Le National Institute of Standards and Technology (NIST) est dans une situation difficile, qui a de graves implications pour les équipes de cybersécurité du monde entier. La National Vulnerability Database (NVD), le référentiel incontournable pour les vulnérabilités et expositions communes (CVE), croule sous le poids d’un arriéré sans précédent. En avril, seules 4,000 11,000 sur près de 7,000 XNUMX CVE avaient été traitées, laissant dans l’incertitude un nombre stupéfiant de XNUMX XNUMX vulnérabilités. Ce retard n’est pas seulement un problème mineur : c’est un risque flagrant pour la sécurité.
Face à cette crise croissante, comment les équipes de sécurité peuvent-elles garantir qu’elles gardent une longueur d’avance sur les menaces potentielles ?
Efforts d'atténuation actuels du NIST
Neatsun Ziv, PDG d'Ox Security, le dit sans détour.
« L'arriéré de CVE non traités au NVD présente des risques importants pour les organisations, créant des angles morts potentiels et retardant les réponses aux nouvelles menaces », a-t-il déclaré à ISMS.online. « Cet arriéré profite aux acteurs malveillants, augmentant les risques liés à la chaîne d’approvisionnement dans les secteurs critiques. »
Roger Grimes, évangéliste de la défense basée sur les données chez KnowBe4, souligne l'ampleur du défi.
« L’année dernière, il y a eu plus de 33,000 90 vulnérabilités, selon le NVD. Cela équivaut à plus de XNUMX nouvelles vulnérabilités de logiciels et de micrologiciels chaque jour. Documenter, vérifier et classer ces menaces est une tâche immense », a-t-il déclaré à ISMS.online.
Grimes ajoute que « 33 % de toutes les violations de données réussies ne sont possibles que grâce à des vulnérabilités de logiciels et de micrologiciels non corrigés ».
Le NIST a lancé plusieurs mesures visant à atténuer le problème et à améliorer la fonctionnalité à long terme du NVD. Un effort notable est la formation d'un Consortium NVD, qui vise à rassembler l’industrie, le gouvernement et d’autres parties prenantes pour gérer et améliorer la base de données en collaboration. Ce consortium devrait contribuer à répartir la charge de travail plus efficacement et à intégrer une expertise plus large dans le processus d'analyse de vulnérabilité.
Ziv d'Ox Security exprime son optimisme quant à ces efforts.
« L'initiative du NIST visant à former un nouveau consortium recèle un potentiel d'amélioration significatif à long terme », affirme-t-il. « S’ils sont efficacement mis en œuvre, ces programmes entraîneront probablement des délais de traitement plus rapides, une meilleure qualité des données et des mises à jour plus rapides, ce qui bénéficiera grandement à la communauté de la cybersécurité. »
De plus, la Cybersecurity and Infrastructure Security Agency (CISA) a introduit un programme de « vulnérabilité » conçu pour enrichir les données CVE avec des informations plus détaillées et exploitables. Il vise à améliorer la qualité et la convivialité des données de vulnérabilité, les rendant ainsi plus bénéfiques pour les équipes de sécurité. Cependant, même si ces initiatives sont prometteuses, elles n’apportent pas de soulagement immédiat aux organisations actuellement aux prises avec un arriéré.
Malgré ces efforts, l'impact immédiat de l'arriéré reste une préoccupation majeure. Les équipes de sécurité doivent relever ce défi en trouvant des moyens alternatifs de rester informées des nouvelles vulnérabilités et en veillant à ce que leurs processus de gestion des correctifs restent efficaces.
Le défi pour les équipes de sécurité
Le retard dans le NVD pose des défis importants aux équipes de sécurité, qui s'appuient sur des données CVE précises et opportunes pour protéger leurs systèmes. Sans les informations les plus récentes du NVD, les organisations peuvent ignorer les vulnérabilités récemment découvertes, les exposant ainsi à des attaques potentielles. La situation est particulièrement problématique pour les petites organisations qui ne disposent pas des ressources nécessaires pour suivre les vulnérabilités de manière indépendante à partir de plusieurs sources.
« Alors que les acteurs étatiques et les gangs de ransomwares exploitent ces retards, il est crucial de comprendre la gravité de la situation et le paysage des menaces persistantes », prévient Ziv.
Les équipes de sécurité sont désormais confrontées à la tâche ardue de rechercher manuellement des informations sur les vulnérabilités auprès de fournisseurs individuels. Cette approche demande beaucoup de travail et est sujette aux erreurs, car elle nécessite une surveillance constante de plusieurs sources. De plus, l’absence de scores de gravité standardisés peut conduire à une évaluation incohérente des risques, compliquant ainsi le processus décisionnel concernant les vulnérabilités à prioriser pour l’application de correctifs.
Les experts dans le domaine ont souligné le besoin crucial d’une source centralisée et fiable d’informations sur les vulnérabilités. Jerry Gamblin, ingénieur principal en détection et réponse aux menaces pour Cisco Vulnerability Management, souligné que même si des sources alternatives telles que le catalogue CISA Known Exploited Vulnerabilities (KEV) existent, elles ne sont pas exhaustives et se concentrent principalement sur les vulnérabilités qui sont déjà activement exploitées.
Stratégies d'atténuation pour les équipes de sécurité
Pour atténuer l'impact du retard lié aux NVD, les équipes de sécurité peuvent adopter plusieurs stratégies :
Bases de données alternatives : Utilisez d’autres sources fiables d’informations CVE. Le catalogue KEV du CISA, bien qu'il ne soit pas exhaustif, peut fournir des informations essentielles sur les vulnérabilités activement exploitées.
Outils automatisés : Mettez en œuvre des outils automatisés de gestion des vulnérabilités capables de rechercher les vulnérabilités et de fournir des mises à jour en temps réel. Ces outils peuvent aider à combler le vide laissé par le NVD en offrant des capacités de surveillance et d’alerte continues. Ziv recommande des outils automatisés tels que la gestion des vulnérabilités et la gestion de la posture de sécurité des applications (ASPM).
Services de renseignement sur les menaces : Abonnez-vous à des services de renseignement sur les menaces qui fournissent des informations opportunes et organisées sur les vulnérabilités. Ces services offrent souvent des données plus contextuelles, aidant les équipes de sécurité à comprendre la pertinence et l'impact potentiel de vulnérabilités spécifiques sur leurs systèmes.
Collaboration communautaire : Participez aux communautés et aux forums de cybersécurité où les professionnels partagent des informations et des mises à jour sur les dernières vulnérabilités. Les plateformes collaboratives peuvent être une ressource précieuse pour rester informé et échanger les meilleures pratiques.
Adaptation à la surcharge CVE
Même si les initiatives du NIST, telles que la formation d'un consortium et l'introduction du programme de vulnrichissement, promettent des améliorations futures, elles n'apportent que peu de soulagement immédiat.
Les équipes de sécurité doivent donc prendre des mesures proactives pour atténuer l’impact de ce retard. En tirant parti de bases de données alternatives telles que le KEV de CISA, en adoptant des outils automatisés de gestion des vulnérabilités, en s'abonnant à des services de renseignement sur les menaces en temps réel et en s'engageant auprès des communautés de cybersécurité, ils peuvent combler le vide laissé par le NVD. Ces stratégies aident non seulement à maintenir un programme de gestion des correctifs efficace, mais garantissent également une posture de sécurité à plusieurs niveaux et résiliente.
L’arriéré des NVD nous rappelle brutalement l’importance de la flexibilité dans les pratiques de cybersécurité. Face à l’adversité, l’expertise collective et l’ingéniosité de la communauté de la cybersécurité restent son plus grand atout. En travaillant ensemble et en partageant leurs connaissances, ils peuvent surmonter les défis créés par l’arriéré des DVN et commencer à construire un monde numérique plus sécurisé.
