Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Cyber Resilience

Connaître le score : L'exposition aux vulnérabilités expliquée

Illumio Editorial
August 3, 2018
23 min. lire

Dans ce billet, j'explique les divers facteurs de calcul du score d'exposition aux vulnérabilités (VES) d'Illumio, qui permet aux organisations de combiner les mesures de notation des vulnérabilités standard de l'industrie avec le contexte de leur propre environnement. Le VES aide également les professionnels de la sécurité à hiérarchiser les contrôles de sécurité afin de minimiser l'exposition de la surface d'attaque et l'impact potentiel des vulnérabilités.

Qu'est-ce que l'exposition ?

Dans le contexte de la cybersécurité, l'exposition est généralement définie par la surface d'attaque "." Voici une définition utilisée par l'OWASP:

La surface d'attaque décrit tous les points différents par lesquels un attaquant peut pénétrer dans un système et par lesquels il peut en extraire des données.

Le VES d'Illumio s'inscrit directement dans cette définition. En termes simples, l'exposition est une tentative de quantifier la somme des trous "" ou les différents points à partir desquels un attaquant peut tenter de pénétrer dans un système à travers le réseau.

Supposons, par exemple, que vous ayez un portail de partenaires - une charge de travail exécutant une application web sur le port 443. Conformément au principe du moindre privilège, vous pouvez limiter l'accès à cette application web à trois partenaires externes seulement. Dans cet exemple, le score d'exposition pour cette application est de 3. Bien que cela semble évident, très souvent les organisations n'ont pas ce niveau de connaissance ou de visibilité de leur exposition est-ouest, application par application, sans parler des ramifications de l'ensemble de ces expositions dans leur environnement.

Qu'est-ce qu'un score de vulnérabilité ?

Le VES d'Illumio utilise la norme ouverte de l'industrie, le système commun d'évaluation des vulnérabilités (CVSS) accepté par la communauté, dont le National Infrastructure Advisory Council (NIAC) a été le pionnier. L'adoption d'une norme industrielle nous permet d'interopérer avec de nombreuses solutions de sécurité existantes, y compris les fournisseurs de solutions de gestion des vulnérabilités, et de fournir un score accepté par le plus grand nombre de praticiens de la sécurité.

Les scores de vulnérabilité sont monnaie courante dans la plupart des solutions de gestion des vulnérabilités et sont généralement évalués et attribués en fonction de la charge de travail. Par exemple, la charge de travail A présente cinq vulnérabilités. Le score de vulnérabilité pourrait être la moyenne combinée des scores CVSS de ces cinq. Bien qu'il s'agisse d'une mesure précieuse pour comprendre la vulnérabilité potentielle d'une charge de travail isolée, elle ne tient pas compte de certains détails importants pour comprendre la vulnérabilité réelle de cette charge de travail dans un environnement réel.

Mise en œuvre de la microsegmentation pour atténuer les risques liés aux vulnérabilités

Pour comprendre le degré de vulnérabilité d'un produit, il faut tenir compte de plusieurs facteurs. Une vulnérabilité n'est véritablement un risque que si elle est exposée dans votre environnement et peut être exploitée.

Pour prendre un exemple simple, considérons une seule charge de travail avec une seule vulnérabilité critique. Comme il est classé dans la catégorie de gravité "critique", il peut être très facile à exploiter. La recommandation typique d'une équipe de sécurité pourrait être : "Il faut patcher !". Mais considérons le nombre d'autres charges de travail qui peuvent se connecter à cette charge de travail et potentiellement exploiter cette vulnérabilité. Examinons également les ports réseau qui sont exposés dans le cadre de cette vulnérabilité. Comme c'est souvent le cas dans les réseaux plats, la charge de travail sera bien connectée à de nombreuses autres charges de travail.

Il n'est peut-être pas possible de corriger cette vulnérabilité particulière, soit parce qu'il n'existe pas encore de correctif, soit en raison d'exigences et de restrictions concernant le temps de fonctionnement de la production, les fenêtres de changement et les accords de niveau de service. Dans ce cas, nous pouvons utiliser la microsegmentation pour réduire le nombre de charges de travail qui peuvent se connecter à cette charge de travail vulnérable et au port vulnérable spécifique.

La microsegmentation devient un contrôle d'atténuation des risques :

  • Réduire les vecteurs d'attaque à la charge de travail.
  • Réduire l'exposition "" de la charge de travail.
  • Réduire le risque que la vulnérabilité de cette charge de travail puisse être exploitée, même si la vulnérabilité est à la fois "Critique" et ne peut pas être corrigée actuellement.

Qu'est-ce que le score d'exposition à la vulnérabilité ?

L'Illumio VES est un moyen d'appréhender à la fois l'exploitabilité "" d'une vulnérabilité (généralement représentée par le score CVSS), ainsi que l'accessibilité "" de la charge de travail vulnérable via des vecteurs d'attaque dans votre environnement - ce que nous appelons l'exposition "."

Passons maintenant aux calculs proprement dits. La VES est calculée en multipliant un score de vulnérabilité échelonné (CVSS) par une mesure d'exposition échelonnée pour un service donné, où s et p sont des facteurs d'échelle pour aider à l'échelonnement logarithmique de ces mesures, ce qui est une technique mathématique courante lorsqu'il y a une large gamme de valeurs :

VES = s(CVSS) * p(mesure de l'exposition)

Comme je l'ai mentionné dans mon article de Forbes sur les leçons de sécurité d'entreprise tirées de Steph Curry, MVP de la NBA, cette mesure permet à un professionnel de la sécurité de comprendre les informations sur les vulnérabilités et les menaces connexes dans le contexte d'environnements segmentés.

Plus précisément, les solutions traditionnelles de gestion des vulnérabilités utilisent les catégories Critique, Élevé, Moyen, Faible et Info pour classer les vulnérabilités et aider à prioriser les efforts d'atténuation. Les cas critiques et élevés font l'objet d'une attention immédiate, comme il se doit. Toutefois, un grand nombre de vulnérabilités moyennes ne sont pas prioritaires et finissent par constituer un arriéré important qui n'est pas passé inaperçu aux yeux des auteurs de logiciels malveillants.  

Les vulnérabilités critiques sont souvent très exploitables (faible coût pour l'attaquant), mais seulement pendant une courte période, car les équipes de sécurité s'empressent d'appliquer des correctifs ou de trouver d'autres moyens d'éliminer l'exposition. Les attaquants, toujours à la recherche d'un nouvel angle d'attaque, ciblent de plus en plus les vulnérabilités moyennes qui se perdent souvent dans le bruit et restent non corrigées pendant de plus longues périodes - une cible beaucoup plus efficace à percer. Elles peuvent être considérées comme un peu plus coûteuses "" à exploiter (une barrière à l'entrée plus élevée, si vous voulez), mais le fait qu'elles seront disponibles plus longtemps que les vulnérabilités critiques et élevées les rend beaucoup plus attrayantes à cibler lorsque l'attaquant calcule le retour sur investissement.

L'objectif et le résultat

Le VES permet à une organisation de combiner plus facilement les meilleures pratiques de notation CVSS avec des facteurs propres à l'environnement de chaque client. Les équipes de sécurité peuvent mieux prioriser leur stratégie d'atténuation en fonction de l'exposition de la vulnérabilité dans leur environnement unique. Par exemple, une vulnérabilité très grave peut être classée sans priorité parce que l' exposition a été considérablement réduite par les contrôles de microsegmentation. Il peut aussi s'agir d'une vulnérabilité moyenne qui devrait être placée en tête de liste compte tenu de l'exposition à un nombre massif de voies d'attaque potentielles vers ce service vulnérable.

Le VES est possible parce que nous comprenons de manière unique la carte - comment votre environnement est connecté et communique - et que nous y superposons des informations sur les vulnérabilités afin d'aider les équipes de sécurité à visualiser et à prioriser l'atténuation du risque des vulnérabilités dans leur environnement. Cela devient un outil extrêmement puissant, non seulement pour les équipes de sécurité, mais aussi pour d'autres personnes, comme les propriétaires d'applications et les dirigeants, qui doivent comprendre ce risque et l'atténuer ou l'accepter dans le contexte d'un risque commercial plus large.  

Sujets connexes

No items found.

Articles connexes

Se préparer à des exploits de type Zero-Day comme MOVEit ? Obtenir la visibilité de l'application
Cyber Resilience

Se préparer à des exploits de type Zero-Day comme MOVEit ? Obtenir la visibilité de l'application

Apprenez pourquoi une visibilité complète des applications est essentielle pour se préparer aux exploits de type " zero-day " comme MOVEit et comment Illumio peut vous aider.

Read more
3 clés pour gérer les retombées juridiques des cyberattaques
Cyber Resilience

3 clés pour gérer les retombées juridiques des cyberattaques

Apprenez à vous préparer aux retombées juridiques d'une brèche ou d'une attaque par ransomware.

Read more
Obtenez 5 idées sur la confiance zéro de la part d'Ann Johnson de Microsoft
Cyber Resilience

Obtenez 5 idées sur la confiance zéro de la part d'Ann Johnson de Microsoft

Écoutez Ann Johnson, vice-présidente de Microsoft Security Business Development, sur la cyber-résilience, l'IA et le point de départ de la confiance zéro.

Read more
Plus de leçons de Steph Curry sur la sécurité des entreprises : Quand quelque chose ne va pas
Cyber Resilience

Plus de leçons de Steph Curry sur la sécurité des entreprises : Quand quelque chose ne va pas

Les équipes de sécurité doivent constamment prendre des décisions de ce type à la volée, et plus elles ont accès à des données sur la situation, meilleures sont les décisions qu'elles peuvent prendre.

Read more

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

Learn more