Diverse Group of Professionals Meeting in Modern Office: IT Programmers Use Computer, Talk Strategy, Discuss Planning. Specialists Create Innovative Software. Engineers Develop Inspirational App

CVE Funding Crisis offre une chance de remédier à la vulnérabilité

Lucas Morel

La montée des vulnérabilités nécessite de nouvelles approches pour l’atténuation des risques. Une fondation de sécurité solide, une large surveillance des actifs et des renseignements sur les menaces soutenus par le contexte peuvent aider.

Une récente crise de financement impliquant le programme commun des vulnérabilités et des expositions (CVE) a envoyé une vague de panique par le biais de la communauté de la cybersécurité, soulevant les questions parmi les professionnels de la sécurité sur la façon dont la dissolution potentielle du programme aurait un impact sur leurs approches du triage de sécurité.

Le programme CVE, qui fournit une archive accessible au public de vulnérabilités divulguées, est très fiable par les professionnels de la sécurité pour hiérarchiser et traiter les vulnérabilités dans leurs piles technologiques.

Le mois dernier, la Miter Corporation, qui administre le programme sous contrat à la Cybersecurity and Infrastructure Security Agency (CISA) du gouvernement américain, a annoncé que son financement avait été retiré, une crise sans précédent qui a finalement été évitée lorsqu’une option d’extension de financement de 11 mois a été exercée par la CISA.

Cette extension a résolu le problème immédiat sans résoudre une incertitude à plus long terme sur l’avenir du programme CVE et son financement. En conséquence, les approches d’entreprise du triage de sécurité doivent encore être réévaluées, et les systèmes et les processus potentiellement repensés.

Surtension de vulnérabilité

Les CVE affectent directement la façon dont les défenseurs apprennent à détecter, identifier et répondre aux vulnérabilités.

L’année dernière (2024) a marqué une forte augmentation des vulnérabilités publiées, avec plus de 40 000 CVE divulgués, représentant une augmentation de 38% en glissement annuel, selon une étude récente de la société de plate-forme de gestion des cyber-risques Black Kite.

Plus de 20 000 vulnérabilités avaient un score commun du système de notation de vulnérabilité (CVSS) de 7,0 ou plus, et plus de 4 400 ont été classés comme critiques (CVSS 9.0+).

Cependant, les scores CVSS sont à eux seuls échoués lors de la tentative d’évaluation de la menace posée par des vulnérabilités particulières.

L’exploitabilité, l’exposition aux fournisseurs et les interdépendances de la chaîne d’approvisionnement jouent un rôle important dans la détermination des risques réels, selon l’équipe de recherche et de renseignement de Black Kite (Brite).

Dikbiyik a ajouté: « Vous avez besoin de trois questions pour chaque CVE: peut-il être exploité? Est-il exposé en ligne? Et à quel point cela fonctionne-t-il dans notre chaîne d’approvisionnement? C’est le changement – du CVSS au risque réel. »

L’avertissement fait suite à des recherches en sécurité antérieures de la banque marchande JPMorganChase, qui a souligné divers défauts du système de notation de la vulnérabilité CVSS.

Par exemple, les scores CVSS ne tiennent pas compte de facteurs contextuels tels que l’environnement dans lequel une vulnérabilité existe ou s’il a été activement exploité dans la nature, ont déclaré les chercheurs aux délégués lors de la conférence Black Hat Europe de l’année dernière.

Automatique pour les gens

«L’automatisation et les outils basés sur l’IA peuvent également permettre la découverte en temps réel de nouvelles vulnérabilités sans exagérer les délais de CVE standard», a déclaré Haris Pylarinos, fondateur et directeur général du programme de formation de cybersécurité Hack the Box. «Les organisations qui continuent d’être résilientes sont celles qui considèrent la gestion de la vulnérabilité comme un processus en cours et multicouche soutenu par la gestion continue de l’exposition aux menaces – pas une solution rapide et à source unique.»

Gestion des risques

Rik Ferguson, vice-président du renseignement de la sécurité chez le fournisseur de cybersécurité ForeScout, a averti que les organisations s’appuyant principalement ou uniquement sur la métrique CVSS pour hiérarchiser leurs programmes de correction de vulnérabilité doivent repenser leur approche.

« La compréhension de l’exposition à des tiers est essentielle, mais ce qui manque souvent dans ces analyses est le contexte opérationnel », a ajouté Ferguson.

Avec autant de vulnérabilités, d’actifs et de fournisseurs en jeu, en particulier dans des environnements qui incluent l’OT, l’IoT et les dispositifs médicaux, la priorité devient rapidement écrasante.

La gestion de la vulnérabilité a dépassé bien au-delà de la gestion des mises à jour du patch de Microsoft, des logiciels pénétrants et des mises à jour de sécurité des périphériques réseau. Les entreprises doivent se soucier de la comptabilité des logiciels qu’un fournisseur n’a pas corrigé en six mois ou le composant open-source silencieux silencieusement en production, par exemple.

Ferguson a déclaré que les entreprises ont non seulement un inventaire d’actifs logiciels, mais aussi des connaissances sur chaque appareil, son rôle et sa criticité à la mission ou aux opérations.

« Si vous êtes responsable d’un environnement hospitalier par exemple, vous devez absolument savoir quel réfrigérateur stocke les sandwichs et lesquels stocke le sang ou les médicaments », a expliqué Ferguson. « C’est le niveau de sécurité de précision que les équipes doivent passer de la sensibilisation à l’action. »

Contre-mesures

Les piratations de piratage de la boîte ont convenu que la surveillance détaillée du matériel et des logiciels en cours d’exécution au sein d’une organisation est essentielle avant d’appliquer des processus de gestion de correctifs robustes, qui restent un mal de tête terne qui ne disparaîtra pas.

Suivre les meilleures pratiques pour la conception de la sécurité du réseau est également importante car une architecture sécurisée de base peut réduire le risque lié à la fois aux vulnérabilités connues et inconnues. Ces meilleures pratiques comprennent des mesures telles que la forte segmentation du réseau, l’accès des moindres privilèges et l’authentification multi-facteurs.

Pylarinos a ajouté: «Il existe plusieurs étapes proactives que les équipes de sécurité peuvent également prendre pour atténuer les vulnérabilités. Si cette nouvelle nous montre quelque chose, c’est l’insécurité de s’appuyer uniquement sur les données CVE à l’avenir.Vulnérabilités exploitées connues)les avis des vendeurs et les flux de menaces privées, par exemple, peuvent tous être utilisés pour fournir un contexte supplémentaire et une vision plus large du paysage de la vulnérabilité. »

Jouer les principes de sécurité solides avec des renseignements actifs et en temps réel est le meilleur pari d’Enterprise Security.

«L’intégration de la renseignement sur les menaces en direct, de la formation et de l’investissement dans les tests de pénétration interne et de la modélisation des menaces offre aux équipes de sécurité un aperçu plus complet des niveaux de menace actuels et une meilleure identification des vulnérabilités», a conclu Pylarinos.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Hacker with malware code in computer screen. Cybersecurity, privacy or cyber attack. Programmer or fraud criminal writing virus software. Online firewall and privacy crime. Web data engineer.
Skitnet Malware: le nouveau favori des ransomwares
8 Ki-Sicherheitsrisiken, die Unternehmen übersehenn
8 Ki-Sicherheitsrisiken, die Unternehmen übersehenn
You’ve already been targeted: Why patch management is mission-critical
Vous avez déjà été ciblé: pourquoi la gestion des patchs est critique de mission