Quel trou boucher en premier ? Résoudre la surcharge de correctifs de vulnérabilité chronique


Selon le folklore, les sorcières étaient capables de naviguer dans un tamis, une passoire avec des trous dans le fond. Malheureusement, les sorcières ne fonctionnent pas dans la cybersécurité – où les réseaux ont généralement tellement de vulnérabilités qu’ils ressemblent à des tamis.

Pour la plupart d’entre nous, maintenir à flot le tamis de nos réseaux nécessite un travail acharné et des compromis fréquents sur les trous à boucher en premier.

La raison? En 2010, un peu moins de 5 000 CVE ont été enregistrés dans la base de données des vulnérabilités MITRE. En 2021, le total annuel avait grimpé en flèche pour atteindre plus de 20 000. Aujourd’hui, l’intégrité des logiciels et du réseau est synonyme de continuité des activités. Et cela rend la question des vulnérabilités à traiter en premier lieu critique. Pourtant, en raison des innombrables vulnérabilités documentées qui se cachent dans un écosystème d’entreprise typique – sur des milliers d’ordinateurs portables, de serveurs et d’appareils connectés à Internet – moins de un sur dix il faut effectivement patcher. La question est : comment pouvons-nous savoir quels correctifs garantiront que notre tamis ne coule pas ?

C’est pourquoi de plus en plus d’entreprises se tournent vers la technologie de priorisation des vulnérabilités (VPT). Ils recherchent des solutions qui filtrent le flot de faux positifs générés par les outils hérités et les solutions mal configurées et ne traitent que les vulnérabilités qui affectent directement leurs réseaux. Ils abandonnent les paradigmes traditionnels de gestion des vulnérabilités et passent à la prochaine génération de solutions VPT.

L’évolution de la gestion des vulnérabilités

Ce n’est pas une nouvelle que même l’entreprise la plus riche en ressources ne peut pas trier, hiérarchiser et corriger chaque vulnérabilité de son écosystème. C’est pourquoi le changement vers VPT a commencé en premier lieu.

Initialement, la gestion des vulnérabilités (VM) se concentrait sur l’analyse et la détection des réseaux centraux pour toutes les vulnérabilités. C’était ce qu’on appelait l’évaluation des vulnérabilités (VA), et le livrable consistait en une liste extrêmement longue de vulnérabilités qui n’avaient que peu de valeur pratique pour des ressources informatiques déjà surchargées.

Pour rendre l’AV plus exploitable, la prochaine génération d’outils de VM incluait la hiérarchisation des vulnérabilités en fonction de la vulnérabilité de chaque vulnérabilité. score CVE global. Cela a été encore affiné en ajoutant une autre couche de hiérarchisation basée sur des estimations des dommages potentiels, le contexte de la menace et, idéalement, une corrélation avec le contexte local pour évaluer l’impact commercial potentiel en fonction de PEUR modèles de types. Cette approche plus avancée est connue sous le nom de Risk Based Vulnerability Management (RBVM) et a été un pas de géant par rapport à VA.

Pourtant, même les outils de VM avancés mettant en œuvre RBVM sont à la traîne en termes de sophistication et d’actionnabilité. Ces outils ne peuvent détecter que ce qu’ils savent, ce qui signifie que des outils de détection mal configurés entraînent souvent des attaques manquées. Ils ne peuvent pas évaluer si les contrôles de sécurité sont configurés pour compenser la gravité d’une vulnérabilité donnée en fonction de son score CVE corrélé au risque du contexte local. Cela se traduit toujours par des listes de correctifs gonflées et signifie également que – tout comme avec les outils VA de première génération – les correctifs se retrouvent souvent au bas de la liste des tâches ou sont simplement ignorés par les équipes informatiques.

Tirer parti du VPT de nouvelle génération

Les solutions VPT avancées sont la nouvelle génération de VM, offrant aux organisations une vision très différente de leurs cyber-risques uniques.

S’appuyant sur la détection VA traditionnelle et des capacités RBVM plus avancées, la dernière génération de solutions VPT ajoute un contexte de criticité des actifs, un contexte environnemental et de multiples sources de renseignements sur les menaces pré-intégrées. De cette façon, il augmente efficacement les données sur la gravité des vulnérabilités avec des analyses sophistiquées et une applicabilité en contexte. Ces capacités analytiques permettent aux solutions VPT avancées d’intégrer une validation des menaces hautement granulaire, créant ainsi la prochaine génération de capacités qui augmentent les machines virtuelles traditionnelles : Gestion des vulnérabilités basée sur les attaques (ABVM).

ABVM change la donne. Parce qu’une fois que les parties prenantes du réseau sont en mesure de valider efficacement les menaces réelles auxquelles sont confrontés leurs réseaux, elles peuvent tester leurs environnements en fonction des niveaux d’exposition réels et de la perméabilité aux attaques. Selon Gartner, le passage à l’ABVM est crucial pour une meilleure hiérarchisation et évaluation des vulnérabilités. Il permet aux responsables de la sécurité et de la gestion des risques de générer des recommandations et de les appliquer directement à leurs programmes de sécurité, en traitant les résultats prioritaires.

Grâce à ABVM, les parties prenantes de la sécurité peuvent identifier tout des attaques non détectées, générer des données et des cas d’utilisation qui permettent une amélioration continue de la configuration des outils de détection et de réponse, et cartographier les chemins d’attaque potentiels de bout en bout avec un contexte local détaillé. Une fois que ces chemins d’attaque encore non sécurisés sont clairement cartographiés, les correctifs le sont aussi, car la validation des menaces associée à une compréhension approfondie des chemins d’attaque permet une hiérarchisation des correctifs au laser. Avec ABVM, l’optimisation des ressources de correctifs rares pour ne boucher que les trous qui menacent de couler le tamis devient simple.

Le passage des approches VA ou RBVM traditionnelles basées sur les scores à l’ABVM peut réduire la charge de correctifs de 20 à 50 % tout en améliorant considérablement la posture de sécurité globale. En empêchant la dérive de la sécurité, ABVM aide également à rationaliser les ensembles d’outils SIEM – en améliorant la configuration des outils, en éliminant les chevauchements et en identifiant les fonctionnalités manquantes.

L’essentiel

En améliorant la sécurité, en réduisant les coûts, en affinant l’allocation des ressources et en renforçant la collaboration entre les équipes, ABVM offre un nouvel horizon de productivité et d’efficacité aux équipes de sécurité. Amenant le VPT traditionnel au niveau supérieur, ABVM résout la surcharge chronique de correctifs de vulnérabilité, permettant aux réseaux de rester à flot même dans les eaux étouffées par les menaces d’aujourd’hui.



ttn-fr-57