Vulnerability Intelligence Report : une approche de priorisation basée sur les menaces

Tenable Research s'attache à fournir aux entreprises les données concrètes dont elles ont besoin pour adopter une gestion des vulnérabilités basée sur les menaces.

Jusque-là, il était difficile d'évaluer l'état réel de Cyber Exposure, c'est-à-dire la manière dont les défenseurs agissent en pratique, et non comment ils pensent ou disent agir.

Le nouveau Rapport sur les vulnérabilités présente les tendances actuelles de la divulgation des vulnérabilités, ainsi que des données démographiques concrètes sur les vulnérabilités, relatives aux environnements des entreprises. Ce rapport analyse la prévalence des vulnérabilités existantes, en fonction du nombre d'entreprises touchées, en s'intéressant principalement aux vulnérabilités auxquelles les acteurs de la sécurité font face en pratique, et pas seulement en théorie.

Sachant que 61 % des vulnérabilités détectées dans les entreprises sont considérées comme étant de sévérité élevée, les équipes cybersécurité ont la dure tâche de déterminer celles qui représentent un véritable risque. Elles doivent prioriser les vulnérabilités les plus critiques afin d'optimiser leurs ressources de remédiation limitées. Lorsque tout est urgent, le tri est impossible.

Une meilleure priorisation est essentielle

Pour prioriser, les entreprises doivent avant tout mieux comprendre les conséquences réelles et non théoriques des vulnérabilités. Utilisé en tant qu'indicateur de priorisation, le CVSS n'est pas adapté. Il manque de granularité en termes d'échelle et de volume, étant donné que la majorité des vulnérabilités sont classées comme étant de sévérité élevée ou critique. Le passage du CVSSv2 au CVSSv3 ne fait qu'ajouter au problème, étant donné que la majorité des vulnérabilités sont désormais enregistrées comme « élevées » ou « critiques ».

Le bon sens nous dit que lorsque tout semble important, c'est que rien ne l'est. Une meilleure technique de priorisation est nécessaire. Les informations fournies doivent donner du contexte, tel que les renseignements sur les cybermenaces, de façon à ce que les entreprises puissent prioriser les vulnérabilités en fonction des menaces réelles actuellement en circulation.

Tenable Research s'attache à fournir ce type d'informations dans son Rapport sur les vulnérabilités.

Le rapport analyse la prévalence des vulnérabilités en fonction du nombre maximum d'entreprises touchées en un seul jour afin de mettre en évidence les vulnérabilités auxquelles font face les équipes de sécurité au quotidien.

En moyenne, une entreprise détecte 870 CVE dans 960 assets chaque jour. Même si elle décide de résoudre seulement les CVE de sévérité élevée, l'entreprise doit toujours évaluer et prioriser, en moyenne, plus de 548 vulnérabilités chaque jour, et souvent sur de multiples systèmes.

Même si elle décide de résoudre seulement les CVE critiques, l'entreprise doit toujours, en moyenne, prioriser plus de 100 vulnérabilités par correctif chaque jour, souvent sur plusieurs systèmes. Viennent s'ajouter à ce problème le fait que les vulnérabilités non définies comme « critiques » (c'est-à-dire ayant une note CVSS inférieure à 9) peuvent avoir des répercussions catastrophiques. Par exemple, WannaCry exploitait une vulnérabilité avec une note inférieure à 9 (elle était évaluée à 8,5).

Cette étude confirme que la gestion des vulnérabilités est une question d'échelle, de vitesse et de volume. En plus de poser un défi d'ingénierie, elle requiert une visibilité axée sur les menaces afin de prioriser des milliers de vulnérabilités qui au premier abord semblent toutes les mêmes.

Ce rapport présente le top 20 des vulnérabilités les plus courantes dans les différentes technologies utilisées en entreprise. Ce tableau utilise des données télémétriques concrètes afin d'identifier les vulnérabilités effectivement présentes en entreprise et donc de représenter le véritable risque. Les entreprises peuvent utiliser ces informations pour comparer leur propre liste de vulnérabilités avec une population plus large.

Observations clés :

• Les chiffres grossissent : un total de 15 038 nouvelles vulnérabilités ont été publiées en 2017, contre 9 837 en 2016, soit une augmentation de 53 %. Entre 18 000 et 19 000 nouvelles vulnérabilités sont attendues pour l'année 2018. Presque deux tiers (61 %) des vulnérabilités touchant les entreprises ont un score de gravité CVSSv2 élevé (de 7,0 à 10,0).
• Mais il y a un hic. Des exploits publics ne sont disponibles que pour 7 % des vulnérabilités. En réalité, pour la plupart des vulnérabilités, aucun exploit opérationnel n'est jamais développé, et sur ceux qui le sont, un nombre encore plus réduit est activement employé par les acteurs de menaces. Trouver et corriger ces 7 % est essentiel pour améliorer la Cyber Exposure d'une entreprise.

Selon les prévisions actuelles, plus de 1 500 vulnérabilités exploitées seront publiées en 2018, soit un peu plus de 28 vulnérabilités exploitées chaque semaine. S'appuyer sur des informations plus pertinentes n'est pas seulement un atout, c'est une nécessité. Téléchargez le Rapport sur les vulnérabilités ici afin de mieux comprendre pourquoi vous devez élaborer une approche de priorisation basée sur le risque.

Pour en savoir plus :

• Téléchargez le Rapport sur les vulnérabilités.
• Lisez l'eBook : How to Prioritize Cybersecurity Risk: A Primer for CISOs (Comment prioriser le cyber-risque : les fondamentaux pour les RSSI).
• Lisez cet article de notre blog technologique : Trois observations relatives aux vulnérabilités qui méritent votre attention.