Blogue
/
Cyber-résilience

Connaissez le score : explication de l'exposition aux vulnérabilités

PJ Kirner
,
Cofondateur et conseiller
August 3, 2018
23 min. de lecture

Dans cet article, j'explique les différents facteurs qui entrent en jeu dans le calcul du score d'exposition aux vulnérabilités (VES) d'Illumio, qui permet aux organisations de combinez des mesures de notation de vulnérabilité conformes aux normes du secteur avec le contexte de leur environnement unique. Le VES aide également les professionnels de la sécurité à hiérarchiser les contrôles de sécurité afin de minimiser l'exposition de la surface d'attaque et l'impact potentiel des vulnérabilités.

Qu'est-ce que l'exposition ?

L'exposition dans le contexte de la cybersécurité est généralement définie par la « surface d'attaque ». Voici une définition qui GUÊPE Utilisations :

La surface d'attaque décrit les différents points par lesquels un attaquant peut pénétrer dans un système et où il peut en extraire des données.

L'Illumio VES s'inscrit directement dans cette définition. En termes simples, l'exposition est une tentative de quantifier la somme des « trous » ou des différents points à partir desquels un attaquant peut tenter de pénétrer dans un système via le réseau.

Supposons, par exemple, que vous disposiez d'un portail partenaire, une charge de travail exécutant une application Web sur le port 443. À la suite de principe du moindre privilège, il se peut que l'accès à cette application Web soit limité à trois partenaires externes uniquement. Dans cet exemple, le score d'exposition pour cette application est de 3. Bien que cela semble évident, très souvent les organisations n'ont pas ce niveau de sensibilisation ou visibilité dans leur exposition est-ouest, application par application, sans parler des ramifications de l'ensemble de ces expositions dans leur environnement.

Qu'est-ce qu'un score de vulnérabilité ?

L'Illumio VES utilise le système CVSS (Common Vulnerability Scoring System), standard industriel ouvert et accepté par la communauté, initialement mis au point par Conseil consultatif national sur les infrastructures (NIAQUE). L'adoption d'une norme industrielle nous permet d'interagir avec de nombreuses solutions de sécurité existantes, notamment gestion des vulnérabilités fournisseurs, et fournissent un score accepté par le plus large éventail de professionnels de la sécurité.

Les scores de vulnérabilité sont courants dans la plupart des solutions de gestion des vulnérabilités et sont généralement évalués et attribués en fonction de la charge de travail. Par exemple, la charge de travail A présente cinq vulnérabilités. Le score de vulnérabilité pourrait être la moyenne combinée des scores CVSS de ces cinq. Bien qu'il s'agisse d'un indicateur précieux pour comprendre la vulnérabilité potentielle d'une charge de travail isolée, il omet certains détails importants permettant de comprendre à quel point cette charge de travail est réellement vulnérable dans un environnement réel.

Mise en œuvre de la microsegmentation pour atténuer le risque associé aux vulnérabilités

Pour comprendre à quel point une chose est vulnérable, vous devez prendre en compte plusieurs facteurs. Une vulnérabilité ne constitue un véritable risque que si elle est exposée dans votre environnement et peut être exploitée.

À titre d'exemple simple, considérons une charge de travail unique présentant une vulnérabilité critique unique. Parce qu'il est classé comme « critique », il peut être très exploitable. La recommandation typique d'une équipe de sécurité peut être la suivante : « Il faut le corriger ! ». Mais voyons combien d'autres charges de travail peuvent se connecter à cette charge de travail et exploiter potentiellement cette vulnérabilité. Examinons également les ports réseau exposés dans le cadre de cette vulnérabilité. Comme c'est souvent le cas dans les réseaux plats, la charge de travail sera bien connectée à de nombreuses autres charges de travail.

Il n'est peut-être pas possible de corriger cette vulnérabilité particulière, soit parce qu'aucun correctif n'existe encore, soit en raison d'exigences et de restrictions concernant la disponibilité de la production, les fenêtres de modification et les SLA. Dans de tels cas, nous pouvons utiliser la microsegmentation pour réduire le nombre de charges de travail pouvant se connecter à cette charge de travail vulnérable et au port vulnérable spécifique.

Microsegmentation devient un contrôle d'atténuation des risques en :

  • Réduire les vecteurs d'attaque associés à la charge de travail.
  • Réduire « l'exposition » de la charge de travail.
  • Réduire le risque que la vulnérabilité de cette charge de travail soit réellement exploitée, même si elle est à la fois « critique » et ne peut pas être corrigée actuellement.

Qu'est-ce que la vulnérabilité Exposition Un score ?

L'Illumio VES permet de déterminer à la fois « l'exploitabilité » d'une vulnérabilité (généralement représentée par le score CVSS) et l' « accessibilité » réelle de la charge de travail vulnérable via des vecteurs d'attaque dans votre environnement, ce que nous avons appelé « exposition ».

Passons maintenant aux calculs. Le VES est calculé en multipliant un score de vulnérabilité échelonné (CVSS) par une mesure d'exposition échelonnée pour un service donné, où s et p sont des facteurs d'échelle qui aident à redimensionner ces mesures au logarithme. Il s'agit d'une technique mathématique courante lorsqu'il existe une large plage de valeurs :

VES = s (CVSS) * p (mesure de l'exposition)

Comme je l'ai mentionné dans mon Article de Forbes sur les leçons de sécurité d'entreprise tirées de Steph Curry, MVP de la NBA, cette mesure permet aux professionnels de la sécurité de comprendre les informations relatives aux vulnérabilités et aux menaces associées dans le contexte d'environnements segmentés.

Plus précisément, les solutions traditionnelles de gestion des vulnérabilités utilisent des notations Critique, Élevée, Moyenne, Faible et Info pour classer les vulnérabilités et aider à hiérarchiser les efforts d'atténuation. Les critiques et les high reçoivent une attention immédiate, comme il se doit. Cependant, il existe un grand nombre de vulnérabilités de taille moyenne qui ne sont pas considérées comme prioritaires et finissent par s'accumuler dans un important arriéré qui n'est pas passé inaperçu auprès des auteurs de malwares.

Les vulnérabilités critiques sont souvent très exploitables (peu coûteuses pour l'attaquant), mais pour une courte période seulement, car les équipes de sécurité agissent rapidement pour appliquer des correctifs ou trouver d'autres moyens de supprimer l'exposition. Les attaquants, toujours à la recherche d'une nouvelle approche, ciblent de plus en plus des vulnérabilités de taille moyenne qui sont souvent perdues dans le bruit et ne sont pas corrigées pendant de longues périodes. Il s'agit donc d'une cible bien plus efficace à pirater. Elles peuvent être considérées comme un peu plus « coûteuses » à exploiter (barrière à l'entrée plus élevée, si vous voulez), mais le fait qu'elles soient disponibles plus longtemps que les vulnérabilités critiques et élevées les rend beaucoup plus attrayantes à cibler lorsque l'attaquant calcule le retour sur investissement de son investissement.

L'objectif et les avantages

Le VES permet à une organisation de combiner plus facilement la notation CVSS des meilleures pratiques du secteur avec des facteurs propres à l'environnement de chaque client. Les équipes de sécurité peuvent mieux hiérarchiser leur stratégie d'atténuation en fonction de l'exposition à la vulnérabilité dans leur environnement unique. Par exemple, une vulnérabilité de gravité élevée pourrait être dépriorisée parce que l'exposition a été importante réduit par les contrôles de microsegmentation. Il peut également s'agir d'une vulnérabilité moyenne qui devrait figurer en tête de liste compte tenu de l'exposition à un grand nombre de voies d'attaque potentielles vers ce service vulnérable.

Le VES est possible parce que nous sommes uniques comprendre la carte — comment votre environnement est connecté et communique — et superposer les informations sur les vulnérabilités en haut de la carte pour aider les équipes de sécurité à visualiser et à prioriser l'atténuation du risque de vulnérabilités dans leur environnement. Cela devient un outil extrêmement puissant, non seulement pour les équipes de sécurité, mais aussi pour d'autres, comme les propriétaires d'applications et les dirigeants, qui doivent comprendre ce risque et l'atténuer ou l'accepter dans le contexte d'un risque commercial plus large.

Sujets connexes

Aucun article n'a été trouvé.

Articles connexes

Optimisation de vos huit efforts essentiels de gestion des vulnérabilités
Cyber-résilience

Optimisation de vos huit efforts essentiels de gestion des vulnérabilités

Des systèmes interconnectés disparates et désormais des employés travaillant à distance dans le monde entier augmentent notre exposition et nos opportunités en matière de cybercriminalité.

En savoir plus
3 étapes pour démarrer le parcours Zero Trust de votre établissement de santé
Cyber-résilience

3 étapes pour démarrer le parcours Zero Trust de votre établissement de santé

Découvrez comment créer Zero Trust conformément au modèle de maturité Zero Trust de la CISA, en commençant par la segmentation Zero Trust d'Illumio.

En savoir plus
Appel à la cyberrésilience et à la confiance zéro : bilan du mois Illumio
Cyber-résilience

Appel à la cyberrésilience et à la confiance zéro : bilan du mois Illumio

Le début de l'année 2022 a mis en évidence la priorité accrue de la sécurité Zero Trust dans le paysage cybernétique actuel. De nombreuses organisations sont confrontées à une complexité accrue de leurs réseaux en raison de l'évolution des options de travail flexibles et de l'instabilité du paysage géopolitique qui a entraîné une augmentation exponentielle des attaques et des violations de rançongiciels à l'échelle internationale.

En savoir plus
Autres leçons de Steph Curry sur la sécurité d'entreprise : quand quelque chose ne va pas
Cyber-résilience

Autres leçons de Steph Curry sur la sécurité d'entreprise : quand quelque chose ne va pas

Les équipes de sécurité doivent prendre de telles décisions à la volée à tout moment, et plus elles ont accès à de données sur la situation, meilleures sont leurs décisions.

En savoir plus

Supposez Breach.
Minimisez l'impact.
Augmentez la résilience.

Vous souhaitez en savoir plus sur la segmentation Zero Trust ?

En savoir plus