Combien de vulnérabilités de sécurité existe-t-il et comment sont-elles évaluées?
Chaque année, les entreprises de sécurité et de technologie publient des détails sur des milliers de vulnérabilités. Les médias rendent dûment compte de ces vulnérabilités, soulignant les problèmes les plus dangereux et conseillant les utilisateurs sur la manière de rester en sécurité.
Mais que faire si je vous disais que parmi ces milliers de vulnérabilités, peu sont activement exploitées dans la nature?
Alors, combien de vulnérabilités de sécurité y a-t-il et les entreprises de sécurité décident-elles de la gravité d'une vulnérabilité?
Combien de vulnérabilités de sécurité existe-t-il?
La série de rapports de hiérarchisation des prédictions de Kenna Security a révélé qu'en 2019, les entreprises de sécurité avaient publié plus de 18000 CVE (Common Vulnerabilities and Exposures).
Bien que ce chiffre semble élevé, le rapport a également révélé que, sur ces 18 000 vulnérabilités, seulement 473 «ont atteint une exploitation généralisée», soit environ 6% du total. Bien que ces vulnérabilités aient effectivement été exploitées sur Internet, cela ne signifie pas que tous les hackers et attaquants du monde entier les utilisaient.
De plus, «le code d'exploitation était déjà disponible pour plus de 50% des vulnérabilités au moment de leur publication sur la liste CVE». Le fait que le code d'exploit était déjà disponible semble alarmant à première vue, et c'est un problème. Cependant, cela signifie également que les chercheurs en sécurité travaillent déjà à corriger le problème.
La pratique courante consiste à corriger les vulnérabilités dans une fenêtre de publication de 30 jours. Cela ne se produit pas toujours, mais c'est ce à quoi la plupart des entreprises technologiques travaillent.
Le graphique ci-dessous illustre davantage l'écart entre le nombre de CVE signalées et le nombre réellement exploité.
Environ 75% des CVE sont détectées par moins d' une organisation sur 11 000, et seulement 5,9% des CVE sont détectées par 1 organisation sur 100. C'est assez répandu.
Vous pouvez trouver les données et les chiffres ci-dessus dans Prioritization to Prediction Volume 6: The Attacker-Defender Divide.
Qui attribue les CVE?
Vous vous demandez peut-être qui attribue et crée un CVE pour commencer. Tout le monde ne peut pas attribuer une CVE. Il existe actuellement 153 organisations de 25 pays autorisées à attribuer des CVE.
Cela ne veut pas dire que seules ces entreprises et organisations sont responsables de la recherche sur la sécurité dans le monde. Loin de ça, en fait. Cela signifie que ces 153 organisations (appelées autorités de numérotation CVE, ou CNA en abrégé) travaillent selon une norme convenue pour la publication des vulnérabilités dans le domaine public.
C'est une position volontaire. Les organisations participantes doivent démontrer leur «capacité à contrôler la divulgation des informations sur les vulnérabilités sans publication préalable», ainsi qu'à travailler avec d'autres chercheurs qui demandent des informations sur les vulnérabilités.
Il existe trois CNA racine, qui se trouvent en haut de la hiérarchie:
- MITRE Corporation
- Systèmes de contrôle industriel (ICS) de l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA)
- JPCERT / CC
Toutes les autres ANC relèvent de l'une de ces trois autorités de haut niveau. Les CNA déclarants sont principalement des entreprises technologiques et des développeurs et fournisseurs de matériel avec une reconnaissance de nom, tels que Microsoft, AMD, Intel, Cisco, Apple, Qualcomm, etc. La liste complète de l'AIIC est disponible sur le site Internet du MITRE .
Rapports de vulnérabilité
Le rapport de vulnérabilité est également défini par le type de logiciel et la plate-forme sur laquelle la vulnérabilité se trouve. Cela dépend également de qui le trouve initialement.
Par exemple, si un chercheur en sécurité découvre une vulnérabilité dans un logiciel propriétaire, il est susceptible de la signaler directement au fournisseur. Sinon, si la vulnérabilité se trouve dans un programme open-source, le chercheur peut ouvrir un nouveau problème sur la page de rapport de projet ou de problèmes.
Cependant, si une personne néfaste découvrait la vulnérabilité en premier, elle pourrait ne pas la divulguer au fournisseur en question. Lorsque cela se produit, les chercheurs et les fournisseurs en sécurité peuvent ne pas prendre conscience de la vulnérabilité tant qu'elle n'est pas utilisée comme un exploit zero-day .
Comment les entreprises de sécurité évaluent-elles les CVE?
Une autre considération est la façon dont les entreprises de sécurité et de technologie évaluent les CVE.
Le chercheur en sécurité ne se contente pas d'en extraire un certain nombre et de l'attribuer à une vulnérabilité nouvellement découverte. Il existe un cadre de notation en place qui guide la notation des vulnérabilités: le Common Vulnerability Scoring System (CVSS).
L'échelle CVSS est la suivante:
| Gravité | Score de base |
|---|---|
| Aucun | 0 |
| Faible | 0,1-3,9 |
| Moyen | 4,0 à 6,9 |
| Haut | 7,0-8,9 |
| Critique | 9,0-10,0 |
Pour déterminer la valeur CVSS d'une vulnérabilité, les chercheurs analysent une série de variables couvrant les métriques de score de base, les métriques de score temporel et les métriques de score environnemental.
- Les métriques de score de base couvrent des éléments tels que le degré d'exploitabilité de la vulnérabilité, la complexité de l'attaque, les privilèges requis et la portée de la vulnérabilité.
- Les métriques de score temporel couvrent des aspects tels que la maturité du code d'exploitation, s'il existe une correction de l'exploit et la confiance dans le signalement de la vulnérabilité.
- Les mesures du score environnemental traitent de plusieurs domaines:
- Métriques d'exploitabilité: couvrant le vecteur d'attaque, la complexité de l'attaque, les privilèges, les exigences d'interaction utilisateur et la portée.
- Mesures d'impact: couvrant l'impact sur la confidentialité, l'intégrité et la disponibilité.
- Sous-score d'impact: ajoute une définition supplémentaire aux mesures d'impact, couvrant les exigences de confidentialité, les exigences d'intégrité et les exigences de disponibilité.
Maintenant, si tout cela semble un peu déroutant, considérez deux choses. Tout d'abord, il s'agit de la troisième itération de l'échelle CVSS. Il a d'abord commencé avec le score de base avant d'ajouter les mesures suivantes lors des révisions ultérieures. La version actuelle est CVSS 3.1.
Deuxièmement, pour mieux comprendre comment CVSS dénomme les scores, vous pouvez utiliser le calculateur CVSS de la base de données nationale sur les vulnérabilités pour voir comment les mesures de vulnérabilité interagissent.
Il ne fait aucun doute qu'il serait extrêmement difficile de noter une vulnérabilité «à l'œil nu», donc une calculatrice comme celle-ci permet de fournir un score précis.
Rester en sécurité en ligne
Même si le rapport de Kenna Security montre que seule une petite proportion des vulnérabilités signalées devient une menace sérieuse, une probabilité d'exploitation de 6% est toujours élevée. Imaginez si votre chaise préférée avait 6 chances sur 100 de se casser à chaque fois que vous vous asseyez. Vous le remplaceriez, non?
Vous n'avez pas les mêmes options avec Internet; c'est irremplaçable. Cependant, comme votre chaise préférée, vous pouvez la réparer et la sécuriser avant qu'elle ne devienne un problème encore plus grave. Il y a cinq choses importantes à faire pour garantir la sécurité en ligne et éviter les logiciels malveillants et autres exploits:
- Mettre à jour. Gardez votre système à jour. Les mises à jour sont le principal moyen pour les entreprises de technologie de protéger votre ordinateur, en corrigeant les vulnérabilités et autres défauts.
- Antivirus. Vous pouvez lire des informations en ligne telles que «vous n'avez plus besoin d'un antivirus» ou «l'antivirus est inutile». Bien sûr, les attaquants évoluent constamment pour échapper aux programmes antivirus, mais vous seriez dans une situation bien pire sans eux. L'antivirus intégré à votre système d'exploitation est un excellent point de départ, mais vous pouvez étendre votre protection avec un outil comme Malwarebytes.
- Liens . Ne cliquez dessus que si vous savez où ils vont. Vous pouvez inspecter un lien suspect à l' aide des outils intégrés de votre navigateur.
- Mot de passe. Rendez-le fort, rendez-le unique et ne le réutilisez jamais. Cependant, il est difficile de se souvenir de tous ces mots de passe – personne ne contesterait cela. C'est pourquoi vous devriez consulter un outil de gestion de mots de passe pour vous aider à vous souvenir et à mieux sécuriser vos comptes.
- Escroqueries. Il y a beaucoup d'escroqueries sur Internet. Si cela semble trop beau pour être vrai, c'est probablement le cas . Les criminels et les escrocs sont habiles à créer des sites Web élégants avec des éléments raffinés pour vous faire passer par une arnaque sans le savoir. Ne croyez pas tout ce que vous lisez en ligne.
Rester en sécurité en ligne n'a pas besoin d'être un travail à plein temps et vous n'avez pas à vous inquiéter chaque fois que vous allumez votre ordinateur. Prendre quelques mesures de sécurité améliorera considérablement votre sécurité en ligne.