Skybox Security : les entreprises doivent changer leur approche de la gestion des vulnérabilités pour anticiper les menaces réelles
octobre 2017 par Marc Jacob
Skybox™ Security annonce la disponibilité du management des vulnérabilités centrée sur les menaces (TCVM, Threat-Centric Vulnerability Management) pour Skybox™ Security Suite, signe d’une évolution fondamentale de l’approche de la gestion et de la priorisation des failles de sécurité.
Le TCVM transforme la gestion des vulnérabilités qui, d’un exercice tentant de « tout patcher en permanence », devient une action intelligente et ciblée. Pour ce faire, le TCVM met en corrélation des facteurs multiples afin de déterminer le risque présenté par chaque vulnérabilité, notamment :
• le contexte : c’est-à-dire les voies potentielles d’attaque et les contrôles de sécurité en place, l’exposition de chaque ressource et son importance pour l’activité ou encore le détail des failles existantes ;
• une veille sur les exploitations de vulnérabilités en circulation.
Grâce au centre de priorisation du TCVM, les responsables de la sécurité peuvent analyser automatiquement les milliers – voire des millions – de vulnérabilités présentes dans leur environnement (y compris cloud, virtuel et industriel / SCADA) afin de repérer celles qui mettent véritablement leur entreprise en danger. Cela signifie ramener un volume considérable de vulnérabilités « connues », constituant autant de menaces potentielles, à un petit nombre gérable de failles identifiées comme des menaces imminentes. En outre, l’approche systématique TCVM permet de réduire de façon progressive le risque présenté par les menaces potentielles.
Aujourd’hui, les analystes de Skybox surveillent plus particulièrement trois grandes catégories d’événements touchant les entreprises : l’utilisation d’une série spécifique de kits d’exploitation commercialisés, la montée des vulnérabilités ciblées côté client et la prolifération des botnets liés à l’Internet des objets (IoT).
• Un nombre restreint et ciblé de kits d’exploitation dominent le Dark Web. Au premier semestre, cinq principaux kits d’exploitation dominaient les discussions sur le Dark Web, ciblant près de 70 vulnérabilités dans Firefox, Adobe Flash, Microsoft Internet Explorer et Edge, Java, Microsoft XML Services, etc. Ces vulnérabilités sont connues pour servir à diffuser différents malwares, par exemple des ransomwares ou des chevaux de Troie bancaires.
• Les menaces continuent de cibler des vulnérabilités spécifiques incluses dans des fichiers publiés par des groupes de hackers tels que The Shadow Brokers. Le groupe, connu pour avoir possiblement piraté des outils d’espionnage de la NSA aux Etats-Unis, continue de disséminer sur le Dark Web des fichiers comme celui qui, le 14 avril, recensait de nombreuses failles à exploiter. Ces fichiers et les vulnérabilités ciblées concernent les applications web construites avec Apache Struts et des produits VMware, Cisco, Oracle ou Microsoft, pour ne citer que ceux-ci.
• Une sécurité insuffisante rend l’IoT toujours plus vulnérable. Des botnets exploitent des vulnérabilités dans les équipements réseau, passerelles, caméras et autres objets connectés à Internet, pour lancer des attaques par déni de service distribué (DDoS), à l’exemple du botnet « HTTP Port 81 » ou encore d’Amnesia, qui incarne la nouvelle génération du malware Mirai après la publication de son code source.
« Les responsables de la sécurité sont bien conscients de l’évolution constante des menaces. La différence aujourd’hui est que nous voyons se développer un marché de la cybercriminalité de plus en plus commercial. Cela procure aux cybercriminels encore plus de facilité pour attaquer, s’adapter et réitérer leurs attaques jusqu’à atteindre leur objectif », commente Gidi Cohen, CEO de Skybox Security. « Ils tendent à viser les cibles faciles – et les plus rentables – en exploitant un nombre étonnamment restreint de failles qui, pour une grande partie d’entre elles, ne sont pas jugées prioritaires par les méthodes actuelles de gestion des vulnérabilités. Cette situation doit changer. Les responsables de la sécurité doivent se montrer plus intelligents et bien mieux cibler leur approche – en mettant celle-ci en phase avec les événements du monde réel. »
Enfin, Skybox TCVM permet de hiérarchiser les principaux risques pour une entreprise, en fonction des vulnérabilités qui seraient :
• présentes et exposées dans le réseau ;
• activement exploitées en général ou bien attaquées dans un secteur d’activité ou une zone géographique spécifique ;
• l’objet d’un kit d’exploitation disponible mais sans pour autant être la cible d’une campagne active d’attaques ;
• présentes mais non exposées dans le réseau.
Skybox rassemble et automatise les technologies multiples qui rendent le TCVM possible. Il met également en corrélation le contexte du réseau (grâce à une modélisation de ce dernier et à l’analyse des vecteurs d’attaque) avec la veille des menaces dans le monde réel.