Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

DSI : prendre en compte l’exploitabilité des vulnérabilités pour prioriser les efforts de remédiation

mai 2019 par Oliver Rochford, Research Director, Tenable

L’importance d’une vulnérabilité dépend de trois critères principaux : le premier est la gravité en cas d’utilisation de cette vulnérabilité, le second est l’existence ou non d’un exploit public et le troisième est le taux d’application des correctifs relatifs à cette vulnérabilité.

Pour avoir une vue d’ensemble de l’écosystème de la vulnérabilité, il faut d’abord examiner les tendances en matière de recherche et de divulgation sur les vulnérabilités. Cet aspect est bien étudié, de nombreux fournisseurs et organisations de l’industrie publiant régulièrement des commentaires sur les tendances dans la base de données CVE (Common Vulnerabilities and Exposures) et la base de données NVD (National Vulnerability Database). Cela donne une idée des failles existantes, mais ne fournit que des informations descriptives. Les CVE et NVD indiquent quelles vulnérabilités existent en théorie mais ne fournissent pas d’aperçu en temps réel des vulnérabilités existantes.

Pour comprendre quelles vulnérabilités existent réellement, il faut comprendre le comportement de l’utilisateur final et la télémétrie. Sur les 107 710 CVE publiées depuis 1999, 22 625 (23 %) existent effectivement dans les entreprises. Le véritable écosystème de vulnérabilité se trouve précisément ici. Néanmoins, nous constatons une croissance continue du nombre relatif et absolu de vulnérabilités. En 2017, 15 038 nouvelles vulnérabilités ont été publiées contre 9 837 en 2016, soit une augmentation de 53 %. Et le nombre de vulnérabilités a encore augmenté en 2018.

Une gestion efficace des menaces et des vulnérabilités est désormais dictée par l’échelle et la complexité, le volume et la vitesse - l’échelle et la complexité des réseaux et des utilisateurs distribués, mobiles et hétérogènes, le volume des vulnérabilités qui en résultent et la vitesse avec laquelle les nouvelles vulnérabilités sont révélées et exploitées. Dans cette course contre la montre, pour colmater les failles avant qu’elles ne soient utilisées, l’exploitabilité des renseignements est critique. Le Vulnerability Intelligence Report publié par Tenable Research souligne trois aspects importants dans cette course.

La version 3 du CVSS a aggravé les problèmes de priorisation

La version 3 du CVSS a été introduite en 2015 et visait notamment à dépasser certaines limites dans la façon dont la version 2 évaluait l’impact d’une vulnérabilité. Alors que les scores de la version 3 sont rarement disponibles pour les vulnérabilités plus anciennes, la plupart des vulnérabilités ultérieures à 2016 a commencé à recevoir des scores du CVSS v3. Les retours provenant du terrain et les rapports de tierces parties ont révélé des faiblesses dans la version 3 depuis sa publication.

Notre propre analyse corrobore cette critique, montrant que le CVSS v3 considère la majorité des vulnérabilités comme élevées et critiques. Comme le montre le graphique ci-dessous, le CVSS v2 a qualifié 31 % des CVE comme étant de gravité élevée, contre 60 % selon le CVSS v3.

Tenable Vulnerability Intelligence Report - CVEs overall ??? CVSS severity distributions

Utilisé seul, le CVSS v3 aggrave, au lieu de résoudre, le défi de l’établissement des priorités. Attention, cela ne veut pas dire qu’il vaut mieux utiliser le CVSS v2, car la version plus ancienne ne donne pas d’indications fiables sur le risque qu’une vulnérabilité représente pour les autres composants du système.

Les vulnérabilités des logiciels et infrastructures hérités représentent toujours un risque

La prévalence des vulnérabilités qualifie les vulnérabilités qui existent réellement dans les entreprises, et a été identifiée grâce à la compilation de plus de 900 000 analyses de vulnérabilité effectuées entre mars et août 2018, notamment dans les navigateurs web et applications en raison de leur inclusion dans les kits d’exploitation et d’autres attaques. Résultat : un nombre important de vulnérabilités détectées par les entreprises se trouvent dans des logiciels anciens ou hérités du passé.

Ce graphique montre clairement la concentration des vulnérabilités chez Firefox entre 2012 et 2017, avec un pic en 2015. Firefox comptait pour un peu plus de 10 % des navigateurs Web, mais représentait 53 % de toutes les vulnérabilités de gravité élevée parmi les navigateurs étudiés.

Il existe un phénomène similaire pour Microsoft Office et Java.

Il peut y avoir des justifications commerciales raisonnables pour conserver d’anciens systèmes et logiciels. Java, en particulier, est connu pour causer des problèmes dus aux dépendances de version. Dans ces cas, les systèmes vulnérables peuvent être segmentés, ou le logiciel peut être installé sur un système virtuel et démarré uniquement en cas de besoins. Cependant, sans raison commerciale légitime, ces logiciels représentent un risque résiduel évitable.

L’exploitabilité n’est pas suffisamment utilisée dans l’établissement des priorités Lorsqu’une vulnérabilité est découverte pour la première fois, il s’agit d’un risque hypothétique. Avec la publication d’un exploit, cette vulnérabilité devient un risque potentiel pour tous les propriétaires de systèmes sur lesquels la vulnérabilité est présente.

Lorsque nous avons analysé les 609 vulnérabilités distinctes des applications à sévérité élevée de notre ensemble de données, nous avons constaté ce qui suit : la majorité des mises à jour de sécurité non effectuées visaient à corriger des vulnérabilités pour lesquelles des exploits publics étaient disponibles. Celle-ci a révélé que des exploits publics existent pour 79 % des mises à jour de sécurité non effectuées qui traitent des vulnérabilités Adobe Flash de haute gravité. Pour Adobe PDF, ce chiffre est de 96 %. Étant donné que le contenu Flash sur Internet a fortement diminué et qu’il ne sera plus pris en charge à partir de 2020, il n’est guère utile de garder Flash installé. De plus, l’application représente cependant un risque résiduel énorme. Parmi tous les correctifs, le taux de non mise à jour de sécurité traitant d’une vulnérabilité pour lesquels un exploit a été publié était de 41 %.

Compte tenu de l’utilité de l’exploitabilité comme critère pour évaluer si une vulnérabilité représente un risque aigu, et du fait que l’information est largement disponible, ce résultat est surprenant. Il est nécessaire de sensibiliser la communauté à ce critère de priorisation simple mais efficace.




Voir les articles précédents

    

Voir les articles suivants