Chaque mois, le National Institute of Standards and Technology (NIST) ajoute plus de 2,000 XNUMX nouvelles vulnérabilités de sécurité au Base de données nationale sur la vulnérabilité. Les équipes de sécurité n'ont pas besoin de suivre toutes ces vulnérabilités, mais elles ont besoin d'un moyen d'identifier et de résoudre celles qui constituent une menace potentielle pour leurs systèmes. C'est ce que le gestion des vulnérabilités le cycle de vie est pour.

Le cycle de vie de la gestion des vulnérabilités est un processus continu de découverte, de hiérarchisation et de traitement des vulnérabilités dans les actifs informatiques d'une entreprise.

Un cycle typique du cycle de vie comporte cinq étapes :

1. Inventaire des actifs et évaluation de la vulnérabilité. 
2. Priorisation de la vulnérabilité.
3. Résolution de vulnérabilité.
4. Vérification et suivi.
5. Reporting et amélioration.

Le cycle de vie de la gestion des vulnérabilités permet aux organisations d'améliorer leur posture de sécurité en adoptant une approche plus stratégique de la gestion des vulnérabilités. Au lieu de réagir aux nouvelles vulnérabilités au fur et à mesure qu'elles apparaissent, les équipes de sécurité recherchent activement les failles de leurs systèmes. Les organisations peuvent identifier les vulnérabilités les plus critiques et mettre en place des protections avant que les acteurs de la menace ne frappent.

Pourquoi le cycle de vie de la gestion des vulnérabilités est-il important ?

Une vulnérabilité est une faiblesse de sécurité dans la structure, la fonction ou la mise en œuvre d'un réseau ou d'un actif qui les pirates peut exploiter pour nuire à une entreprise. 

Les vulnérabilités peuvent provenir de défauts fondamentaux dans la construction d'un actif. Ce fut le cas de l'infâme Vulnérabilité Log4J, où les erreurs de codage dans un populaire Java la bibliothèque permettait aux pirates de s'exécuter à distance malware sur les ordinateurs des victimes. D'autres vulnérabilités sont causées par une erreur humaine, comme un bucket de stockage cloud mal configuré qui expose des données sensibles à l'Internet public.

Chaque vulnérabilité est un risque pour les organisations. Selon IBM Indice X-Force Threat Intelligence, l'exploitation des vulnérabilités est la deuxième cyberattaque vecteur. X-Force a également constaté que le nombre de nouvelles vulnérabilités augmente chaque année, avec 23,964 2022 enregistrées rien qu'en XNUMX.

Les pirates disposent d'un stock croissant de vulnérabilités. En réponse, les entreprises ont fait de la gestion des vulnérabilités un élément clé de leur gestion des cyber-risques stratégies. Le cycle de vie de la gestion des vulnérabilités offre un modèle formel pour des programmes efficaces de gestion des vulnérabilités dans un paysage de cybermenaces en constante évolution. En adoptant le cycle de vie, les organisations peuvent voir certains des avantages suivants :

• Découverte et résolution proactives des vulnérabilités : Les entreprises ne connaissent souvent pas leurs vulnérabilités tant que les pirates ne les ont pas exploitées. Le cycle de vie de la gestion des vulnérabilités est construit autour d'une surveillance continue afin que les équipes de sécurité puissent trouver les vulnérabilités avant que les adversaires ne le fassent.
• Allocation stratégique des ressources : Des dizaines de milliers de nouvelles vulnérabilités sont découvertes chaque année, mais seules quelques-unes sont pertinentes pour une organisation. Le cycle de vie de la gestion des vulnérabilités aide les entreprises à identifier les vulnérabilités les plus critiques de leurs réseaux et à hiérarchiser les risques les plus importants à corriger.
• Un processus de gestion des vulnérabilités plus cohérent : Le cycle de vie de la gestion des vulnérabilités donne aux équipes de sécurité un processus reproductible à suivre, de la découverte des vulnérabilités à la correction et au-delà. Un processus plus cohérent produit des résultats plus cohérents et permet aux entreprises d'automatiser les flux de travail clés tels que l'inventaire des actifs, l'évaluation des vulnérabilités et gestion des correctifs.

Étapes du cycle de vie de la gestion des vulnérabilités

De nouvelles vulnérabilités peuvent apparaître dans un réseau à tout moment, de sorte que le cycle de vie de la gestion des vulnérabilités est une boucle continue plutôt qu'une série d'événements distincts. Chaque cycle du cycle de vie alimente directement le suivant. Un seul tour contient généralement les étapes suivantes : 

Étape 0 : Planification et travail préparatoire

Techniquement, la planification et les travaux préparatoires ont lieu avant le cycle de vie de la gestion des vulnérabilités, d'où la désignation « Étape 0 ». Au cours de cette étape, l'organisation aplanit les détails critiques du processus de gestion des vulnérabilités, notamment les éléments suivants :

• Quelles parties prenantes seront impliquées et les rôles qu'elles auront
• Ressources (personnes, outils et financement) disponibles pour la gestion des vulnérabilités
• Lignes directrices générales pour hiérarchiser et répondre aux vulnérabilités
• Indicateurs pour mesurer le succès du programme

Les organisations ne passent pas par cette étape avant chaque cycle du cycle de vie. En règle générale, une entreprise mène une phase de planification et de travail préparatoire approfondie avant de lancer un programme formel de gestion des vulnérabilités. Lorsqu'un programme est en place, les parties prenantes revoient périodiquement la planification et les travaux préparatoires pour mettre à jour leurs directives et stratégies générales au besoin. 

Étape 1 : découverte des actifs et évaluation des vulnérabilités

Le cycle de vie formel de la gestion des vulnérabilités commence par un inventaire des actifs, un catalogue de tout le matériel et les logiciels sur le réseau de l'organisation. L'inventaire comprend des applications et des points finaux officiellement sanctionnés et tout ombre IT actifs que les employés utilisent sans autorisation. 

Étant donné que de nouveaux actifs sont régulièrement ajoutés aux réseaux de l'entreprise, l'inventaire des actifs est mis à jour avant chaque cycle du cycle de vie. Les entreprises utilisent souvent des outils logiciels comme gestion de la surface d'attaque plateformes pour automatiser leurs inventaires.  

Après avoir identifié les actifs, l'équipe de sécurité les évalue pour les vulnérabilités. L'équipe peut utiliser une combinaison d'outils et de méthodes, y compris des scanners de vulnérabilité automatisés, des tests de pénétration et externe renseignements sur les menaces de la communauté de la cybersécurité.

L'évaluation de chaque actif à chaque étape du cycle de vie serait onéreuse, de sorte que les équipes de sécurité travaillent généralement par lots. Chaque cycle du cycle de vie se concentre sur un groupe spécifique d'actifs, les groupes d'actifs plus critiques recevant des analyses plus souvent. Certains outils avancés d'analyse des vulnérabilités évaluent en permanence tous les actifs du réseau en temps réel, permettant à l'équipe de sécurité d'adopter une approche encore plus dynamique de la découverte des vulnérabilités. 

Étape 2 : Hiérarchisation des vulnérabilités

L'équipe de sécurité hiérarchise les vulnérabilités qu'elle a trouvées lors de l'étape d'évaluation. La hiérarchisation garantit que l'équipe traite d'abord les vulnérabilités les plus critiques. Cette étape permet également à l'équipe d'éviter de consacrer du temps et des ressources aux vulnérabilités à faible risque. 

Pour hiérarchiser les vulnérabilités, l'équipe considère ces critères :

• Notes de criticité des renseignements externes sur les menaces : Cela peut inclure la liste de MITRE des Vulnérabilités et expositions courantes (CVE) au sein de l’ Système commun de notation des vulnérabilités (CVSS).
• Criticité des actifs: Une vulnérabilité non critique dans un actif critique reçoit souvent une priorité plus élevée qu'une vulnérabilité critique dans un actif moins important. 
• Impact potentiel: L'équipe de sécurité évalue ce qui pourrait arriver si des pirates exploitaient une vulnérabilité particulière, y compris les effets sur les opérations commerciales, les pertes financières et toute possibilité de poursuites judiciaires.
• Probabilité d'exploitation : L'équipe de sécurité accorde plus d'attention aux vulnérabilités avec des exploits connus que les pirates utilisent activement dans la nature.
• Faux positifs: L'équipe de sécurité s'assure que les vulnérabilités existent réellement avant de leur consacrer des ressources. 

Étape 3 : Résolution des vulnérabilités

L'équipe de sécurité travaille sur la liste des vulnérabilités classées par ordre de priorité, de la plus critique à la moins critique. Les organisations disposent de trois options pour remédier aux vulnérabilités :

1. Correction : Traiter entièrement une vulnérabilité afin qu'elle ne puisse plus être exploitée, par exemple en corrigeant un bogue du système d'exploitation, en corrigeant une mauvaise configuration ou en supprimant un actif vulnérable du réseau. La réparation n'est pas toujours possible. Pour certaines vulnérabilités, les correctifs complets ne sont pas disponibles au moment de la découverte (par exemple, vulnérabilités zero-day). Pour d'autres vulnérabilités, la remédiation serait trop gourmande en ressources.  
2. Atténuation: Rendre une vulnérabilité plus difficile à exploiter ou réduire l'impact de l'exploitation sans supprimer entièrement la vulnérabilité. Par exemple, l'ajout de mesures d'authentification et d'autorisation plus strictes à une application Web rendrait plus difficile pour les pirates de détourner des comptes. Artisanat plans de réponse aux incidents car les vulnérabilités identifiées peuvent amortir le coup des cyberattaques. Les équipes de sécurité choisissent généralement d'atténuer lorsque la correction est impossible ou d'un coût prohibitif. 
3. Acceptation: Certaines vulnérabilités ont un impact si faible ou sont peu susceptibles d'être exploitées qu'il ne serait pas rentable de les corriger. Dans ces cas, l'organisation peut choisir d'accepter la vulnérabilité. 

Étape 4 : Vérification et suivi

Pour vérifier que les efforts d'atténuation et de correction ont fonctionné comme prévu, l'équipe de sécurité analyse et reteste les actifs sur lesquels elle vient de travailler. Ces audits ont deux objectifs principaux : déterminer si l'équipe de sécurité a résolu avec succès toutes les vulnérabilités connues et s'assurer que l'atténuation et la correction n'ont pas introduit de nouveaux problèmes.

Dans le cadre de cette étape de réévaluation, l'équipe de sécurité surveille également le réseau plus largement. L'équipe recherche toute nouvelle vulnérabilité depuis la dernière analyse, les anciennes mesures d'atténuation devenues obsolètes ou d'autres modifications pouvant nécessiter une action. Toutes ces découvertes contribuent à éclairer la prochaine étape du cycle de vie.

Etape 5 : Reporting et amélioration

L'équipe de sécurité documente l'activité du cycle le plus récent du cycle de vie, y compris les vulnérabilités trouvées, les mesures de résolution prises et les résultats. Ces rapports sont partagés avec les parties prenantes concernées, notamment les dirigeants, les propriétaires d'actifs, les services de conformité et autres. 

L'équipe de sécurité réfléchit également à la façon dont s'est déroulée la dernière ronde du cycle de vie. L'équipe peut examiner des mesures clés telles que le temps moyen de détection (MTTD), le temps moyen de réponse (MTTR), le nombre total de vulnérabilités critiques et les taux de récurrence des vulnérabilités. En suivant ces mesures au fil du temps, l'équipe de sécurité peut établir une base de référence pour les performances du programme de gestion des vulnérabilités et identifier les opportunités d'amélioration du programme au fil du temps. Les leçons tirées d'un tour du cycle de vie peuvent rendre le tour suivant plus efficace.

Explorer les solutions de gestion des vulnérabilités

La gestion des vulnérabilités est une entreprise complexe. Même avec un cycle de vie formel, les équipes de sécurité peuvent avoir l'impression de chercher des aiguilles dans des meules de foin alors qu'elles tentent de détecter les vulnérabilités dans les réseaux d'entreprise massifs. 

IBM X-Force® Red peut aider à rationaliser le processus. L'équipe X-Force® Red offre une gamme complète services de gestion des vulnérabilités, travailler avec les organisations pour identifier les actifs critiques, découvrir les vulnérabilités à haut risque, remédier entièrement aux faiblesses et appliquer des contre-mesures efficaces.

En savoir plus sur les services de gestion des vulnérabilités IBM X-Force® Red

IBM Security® QRadar® Suite peut encore soutenir les équipes de sécurité aux ressources limitées avec une solution modernisée de détection et de réponse aux menaces. QRadar Suite intègre la sécurité des points finaux, la gestion des journaux, les produits SIEM et SOAR dans une interface utilisateur commune, et intègre l'automatisation d'entreprise et l'IA pour aider les analystes de la sécurité à augmenter la productivité et à travailler plus efficacement sur toutes les technologies.

Découvrez la suite IBM Security QRadar