

Pour certains, la lecture de ce rapport de 65 pages peut sembler rédhibitoire. En réalité, et en dépit de leur exhaustivité, les rapports de ce type n'ont pas la prétention de pouvoir représenter la totalité des dizaines de milliers de vulnérabilités auxquelles sont confrontées les équipes de sécurité chaque année. Chez Tenable, nous pensons que la seule solution pour les équipes de sécurité de réduire effectivement le risque est d'examiner, en contexte, les facteurs qui influencent les entreprises numériques complexes d'aujourd'hui. Le rapport sur le paysage des menaces est un outil capable de vous aider dans cette voie.

L'équipe SRT de Tenable inspecte chaque jour des données issues de centaines de sources afin d'identifier des événements pertinents pour nos clients et, plus largement, le secteur de la cyber-sécurité. Grâce à sa position privilégiée, elle dispose d'une vision globale sur les paysages des vulnérabilités et des menaces, ce qui lui permet d'aider les professionnels de la sécurité à identifier les tendances les plus importantes. Ce contexte est essentiel aux entreprises qui souhaitent évoluer d'une posture de cyber-sécurité réactive à une approche axée sur des mesures préventives et proactives.

Les organisations de cyber-sécurité ont dépassé le stade où elles peuvent gérer les vulnérabilités indépendamment. La surface d'attaque moderne est composée d'un mélange d'infrastructures sur site et dans le cloud, de systèmes de gestion des identités et des accès complexes et d'un grand nombre d'applications web et de microservices. La multitude de systèmes et d'outils de cyber-sécurité cloisonnés mis en place par les entreprises ne permet pas de réduire le risque.

Le plus inquiétant étant peut-être que les failles connues continuent à resurgir, années après années.

En 5 ans, de 2018 à 2022, le nombre de CVE signalées a augmenté à un taux de croissance annuel moyen de 26,3 %. Au 9 janvier 2023, 25 112 vulnérabilités ont été signalées en 2022. Cela représente une hausse de 14,4 % par rapport aux 21957 vulnérabilités signalées en 2021 et une augmentation de 287 % par rapport aux 6447 vulnérabilités signalées en 2016.  Le plus inquiétant étant peut-être que les failles connues continuent à resurgir, années après années. En effet, nous avons identifié tellement de failles remontant jusqu'en 2017 que nous avons jugé pertinent de les inclure dans les principales vulnérabilités de 2022.

L'analyse seule du paysage des vulnérabilités ne peut raconter qu'une partie de l'histoire. Les professionnels de la sécurité doivent également comprendre le paysage des menaces : comment les attaquants exploitent ces vulnérabilités, ainsi que d'autre outils et tactiques, pour cibler les entreprises, les gouvernements et autres organisations à but non lucratif.

Offrir une vue complète du paysage est essentiel pour bâtir un programme de gestion de la cyber-exposition efficace, lequel se doit d'être constitué d'individus, de process et de technologies. La gestion de l'exposition offre aux entreprises la possibilité de transcender les limites des programmes de sécurité en silos. L'élaboration d'un programme de gestion de l'exposition implique de réunir les données d'outils associés à la gestion des vulnérabilités, à la sécurité des applications web, à la sécurité du cloud, à la sécurité des identités, à l'analyse du chemin d'attaque et à la gestion de la surface d'attaque. Il faut alors les analyser en contexte dans votre configuration unique d'utilisateurs, d'IT et d'assets OT (technologies opérationnelles) et IoT (Internet of Things) pour pouvoir exécuter un workflow basé sur des risques. L'objectif ? Bénéficier des données contextuelles requises pour exécuter un programme de sécurité continu et préventif conçu sur des workflows basés sur le risque.

Pour vous aider dans cette mission, la Rétrospective du paysage des menaces de 2022 étudie :

• Les vulnérabilités importantes divulguées et exploitées au cours de l'année, y compris la façon dont les erreurs de configuration sur le cloud peuvent impacter même les poids lourds du secteur de la technologie.
• Les transformations permanentes de l'écosystème des ransomwares et ascension des groupes malveillants pratiquant l'extorsion.
• Les vulnérabilités, attaques et risques permanents au sein de la chaîne d'approvisionnement des logiciels.
• Les tactiques utilisées par les groupes malveillants persistants et technologiquement avancés pour viser les entreprises avec des actions de cyber-espionnage et des attaques motivées par un aspect financier ou de perturbation.
• Les facteurs de violation et défis liés à l'analyse des données de violation, compte tenu des informations restreintes disponibles et du manque d'exigences pour la génération de rapports détaillés.
• Les détails des principales vulnérabilités affectant les logiciels d'entreprise

5 manières de tirer parti de ce rapport

Les professionnels de la sécurité peuvent tirer parti des informations découvertes dans ce rapport de cinq façons :

1. Réduisez l'exposition de votre entreprise en identifiant les vulnérabilités et erreurs de configuration référencées dans ce rapport, puis en y apportant une remédiation.
2. Gardez les attaquants à distance en découvrant comment ils s'infiltrent dans les entreprises et diffusent leurs attaques par ransomware pour prendre en otage les organisations et leurs données sensibles.
3. Protégez vos données en identifiant quelques-unes des méthodes courantes de violation des données et comment votre entreprise peut les empêcher.
4. Priorisez les vulnérabilités les plus souvent exploitées et optimisez l'efficacité de votre stratégie d'application de correctifs et d'atténuation du risque.
5. Élargissez vos contrôles de sécurité pour corriger les erreurs de configuration des identités et du cloud que les attaquants continuent de prendre pour cible.

Le rapport fournit également quatre recommandations que les professionnels de la sécurité peuvent suivre pour améliorer leurs efforts en matière de cyber-sécurité préventive et renforcer leurs pratiques de gestion de l'exposition.

Aperçu du rapport du paysage des menaces de 2022

Le rapport s'articule autour de trois sections, qui combinées, visent à apporter une perspective avisée de la cyber-sécurité au cours de l'année écoulée, tout en aidant les professionnels de la sécurité à détecter plus facilement les domaines qui comptent le plus pour leur entreprise.

La première partie explore les événements notables faisant partie du paysage des vulnérabilités, notamment :

• La présence constante des vulnérabilités Microsoft Exchange Server dans les attaques
• Log4Shell, les vulnérabilités notables et les inquiétudes liées à la chaîne d'approvisionnement
• Les erreurs de configuration et les problèmes de sécurité dans le cloud

La deuxième partie décrit les événements qui ont faconné le paysage des menaces, notamment :

• L'activité des États-nations
• L'impact prolongé du ransomware, et l'évolution de l'écosystème et des tactiques
• Les événements de violation de données et les principales observations dérivées de la compilation de données accessibles au public

La troisième partie dresse la liste de toutes les vulnérabilités décrites au cours du rapport, triées par fournisseur, de sorte que vous pouvez facilement détecter celles qui revêtent le plus d'importance pour votre entreprise. Nous fournissons une description détaillée de plus de 170  vulnérabilités qui affectent plus de 30 fournisseurs et d'outils open source, tels que Apache, Apple, Atlassian, F5 Networks et Microsoft. 

Pour en savoir plus

• Téléchargez le Rapport sur le paysage des menaces de 2022
• Participez au webinaire, Tenable Research Shares Its 2022 Recap and Defender Recommendations for 2023 - Get Ready to Strengthen Your Cyber Defenses in the Year Ahead
• Lisez le blog Gestion de l'exposition : notre vision pour sécuriser la surface d'attaque moderne
• Comprenez et réduisez votre exposition grâce à Tenable.io et les dashboards Security Center