Une bonne gestion des correctifs est un élément important de l’hygiène de la cybersécurité. Si les organisations n’appliquent pas les correctifs aux bogues logiciels en temps opportun, elles risquent de s’exposer à diverses menaces. Mais se démener pour corriger les bugs identifiés par le programme Common Vulnerabilities and Exposures (CVE) n’est pas une solution complète. Les organisations doivent faire beaucoup plus.
Les programmes CVE et CVSS sont des composants essentiels des systèmes de gestion de la sécurité de l’information (ISMS) dans la plupart des organisations, mais ils ont clairement des problèmes. Le programme CVE offre une référence pour les vulnérabilités et les expositions publiquement connues. CVSS fournit un moyen de capturer les principales caractéristiques d’une vulnérabilité et de produire un score numérique qui reflète sa gravité. Parmi les nombreux défis de ces programmes, CVSS n’est pas une véritable indication du risque qu’une CVE représente pour une organisation. C’est parce qu’il tente de prendre en compte l’environnement, mais n’a qu’un succès limité.
Le niveau de risque pour une organisation dépend entièrement de ses conditions commerciales, et non du score CVSS. De plus, le modèle mathématique qui sous-tend les CVE est défectueux, en partie parce que les faibles scores CVE sont sous-représentés dans les données. Un faible CVE peut être précisément la vulnérabilité qui affecte votre entreprise. (Plus de détails sur le problème avec les mathématiques peuvent être trouvés ici sur le Théorie des logiciels prévisibles, qui effectue une analyse approfondie des mathématiques derrière CVE scores pour”comprendre comment cela fonctionne, ce qu’il fait bien et ce qu’il ne fait pas.”)
De plus, plus de 50 CVE sont publiés chaque jour. Il est déraisonnable de s’attendre à ce qu’une équipe de sécurité les examine toutes, et même si elles le faisaient, toutes les CVE ne contiennent pas toutes les informations dont l’équipe a besoin pour mettre efficacement en place des correctifs. L’équipe peut hiérarchiser les CVE importants, mais il n’est pas toujours clair lesquels présentent le plus de risques pour un environnement donné. Considérez les plugins tiers, par exemple. Si une organisation utilise une plate-forme telle que WordPress, une gestion efficace et opportune des correctifs doit assurer la sécurité de l’application principale. Mais avec WordPress-comme de nombreuses autres plates-formes-la plupart des utilisateurs s’appuient sur des plugins et des modules complémentaires pour améliorer les applications qu’ils créent. Dans de nombreux cas, ces plugins ne sont pas couverts par des processus de reporting formels.
Exécuter une approche proactive de la sécurité complète
Les organisations doivent être plus proactives. La gestion réactive des correctifs occupera toujours une place importante dans une stratégie de sécurité globale. Mais le temps d’attente entre le moment où une vulnérabilité est identifiée et le moment où de mauvais acteurs peuvent exploiter la faille a diminué. Cela rend la surface d’attaque trop difficile à gérer simplement en essayant de suivre les correctifs des vulnérabilités au fur et à mesure qu’ils sont identifiés. En réalité, la plupart des organisations ne peuvent pas suivre le rythme de la gestion des correctifs.
A une enquête récente montre que 76 % des vulnérabilités actuellement exploitées sont connues depuis avant 2020. Les entreprises sont clairement dépassés et incapables de corriger efficacement les vulnérabilités qui affectent réellement leur activité. Les entreprises doivent envisager la gestion des correctifs dans le contexte de solutions de cybersécurité holistiques.
Ce dont les entreprises ont besoin pour relever les défis de sécurité d’aujourd’hui, ce sont des tests de pénétration continus qui fournissent une gestion complète de la surface d’attaque externe (EASM).
Un programme EASM solide et complet répond à quatre questions fondamentales :
De quels actifs connectés à Internet l’organisation dispose-t-elle ? Quelles vulnérabilités ou anomalies présente-t-elle, et quel impact ont-elles sur l’environnement que vous protégez ? Sur quoi l’équipe de sécurité doit-elle concentrer son attention ? Comment l’équipe peut-elle corriger les vulnérabilités ou les risques existants ?
Au cours des dernières années, les entreprises ont rapidement migré vers le cloud, différents groupes commerciaux lançant une variété de services cloud qui ne sont pas toujours gérés de manière centralisée. Cela a créé des problèmes de sécurité, car les équipes informatiques et de sécurité peuvent même ne pas être conscientes des actifs cloud exposant potentiellement des données via Internet. C’est pourquoi il est important que le programme EASM découvre tous les actifs avant que les acteurs malveillants n’aient la possibilité d’exécuter des outils automatisés pour découvrir et surveiller la surface d’attaque de l’organisation.
La découverte des actifs peut être réalisée en recherchant constamment de nouveaux sous-domaines pour découvrir de nouveaux services au fur et à mesure qu’ils deviennent disponibles. Une fois les actifs numériques découverts, analysez-les pour trouver les vulnérabilités et les anomalies. La clé est d’utiliser des outils qui effectuent les mêmes tâches de reconnaissance qu’un cybercriminel utiliserait pour attaquer l’organisation.
L’étape suivante consiste à hiérarchiser les vulnérabilités et les anomalies de la plus critique à la moins critique. De cette façon, les équipes de sécurité peuvent concentrer leurs efforts immédiatement sur ce qui représente le plus grand risque pour elles. Dans le cadre de la hiérarchisation, les équipes peuvent regrouper les actifs en fonction d’un certain nombre de critères prédéfinis. La dernière étape consiste à corriger toutes les vulnérabilités qui doivent être corrigées. Étant donné que de nombreuses organisations manquent de ressources ou d’expertise pour fournir des correctifs, il est important d’utiliser des processus et des outils qui fourniront des conseils pratiques sur la façon de résoudre une vulnérabilité. Par exemple, veillez à fournir aux équipes des informations telles que l’URL de la requête, la charge utile utilisée pour identifier la vulnérabilité, les extraits de code et les captures d’écran lorsqu’elles sont disponibles.
Les méthodes actuelles de recherche et de correction des vulnérabilités, basés sur CVE et CVSS, ont leurs mérites. Mais en fin de compte, ce sont des solutions défectueuses qui ne fourniront pas le niveau de sécurité dont les organisations ont besoin aujourd’hui. Ils exposent potentiellement les entreprises à des niveaux de risque plus élevés qu’elles ne le pensent probablement. Les entreprises doivent disposer de stratégies et de solutions qui fournissent l’expertise et l’automatisation nécessaires pour aider les équipes de sécurité à traiter les vulnérabilités de la manière la plus efficace possible. Ce faisant, les organisations peuvent être plus proactives en matière de sécurité.
Crédit image : Rawpixel /depositphotos.com
Rickard Carlsson est PDG et co-fondateur de Detectify .