Logo Zéphyrnet

Faire passer le paradigme de la cybersécurité d'un modèle axé sur la gravité à un modèle axé sur les risques

Date :

Les nouvelles vulnérabilités de cybersécurité ont augmenté à un rythme sans précédent en 2021, le nombre de vulnérabilités atteignant le niveau le plus élevé jamais signalé en une seule année. En tant qu'analyste des menaces qui surveille quotidiennement les avis de sécurité, j'ai également observé une Augmentation de 24 % des nouvelles vulnérabilités exploitées à l'état sauvage
l'année dernière - indiquant que les acteurs de la menace et les développeurs de logiciels malveillants s'améliorent dans la militarisation de nouvelles vulnérabilités. Non seulement les vulnérabilités prolifèrent à un rythme sans précédent, mais les acteurs de la menace ont également amélioré leur capacité à en tirer parti avec une gamme de nouveaux logiciels malveillants et exploits.

Ces constatations ont été renforcées par la Alerte de la Cybersecurity and Infrastructure Security Agency (CISA) émise en avril 2022: "Globalement, en 2021, des cyber-acteurs malveillants ont ciblé des systèmes connectés à Internet, tels que des serveurs de messagerie et des serveurs de réseau privé virtuel (VPN), avec des exploits de vulnérabilités récemment révélées. Pour la plupart des vulnérabilités les plus exploitées, des chercheurs ou d'autres acteurs ont publié un code de preuve de concept (POC) dans les deux semaines suivant la divulgation de la vulnérabilité, facilitant probablement l'exploitation par un plus large éventail d'acteurs malveillants.

Focus sur les menaces actives et l'exposition

Il y a une doublure argentée à cette augmentation des vulnérabilités d'une année sur l'autre : aussi contre-intuitif que cela puisse paraître, la correction de toutes les vulnérabilités est probablement inutile pour la plupart des organisations. Et avec de nombreuses grandes entreprises aux prises avec des millions de vulnérabilités, corriger immédiatement toutes les failles identifiées par les scanners de vulnérabilités traditionnels est une tâche impossible.

Pourquoi la fatigue d'alerte existe-t-elle ? Les approches traditionnelles pour comprendre la gravité des vulnérabilités reposent presque exclusivement sur le Common Vulnerability Scoring System (CVSS). Cependant, CVSS ne fournit qu'une image générale et ne tient pas compte de la manière dont la vulnérabilité serait exploitée au sein d'un réseau spécifique. En conséquence, les organisations doivent gérer une liste massive d'alertes de vulnérabilité avec peu ou pas de visibilité sur la manière dont elles doivent être classées par ordre de priorité en fonction de contrôles et de configurations de sécurité spécifiques.

Approche fondée sur le risque

Alors que les failles de cybersécurité ont fortement augmenté d'une année sur l'autre, la bonne nouvelle est que 48 % des organisations sans violation ont adopté une approche basée sur les risques. Cette approche basée sur les risques comprend cinq ingrédients clés :

  • Visibilité et contexte de la surface d'attaque
  • Simulation d'attaque
  • Gestion de l'exposition
  • Notation des risques
  • Évaluations de la vulnérabilité

La réduction réelle des risques nécessite de se concentrer sur l'élimination des menaces qui comptent. Heureusement, les leaders de la cybersécurité comprennent désormais le fait que toutes les vulnérabilités ne sont pas créées de la même manière. Cette nouvelle façon de penser permet aux SecOps de hiérarchiser impitoyablement les vulnérabilités qui doivent être corrigées et de réduire de manière quantifiable les risques.

Modélisation de la gestion des cyber-risques

La gestion des risques est un principe essentiel de la cybersécurité, permettant aux équipes de sécurité de hiérarchiser les menaces en fonction de leur impact potentiel sur une organisation.

Pour un score de risque complet, envisagez d'ajouter ces éléments au CVSS statique :

Exploitabilité : Les acteurs de la menace exploitent-ils la vulnérabilité à l'état sauvage ?

Exposition: Les contrôles de sécurité existants protègent-ils l'actif vulnérable ?

Importance de l'actif : L'actif est-il essentiel à la mission ? Cela exposerait-il des données sensibles ?

Impact financier: Combien cela coûtera-t-il à votre entreprise par jour si le système est compromis ?

Il est maintenant temps d'exploiter les données dont vous disposez pour adopter la prévention des violations qui combattra les effets secondaires de la transformation numérique et des stratégies modernes de cybercriminalité. Cela signifie se concentrer sur les menaces actives qui sont accessibles aux adversaires et qui ont le potentiel de dévaster financièrement votre entreprise — au lieu des millions de vulnérabilités qui ne sont même pas exposées.

Armées d'une modélisation des cyber-risques, les équipes de sécurité sont habilitées à identifier les risques importants et à hiérarchiser les mesures correctives là où elles sont réellement nécessaires. Dire à un CISO que vous avez retiré des milliers de vulnérabilités exploitables et de familles de logiciels malveillants en un seul mois rendra un dirigeant heureux.

spot_img

Dernières informations

spot_img