3 observations relatives aux vulnérabilités qui méritent votre attention
Le Rapport sur les vulnérabilités, publié aujourd'hui par Tenable Research, présente les tendances actuelles de la divulgation des vulnérabilités, ainsi que des analyses de données démographiques concrètes relatives aux vulnérabilités en entreprise. Voici trois faits marquants de ce rapport.
Étant donné que les vulnérabilités sont au centre de toutes nos activités chez Tenable Research, la situation de l'écosystème des vulnérabilités revêt un intérêt tout particulier pour nous.
Pour obtenir une visibilité globale sur cet écosystème, vous devez d'abord examiner les évolutions et les tendances en matière de recherche et de divulgation des vulnérabilités. Cet aspect est bien documenté : en effet, de nombreux fournisseurs et entreprises du secteur publient régulièrement des analyses sur les tendances observées dans les référentiels CVE (Common Vulnerabilities and Exposures) et NVD (National Vulnerability Database). Connaître la diversité, la croissance et l'évolution des vulnérabilités et des faiblesses courantes nous donne une idée générale de la situation, mais offre uniquement des informations descriptives. Le CVE et le NVD vous indiquent quelles vulnérabilités existent en théorie, non en pratique, et ils n'offrent aucune information sur la population véritablement active des vulnérabilités.
Pour comprendre quelles vulnérabilités existent réellement, des informations sur le comportement des utilisateurs finaux et la télémétrie sont nécessaires. Tenable Research est le seul à proposer ces données uniques. Nous savons quelles vulnérabilités sont réellement actives. Sur les 107 710 CVE distinctes publiées depuis 1999, 22 625 (soit 23 %) existent réellement en entreprise. Voilà la réalité de l'écosystème des vulnérabilités. Le reste a disparu ou se cache dans l'équivalent digital du lac Vostok.
Nous constatons une croissance continue du nombre relatif et absolu de vulnérabilités. En 2017, 15 038 nouvelles vulnérabilités ont été publiées, contre 9 837 en 2016, soit une augmentation de 53 %. Si l'on compare la première moitié de 2018 à celle de 2017, nous nous dirigeons actuellement vers une augmentation de 27 %, soit 18 000 à 19 000 nouvelles vulnérabilités cette année. Et il s'agit certainement là d'une estimation basse.
Une gestion efficace des vulnérabilités et des menaces dépend désormais de la façon de gérer les questions de scalabilité, complexité, volume et vitesse : à savoir la scalabilité et la complexité des utilisateurs et réseaux distribués, mobiles et hétérogènes, le volume des vulnérabilités qui en découlent et la vitesse à laquelle de nouvelles vulnérabilités sont divulguées et exploitées. Plus que jamais, des informations exploitables sont nécessaires. Cette nécessité nous concerne tout autant, ici chez Tenable Research, et nous mettons en pratique ce que nous prônons. D'où notre Rapport sur les vulnérabilités. Comme nous croyons à la transparence et au partage de connaissances, nous partageons ce rapport avec notre communauté.
Cliquez ici pour vous procurer un exemplaire du rapport. En attendant, je souhaiterais développer trois observations qui, selon nous, méritent votre attention.
Le CVSS version 3 a aggravé le problème de priorisation
Le CVSS version 3 a vu le jour en 2015. Il visait à résoudre certaines limites de la version 2, notamment en ce qui concerne l'évaluation de l'impact d'une vulnérabilité, entre autres modifications. Bien que les scores de la version 3 soient rarement disponibles pour les vulnérabilités plus anciennes, la plupart des vulnérabilités de 2016 jusqu'à aujourd'hui ont commencé à être notées selon le CVSSv3. Les résultats obtenus sur le terrain et des rapports tiers ont mis en évidence des faiblesses dans la version 3 depuis sa mise en production. Venant confirmer cette critique, nos propres analyses ont démontré que le CVSSv3 note la majorité des vulnérabilités comme étant élevées ou critiques.
Comme représenté dans le schéma 1, le CVSSv2 a noté 31 % des CVE comme étant de gravité élevée, contre 60 % notées comme étant de gravité élevée ou critique par le CVSSv3.
Utilisé seul, le CVSSv3 aggrave le problème de priorisation au lieu de le résoudre. Avant que notre analyse soit interprétée comme une recommandation en faveur du CVSSv2, veuillez noter que la raison initiale de l'adoption de la version 3 est toujours d'actualité, la version 2 ne reflétant pas fidèlement le risque représenté par une vulnérabilité pour d'autres composants système.
Schéma 1 : CVE au total - Distributions de gravité CVSS
Les vulnérabilités héritées représentent toujours un risque résiduel
Dans la deuxième section du rapport, nous examinons la prévalence des vulnérabilités (celles qui existent réellement en entreprise) en analysant les données issues de plus de 900 000 évaluations des vulnérabilités effectuées entre mars et août 2018. Nous avons également approfondi l'analyse en examinant les vulnérabilités des navigateurs web et des applications, en raison de leur inclusion dans des kits d'exploits, ainsi que d'autres attaques côté client. Qu'est-ce qui nous a immédiatement frappé ? De nombreuses vulnérabilités détectées par les entreprises se trouvent dans des logiciels datés ou hérités.
Le schéma 2 montre clairement la concentration de vulnérabilités Firefox entre 2012 et 2017, avec un pic en 2015. Firefox possède un peu plus de 10 % de parts de marché pour les navigateurs web, mais représente en fait 53 % de toutes les vulnérabilités de gravité élevée dans notre ensemble de données. Les vulnérabilités de Firefox ne sont pas corrigées.
Schéma 2 : Diverses CVE de navigateur web de gravité élevée très répandues dans les environnements d'entreprise
Comme vous pouvez le constater dans le schéma 3, il existe un phénomène similaire pour Microsoft Office et Oracle Java.
Schéma 3 : Diverses CVE d'application de gravité élevée très répandues dans les environnements d'entreprise
De nombreuses raisons peuvent justifier qu'une entreprise continue d'utiliser d'anciennes versions de logiciels et de systèmes. Java, en particulier, est réputé poser des problèmes en raison de ses dépendances de version. Dans ce type de cas, les systèmes vulnérables peuvent être segmentés ou les logiciels peuvent être installés sur un système virtuel et être démarrés uniquement en cas de besoin. Sans raison légitime pour l'entreprise, ces applications représentent cependant un risque résiduel qui pourrait être évité.
L'exploitabilité n'est pas assez utilisée comme critère de priorisation
Lorsqu'une vulnérabilité est découverte, elle représente un risque hypothétique. Après la publication d'un exploit, cette vulnérabilité devient un risque potentiel si elle est présente dans votre système. Notre recherche montre que des exploits publics étaient disponibles pour 7 % des vulnérabilités découvertes en 2017. Même si cela laisse encore aux entreprises jusqu'à 751 vulnérabilités à prioriser, c'est un progrès par rapport au volume qu'elles auraient dû gérer si elles avaient utilisé le CVSSv3 seulement. Avec cette approche, 8 120 vulnérabilités (soit 54 % du total) auraient été évaluées avec une note CVSSv3 de 7,0 ou plus, soit autant de vulnérabilités à prioriser. Même en se concentrant sur les notes de 9,0 à 10 du CVSSv3, le nombre de vulnérabilités « critiques » se serait élevé à 1 804 (soit 12 %).
Ces informations sont disponibles pour la plupart des utilisateurs finaux dans leur solution VA. Elles sont automatiquement rendues opérationnelles via une mise en corrélation des données d'exploitabilité avec les vulnérabilités détectées.
En analysant les 609 vulnérabilités d'application de gravité élevée de notre ensemble de données, nous avons découvert que la majorité des mises à jour de sécurité non effectuées corrigeaient les vulnérabilités pour lesquelles des exploits publics étaient disponibles. Comme vous pouvez le constater dans le schéma 4, des exploits publics sont disponibles pour au moins 79 % des mises à jour de sécurité manquantes qui corrigent les vulnérabilités de gravité élevée d'Adobe Flash et qui ont été détectées comme manquantes par les entreprises dans leur environnement. Pour Adobe PDF, ce chiffre est de 96 %. Étant donné que le contenu utilisant Flash sur Internet a fortement décliné et ne sera plus pris en charge dès 2020, il n'y a que peu d'intérêt à garder Flash sachant que cela représente un important risque résiduel. Dans l'ensemble de données, le pourcentage le plus bas parmi les groupes d'applications pour lesquels des mises à jour de sécurité corrigeant une vulnérabilité avec un exploit public disponible étaient manquantes était de 41 %.
Schéma 4 : des exploits publics sont disponibles pour au moins 79 % des mises à jour de sécurité manquantes corrigeant des vulnérabilités de gravité élevée d'Adobe Flash.
Étant donné l'utilité indéniable du critère de l'exploitabilité pour évaluer si une vulnérabilité représente un risque aigu et compte-tenu de la disponibilité publique des informations, cette découverte nous a surpris. Il est clair que nous devons faire connaître et populariser ce critère de priorisation simple mais efficace.
Voilà trois des observations clés qui ont retenu notre attention. Vous pouvez lire le rapport en intégralité ici.
Pour en savoir plus :
- Téléchargez le Rapport sur les vulnérabilités.
- Lisez l'eBook : How to Prioritize Cybersecurity Risk: A Primer for CISOs (Comment prioriser le cyber-risque : les fondamentaux pour les RSSI).
- Lisez notre article de blog : Vulnerability Intelligence Report : une approche de priorisation basée sur les menaces.
Articles connexes
- Metrics
- Reports
- Research Reports
- Vulnerability Management
- Vulnerability Scanning