Risky Business : Gérer les vulnérabilités en hiérarchisant les risques

Trouver la clé pour protéger un réseau contre les cybercriminels est plus facile à dire qu’à faire : Il faut construire des défenses autour des zones où les criminels sont le plus susceptibles de pénétrer. Bien sûr, ces points d’entrée ne sont pas toujours évidents, ce qui rend nos réseaux terriblement vulnérables.

Le National Institute of Standards and Technology (NIST) définit une “vulnérabilité” comme une “faiblesse d’un système d’information, des procédures de sécurité du système, des contrôles internes ou de la mise en œuvre qui pourrait être exploitée ou déclenchée par une source de menace”. L’identification de ces vulnérabilités est une étape importante (en fait, c’est la première fonction clé du cadre de cybersécurité du NIST), mais elle ne peut être la seule étape. Une fois identifiées, ces vulnérabilités doivent être protégées.

Dans le paysage informatique actuel, de plus en plus dangereux, la plupart des gens connaissent les concepts de cybersécurité que sont l’analyse de vulnérabilité et les tests de pénétration. Tous deux sont conçus pour identifier les vulnérabilités du réseau, afin d’établir de meilleures défenses. L’utilisation de ces outils peut parfois révéler un nombre impressionnant de vulnérabilités, surtout lors du premier balayage. Le type de protection nécessaire peut varier en fonction de la vulnérabilité, mais peut reposer sur l’application de correctifs au système concerné, le blocage des ports sur un pare-feu central ou basé sur l’hôte, la modification des listes de contrôle d’accès sur le réseau ou l’ajustement des autorisations sur un serveur.

Étant donné que bon nombre de ces mesures correctives nécessitent non seulement un temps d’exécution, mais aussi une planification, et qu’aucune entreprise ne dispose de ressources infinies pour remédier immédiatement à ces vulnérabilités, il est important d’établir des priorités en matière de protection.

Traditionnellement, le moyen le plus simple de classer les vulnérabilités est le score CVSS. Le système CVE (Common Vulnerabilities and Exposures) fournit un cadre pour annoncer et noter l’impact potentiel de la vulnérabilité, puis en assurer le suivi dans une base de données centrale. Dans le cadre de ce système, le Common Vulnerability Scoring System (CVSS) est un moyen normalisé de communiquer la gravité d’une vulnérabilité donnée sur une échelle de 0,0 à 10,0. Basé sur plusieurs paramètres, ce score peut aider les organisations à hiérarchiser les vulnérabilités en fonction de la facilité et de l’impact de l’exploitation de la vulnérabilité. Par exemple, le score CVSS de la vulnérabilité originale de Log4j (CVE-2021-44228) était de 10.0 (rappel : l’échelle ne va que jusqu’à 10.0 !) étant donné la facilité d’exploitation et la capacité d’exécuter des charges utiles arbitraires.

L’inconvénient de se fier uniquement au score CVSS est qu’il ne reflète pas la facilité et l’impact de l’exploitation d’une vulnérabilité dans un environnement donné. Revenons à l’exemple de Log4j : Si cette vulnérabilité n’existait que sur des systèmes isolés, dans un réseau d’administration privilégié avec des droits d’accès minimaux, il ne serait peut-être pas aussi important d’y remédier que sur des systèmes présentant la dernière vulnérabilité du protocole RDP (Remote Desktop Protocol) (CVE-2022-26940) et exposés à l’Internet, malgré un score de “seulement” 6,5.

(Remarque : ne jamais exposer RDP directement à l’Internet. C’est une pratique définitivement mauvaise).

La priorité accordée à une vulnérabilité CVSS inférieure s’explique par le fait que le risque de la vulnérabilité Log4j est relativement moindre que celui de la vulnérabilité RDP dans cet environnement spécifique. Un facteur aggravant du risque d’une vulnérabilité donnée est le fait qu’elle soit activement exploitée dans la nature, donc les deux facteurs doivent être pris en compte dans la priorisation de la correction de la vulnérabilité.

Compte tenu de l’ampleur de l’environnement réseau actuel et du nombre de vulnérabilités découvertes chaque année – 28 695 en 2021, un nouveau record annuel – les organisations doivent disposer d’un moyen automatisé de découvrir et de hiérarchiser les vulnérabilités en fonction du risque pour leur environnement.

Parmi toutes ces nouvelles vulnérabilités en 2021, un peu plus de 4 100 peuvent être exploitées à distance, ont un exploit connu disponible et peuvent être corrigées. L’application de telles connaissances peut réduire considérablement la liste des priorités en matière de remédiation. L’utilisation d’un outil tel que 11:11 Continuous Risk Scanning (CRS) permet aux clients de disposer de ces connaissances dans un contexte qui leur permet de savoir clairement quelles sont les vulnérabilités qui les mettent en danger, en fonction de leur propre infrastructure et de la probabilité qu’elle soit exploitée.

En abordant la correction des vulnérabilités en fonction du risque réel, les organisations peuvent être beaucoup plus efficaces lors de la planification et de l’exécution de leurs plans de correction, et ainsi obtenir un environnement plus sûr.

Join the companies doing great things with 11:11 Systems

11:11 Systems is a managed infrastructure solutions provider that holistically addresses the most pressing cloud, connectivity, and security challenges of today while preparing businesses for tomorrow. The 11:11 model empowers customers and partners to "Rethink Connected," by providing fully integrated, fully automated services, activities, and data, powered on a unified platform, that ensures their applications and data are always running, accessible, and protected. 11:11 delivers increased performance and savings to organizations, while freeing up IT resources to focus on the core business. Learn more at 1111systems.com.