2021 un autre record pour la divulgation de vulnérabilités

Compétences techniques limitées requises

En effet, environ 90% de tous les nouveaux CVE connectés sur le NVD en 2021 pourraient être exploités par des acteurs de la menace ayant des compétences techniques limitées, tandis que 54% des nouveaux bogues ont été classés comme ayant une haute disponibilité, ce qui signifie qu’ils sont facilement accessibles et exploitables. De plus, les CVE qui ne nécessitent aucune interaction de l’utilisateur – comme cliquer sur un lien malveillant ou télécharger un fichier contaminé – représentent désormais 61% du volume total.

Il y a aussi la complication supplémentaire que le fait de voir une vulnérabilité a été classée comme étant à faible impact pourrait signifier que les équipes de sécurité chargées de corriger leurs systèmes passent au-dessus d’elles en faveur de la correction de failles critiques à fort impact qui attirent plus d’attention.

Cependant, l’équipe de Glass a trouvé quelques raisons d’être joyeux, le nombre de nouveaux CVE qui ne nécessitent aucun privilège élevé à exploiter ayant chuté pour la troisième année au trot, passant de 59% l’année dernière et 66% en 2019. En outre, le nombre de nouvelles vulnérabilités avec une cote de confidentialité élevée, ce qui signifie qu’elles sont considérées comme susceptibles de mettre des données confidentielles à risque d’exposition, est passé de 59% à 53%.

Les chiffres de Redscan ont été retirés à 9h GMT le 8 décembre 2021, de sorte que les chiffres définitifs pour l’année varieront presque certainement – en particulier après la dernière version prévue du Patch Tuesday de Microsoft de l’année, qui tombera le 14 décembre.

Pendant ce temps, le spécialiste du piratage éthique et des tests d’intrusion HackerOne a également signalé une année exceptionnelle pour les vulnérabilités, les pirates informatiques travaillant via sa plate-forme signalant plus de 66 000 vulnérabilités valides en 2021, en hausse de 20% par rapport à 2020, alors que les efforts de transformation numérique induits par la pandémie et l’externalisation à des tiers et à des fournisseurs de cloud continuent d’exposer de plus en plus de surfaces d’attaque.

Dans son Sécurité alimentée par les pirates HackerOne a déclaré qu’il avait également constaté que les prix des bug bounty pour les vulnérabilités les mieux notées et les critiques étaient également à la hausse – les bogues critiques rapportent maintenant 3 000 $ (2 270 £ / 2 652 $) en moyenne, contre 2 500 $ en 2020 – et positivement, les utilisateurs sont de plus en plus rapides à y remédier.

« Même les organisations les plus conservatrices reconnaissent le pouvoir du point de vue de l’étranger », a déclaré Chris Evans, nouveau responsable de la sécurité de l’information et responsable du piratage de HackerOne. « Nous avons continué d’afficher une forte croissance dans le secteur des services financiers, par exemple.

« Mesurer et quantifier le risque est leur affaire, et ils constatent que le risque et les résultats commerciaux sont meilleurs s’ils adoptent les pirates informatiques. Dans l’ensemble, nous constatons que les clients utilisent les données des rapports de vulnérabilité pour éclairer leurs cycles de vie de développement logiciel.

« Les organisations s’attrapent plus tôt les problèmes et y remédient, à un coût considérablement réduit pardes discussions sur les améliorations à apporter à la formation des développeurs, aux intégrations de code source et aux cadres de développement », a-t-il déclaré.

HackerOne a également révélé que l’adoption d’initiatives de sécurité dirigées par des pirates informatiques est en hausse dans tous les secteurs verticaux étudiés, avec une augmentation de 34% des programmes clients cette année. Les bogues les plus répandus signalés sur sa plate-forme étaient des vulnérabilités de script intersintiels, bien que d’autres catégories de vulnérabilités soient également en hausse.