Adopter l’approche basée sur les risques pour corriger les vulnérabilités


Les vulnérabilités logicielles constituent aujourd’hui une menace majeure pour les organisations. Le coût de ces menaces est important, tant sur le plan financier qu’en termes de réputation.

La gestion et la correction des vulnérabilités peuvent facilement devenir incontrôlables lorsque le nombre de vulnérabilités dans votre organisation se compte en centaines de milliers de vulnérabilités et qu’elles sont suivies de manière inefficace, comme l’utilisation de feuilles de calcul Excel ou de plusieurs rapports, en particulier lorsque de nombreuses équipes sont impliquées dans l’organisation. .

Même lorsqu’un processus de correction est en place, les organisations ont encore du mal à corriger efficacement les vulnérabilités de leurs actifs. Cela est généralement dû au fait que les équipes examinent la gravité des vulnérabilités et ont tendance à appliquer des correctifs aux vulnérabilités dans l’ordre de gravité suivant : critique > élevée > moyenne > faible > info. Les sections suivantes expliquent pourquoi cette approche est imparfaite et comment elle peut être améliorée.

Pourquoi le patch est-il difficile ?

S’il est bien connu que la correction des vulnérabilités est extrêmement importante, il est également difficile de corriger efficacement les vulnérabilités. Les vulnérabilités peuvent être signalées à partir de sources telles que les rapports de pentest et divers outils d’analyse. Les analyses peuvent être effectuées sur vos applications Web, API, code source, infrastructure, dépendances, conteneurs, etc.

Le nombre total de rapports qui doivent être passés au crible pour hiérarchiser les correctifs peut augmenter considérablement, même en peu de temps, et lorsque plusieurs équipes sont impliquées, cela peut encore augmenter la complexité et le temps nécessaires pour coordonner et hiérarchiser les correctifs.

Pour aggraver les choses, de nouveaux exploits continuent de faire surface presque quotidiennement, et le suivi des nouveaux exploits et des correctifs disponibles peut devenir une tâche colossale qui peut rapidement devenir incontrôlable si elle n’est pas traitée correctement. À moins qu’une organisation ne dispose d’un programme de sécurité très mature, il est compliqué de gérer efficacement les correctifs.

Adopter l’approche basée sur les risques pour corriger les vulnérabilités

Simplifier l’application de correctifs vous oblige à simplifier d’abord la hiérarchisation. « Approche basée sur les risques » signifie que vous évaluerez l’impact potentiel d’une vulnérabilité par rapport à la probabilité de son exploitation. Cela vous permet de déterminer si cela vaut la peine d’agir ou non.

Pour simplifier la priorisation, vous devez considérer les éléments suivants :

  • L’exposition de l’actif,
  • La sensibilité métier de l’actif,
  • La gravité de la vulnérabilité signalée pour l’actif,
  • La disponibilité d’un exploit pour la vulnérabilité signalée,
  • La complexité de l’exploit, s’il est disponible,
  • La taxonomie de la vulnérabilité signalée.

* L’actif peut être n’importe quoi au sein de votre organisation, comme une application Web, une application mobile, un référentiel de code, un routeur, un serveur, une base de données, etc.

Simplification de la priorisation

Cette approche permet de réduire considérablement le temps passé à hiérarchiser les vulnérabilités. Discutons de chaque point en détail :

Exposition: Si votre actif est accessible au public sur Internet ou privé, c’est-à-dire derrière un pare-feu au sein du réseau avec un accès contrôlé. Les biens publics comportent généralement un risque plus élevé, mais cela ne signifie pas toujours qu’ils doivent être prioritaires. La raison en est que tous les biens publics ne sont pas sensibles. Certains actifs publics peuvent simplement être des pages statiques qui ne contiennent pas de données utilisateur, tandis que d’autres actifs publics peuvent traiter des paiements et des informations PII. Ainsi, même si un actif est public, vous devez tenir compte de sa sensibilité.

Sensibilité des actifs : Catégorisez la sensibilité commerciale de tous vos actifs en fonction de leur importance pour votre entreprise. Un actif qui contient des informations sensibles sur les utilisateurs ou qui traite les paiements peut être classé comme un actif sensible pour l’entreprise. Un actif qui ne fournit qu’un certain contenu statique peut être classé comme un actif à faible sensibilité commerciale.

Gravité de la vulnérabilité signalée : Celui-ci est explicite; vous devez hiérarchiser les vulnérabilités par ordre de gravité critique > élevée > moyenne > faible > info.

Exploitez la disponibilité : Les vulnérabilités pour lesquelles des exploits publics sont déjà disponibles doivent être prioritaires sur les vulnérabilités pour lesquelles aucun exploit n’est disponible.

Exploitez la complexité : Si un exploit est très facile à exploiter et nécessite peu ou pas d’interaction de l’utilisateur, les vulnérabilités de ce type d’exploit doivent être prioritaires sur les vulnérabilités avec des exploits très complexes qui nécessitent généralement des privilèges élevés et une interaction de l’utilisateur.

Taxonomie : La classification de la vulnérabilité signalée doit également être prise en considération et doit être mise en correspondance avec les normes de l’industrie telles que OWASP ou CWE. Un exemple serait qu’une exécution de code à distance impactant un serveur devrait avoir une priorité plus élevée qu’une vulnérabilité côté client, disons un Reflected Cross Site Scripting.

Temps passé à prioriser les vulnérabilités

Un exemple de vulnérabilité hautement prioritaire serait si l’actif qui est affecté est exposé publiquement, a une sensibilité commerciale critique, la gravité de la vulnérabilité est critique, un exploit est disponible et ne nécessite pas d’interaction de l’utilisateur ou d’authentification/privilèges.

Une fois toutes les vulnérabilités classées par ordre de priorité, la résolution des vulnérabilités les plus critiques réduira considérablement les risques pour votre organisation.

Alors, quels problèmes un rapport de gestion des vulnérabilités doit-il mesurer pour assurer la sécurité de votre application de manière satisfaisante ? – Consultez le livre blanc.

Comment obtenir les informations sur les patchs ?

Vous pouvez obtenir des informations sur les correctifs à partir de divers avis tels que NVD. Dans ces rapports, vous pouvez trouver plusieurs références sur la façon de corriger les vulnérabilités. En outre, les sites Web des produits que vous utilisez fournissent généralement ces informations. Bien qu’il soit possible de parcourir manuellement toutes les sources et d’obtenir les informations sur les correctifs, s’il existe de nombreuses vulnérabilités de sécurité dans votre organisation, obtenir toutes les informations de plusieurs sources peut être fastidieux.

La solution:

Les stroboscopes peuvent aider considérablement les organisations de toutes tailles à réduire considérablement le temps nécessaire pour hiérarchiser les vulnérabilités et fournir des informations sur les correctifs au sein de la plate-forme. La hiérarchisation est également facile car Strobes hiérarchise automatiquement les vulnérabilités pour vous en fonction des métriques décrites dans la section Approche basée sur les risques pour corriger les vulnérabilités.

Strobes Security ouvre la voie pour perturber l’espace de gestion des vulnérabilités avec ses produits phares VM365 et PTaaS. Si vous n’êtes pas encore utilisateur de Strobes Security, qu’attendez-vous ? Inscrivez-vous gratuitement iciou Planifier une démo.



ttn-fr-57