Le premier rapport « Vulnerability and Threat Trends » de Skybox Security analyse le paysage des menaces en 2017 et indique que les actifs les plus difficiles à corriger sont de plus en plus vulnérables
Skybox™ Security, leader mondial en matière d’opérations, d’analyse et de reporting dans le domaine de la cybersécurité, annonce la publication de son premier rapport intitulé Vulnerability and Threat Trends Report, qui analyse les vulnérabilités, les exploits et les menaces en 2017. Le rapport, compilé par l’équipe d’analystes de recherche du Skybox Research Lab, vise à aider les entreprises à aligner leur stratégie de sécurité sur la réalité des menaces actuelles.
Le recours à la cybercriminalité générant des gains financiers est l’une des tendances de ces dernières années. Cette approche se base sur une technique simple : tirer parti des outils d’attaque existants plutôt que d’en développer de nouveaux, utiliser la même attaque sur le plus grand nombre de victimes possibles, et s’en prendre aux cibles faciles. Les conclusions du rapport mettent en lumière l’évolution de ces cibles, toujours plus vulnérables.
Au cours de l’année 2017, la grande majorité des exploits ont affecté des applications côté serveur (76%), soit une hausse de 17 points par rapport à 2016. Ron Davidson, Chief Technology Officer chez Skybox Security, souligne qu’il est toujours plus complexe de gérer les vulnérabilités côté serveur car les actifs à forte valeur nécessitent une étude plus attentive que la simple question de savoir si un correctif est disponible. « Il est nécessaire que les entreprises comprennent ces vulnérabilités côté serveur, dans le contexte du niveau stratégique de l’actif, de la topologie et des contrôles de sécurité environnants, et du niveau d’activité de l’exploit en circulation. Ce n’est qu’à partir de là qu’elles peuvent décider précisément de la priorité des correctifs et de leur déploiement optimal. »
L’augmentation des exploits côté serveur correspond à la baisse continue de l’utilisation de kits d’exploitation reposant sur les vulnérabilités côté client, qui ne représentaient qu’un quart des exploits en circulation. Cela s’explique en partie par la disparition d’acteurs majeurs des kits d’exploitation tels qu’Angler, Neutrino et Nuclear, sans qu’aucun acteur comparable ne vienne les remplacer.
Le rapport montre également qu’en 2017, les nouvelles vulnérabilités spécifiques à la technologie opérationnelle (OT) ont augmenté de 120% par rapport à l’année précédente (l’OT comprend les dispositifs de surveillance et de contrôle couramment utilisés dans les entreprises gérant les infrastructures critiques comme les producteurs d’énergies, les fournisseurs en eau, gaz, électricité et les producteurs industriels, par exemple). Ce pic est d’autant plus inquiétant que de nombreuses entreprises ont une visibilité faible voire inexistante du réseau OT, et plus particulièrement des vulnérabilités puisque la surveillance active est généralement interdite.
« Les équipes de sécurité disposent rarement d’une vue d’ensemble des risques auxquels sont exposés les réseaux OT » déclare Marina Kidron, Analyste Sécurité Senior et Responsable du Skybox Research Lab. « Même lorsqu’un correctif est identifié pour une vulnérabilité donnée, les ingénieurs OT sont naturellement hésitants à installer la mise à jour, qui pourrait perturber les services, endommager les équipements ou même mettre en danger les équipes. Pour vraiment comprendre et gérer les risques, les entreprises dotées de réseaux OT doivent mettre en place des stratégies visant non seulement à évaluer les vulnérabilités et à prioriser les correctifs mais également à unifier ces processus avec ceux du réseau IT ».
Dans l’ensemble, les nouvelles vulnérabilités cataloguées au sein de la base de données nationale des vulnérabilités de MITRE ont doublé en 2017. Ce bond s’explique en grande partie par les améliorations organisationnelles chez MITRE, ainsi que par l’intensification de la recherche en matière de sécurité menée par les fournisseurs et les tiers, notamment les programmes de bug bounty (récompense pour signalement de bugs) parrainés par les fournisseurs. 14 000 nouvelles CVE ont ainsi été attribuées. Quelle qu’en soit la raison, cela représente de nouveaux défis pour les équipes en charge de la gestion des vulnérabilités. « Si en 2017 vous aviez toujours recours aux méthodes de priorisation traditionnelles comme l’évaluation CVSS, votre liste de tâches à accomplir s’est considérablement rallongée » ajoute Ron Davidson. « Dans l’année à venir, ce chiffre pourrait encore augmenter. Les entreprises doivent adopter une approche radicalement différente de la gestion des vulnérabilités. »