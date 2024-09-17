Mise à jour le 24 septembre 2024
En février, le nombre de vulnérabilités traitées et enrichies par la base de données nationale des vulnérabilités (NVD) du National Institute of Standards and Technology (NIST) a commencé à diminuer. En mai, 93,4 % des nouvelles vulnérabilités et 50,8 % des vulnérabilités exploitées connues attendaient encore une analyse, selon une étude de VulnCheck.
Trois mois plus tard, le problème persiste. Bien que le NIST ait un plan pour revenir sur la bonne voie, l’analyse actuelle de l’état actuel des Common Vulnerabilities and Exposures (CVE) ne suit pas le rythme des nouvelles détections de vulnérabilités. Voici un aperçu de ce qui se cache derrière cet arriéré, pourquoi les CVE ne sont peut-être plus le Saint Graal de la défense informatique et comment les équipes de sécurité peuvent garder une longueur d’avance sur les efforts des attaquants.
Les réductions budgétaires sont en partie responsables des problèmes d’analyse du CVE. Comme le note Security Magazine, le financement du NIST a été réduit de 12 % cette année, ce qui rend plus difficile l’enrichissement des CVE par l’agence. En pratique, le NVD est en fait un consommateur en aval des données CVE ; bien que le nombre de CVE identifiées et signalées reste stable, la capacité du NIST à évaluer et à enrichir ces vulnérabilités a été significativement réduite.
Le nombre de vulnérabilités signalées pose également un problème pour les efforts d'analyse ; la recherche de Flashpoint a révélé que le NIST a signalé 33 137 vulnérabilités en 2023. L'augmentation des chiffres est en partie liée à l'amélioration des capacités de détection. À mesure que les entreprises développent leurs efforts de sécurité avec des technologies basées sur le cloud et des outils basés sur l'IA, elles sont mieux à même de repérer les menaces potentielles. Par conséquent, des chiffres plus élevés ne sont pas toujours synonymes d'un risque accru, mais ils indiquent un nombre croissant de voies d'attaque potentielles.
Le NIST a un plan pour rattraper le retard. Selon USASpending.gov, le gouvernement a attribué un contrat de 860 000 USD à Analygence pour l'analyse de cybersécurité et le support e-mail. Les travaux d'analyse devaient commencer le 3 juin, et le NIST espère être de nouveau sur les rails d'ici septembre 2024. Le contrat doit prendre fin en décembre 2024, mais l'agence dispose d'une option pour prolonger les services jusqu'en juillet 2025.
Les préoccupations concernant le retard de la NVD sont compréhensibles. Plus le NIST met de temps à analyser les CVE et à proposer des contre-mesures efficaces, plus le risque pour les entreprises est élevé.
Comme l’a noté Cybersécurité Dive, cependant, l’environnement de la cybersécurité est en train de changer. Lors du sommet virtuel de Gartner sur la sécurité et la gestion des risques, l’analyste principal Mitchell Schneider a noté que si le nombre total de vulnérabilités continue d’augmenter, les CVE critiques ne dépassent pas leurs homologues de niveau élevé, moyen et faible.
De plus, les attaquants n’utilisent pas la gravité des CVE comme critère de compromission. « Il n’y a aucune corrélation intrinsèque entre la vulnérabilité et le fait que les acteurs de la menace l’exploitent en termes de niveau de gravité », explique M. Schneider. Les attaquants privilégient donc les vulnérabilités les plus exploitables, qui sont souvent celles classées comme étant de gravité moyenne ou faible.
En pratique, cela crée un scénario de forêt pour les arbres : si les entreprises sont trop concentrées sur les CVE critiques, elles peuvent manquer des exploits intermédiaires qui permettent aux attaquants de gagner l'accès réseau puis de déplacer latéralement vers des systèmes plus critiques.
Le résultat ? Si la base de données commune des vulnérabilités reste une partie critique d'une sécurité efficace, elle n'est pas une solution miracle. Les tactiques de lutte contre les cybermenaces évoluent et les équipes de sécurité doivent être prêtes à s'adapter à cette évolution.
À quoi ressemble ce changement en pratique ?
Quatre considérations peuvent aider les entreprises à mettre en place de meilleures défenses dans un monde où les ajouts au niveau de la NVD sont retardés.
Les méthodes et les modèles d'attaque se diversifiant, les entreprises doivent donner la priorité à la visibilité informatique. Considérons une entreprise qui utilise le stockage sur site pour les données critiques, les cloud public pour les tests et le développement, et les cloud privé pour les ressources d'application Évolutif.
Dans le nouvel environnement des menaces, les attaques peuvent provenir de n’importe quelle source, à tout moment. Si elles ne sont pas détectées, les attaquants peuvent gagner du temps en rassemblant des données et en repérant les voies d’attaque idéales. Par conséquent, une visibilité complète est critique. Plus votre entreprise sait ce qui se passe dans son environnement, plus elle est en mesure de détecter, d’identifier et d’atténuer les attaques.
Comme l’indique clairement Gartner, l’exploitabilité est désormais la priorité absolue des attaquants. Bien que les vulnérabilités les plus graves puissent constituer des cibles plus précieuses à court terme, des faiblesses exploitables de gravité moyenne ou faible peuvent permettre aux attaquants de réussir à long terme.
Supposons, par exemple, que des acteurs malveillants puissent exploiter une vulnérabilité de gravité moyenne à l'edge des réseaux d'entreprise. Dans ce cas, ils peuvent être en mesure de créer et de maintenir des portes dérobées qui fournissent un accès permanent aux systèmes de l'entreprise. À partir de là, ils peuvent mener des opérations de reconnaissance et attendre que les équipes de sécurité se concentrent sur d'autres vulnérabilités.
En ciblant les vulnérabilités les plus exploitables plutôt que les plus graves, les équipes de sécurité peuvent réduire les chances de réussite des attaques.
La sécurité n’est plus la charge exclusive des équipes informatiques. Les équipes chargées des opérations, des finances, du marketing, des ventes et du service client ont toutes un rôle à jouer pour assurer la sécurité de l’entreprise. Bien que la responsabilité ultime de la sécurité incombe toujours aux professionnels de la technologie, partager la charge entre les équipes peut à la fois améliorer les taux de détection et réduire le temps entre l’identification et l’action.
Avec le retard de la NVD, il est important pour les équipes de sécurité de trouver et de tirer parti de ressources alternatives. Les sources potentielles de sécurité sont les suivantes :
Le NIST espère résorber le retard accumulé par la NVD d’ici septembre 2024, mais rien ne garantit que ses efforts seront couronnés de succès. Comme l’a noté The Record, le sénateur Mark Warner (Démocrate-Virginie) et Thom Tillies (Républicain-Caroline du Nord) ont proposé une législation visant à rétablir le financement du NIST et à accroître son attention sur les nouveaux risques, tels que les menaces activées par l’IA, mais le projet de loi en est à ses débuts.
En d’autres termes, bien que l’agence et les législateurs fédéraux reconnaissent l’impact critique de l’analyse et de l’enrichissement des CVE, les entreprises ne peuvent pas compter sur la NVD pour fournir des données de vulnérabilités à jour.
Au contraire, les entreprises ont tout intérêt à changer leur approche pour s’aligner sur l’évolution des efforts des pirates informatiques. En mettant en œuvre des outils qui aident à améliorer la visibilité et à identifier l’exploitabilité, les entreprises peuvent prioriser les menaces à haut risque. En partageant la charge de sécurité entre les départements et en élargissant leur utilisation des ressources de sécurité disponibles, les entreprises peuvent répondre plus efficacement aux priorités d’attaque changeantes.
Correction : cet article a été mis à jour afin de clarifier les différences entre NVD et CVE. Le programme CVE répertorie les vulnérabilités divulguées publiquement via les enregistrements CVE, tandis que la NVD est un consommateur en aval des données du programme CVE.
