Connect with us

Technologie

2021 un autre record pour la divulgation de vulnérabilités

Published

on


2021 a été une autre année record pour la découverte et la divulgation de nouvelles vulnérabilités et expositions communes (CVE), selon l’analyse de la base de données nationale sur les vulnérabilités (NVD) du National Institute of Standards and Technology (NIST) du département du Commerce des États-Unis.

Les analystes de la société de cyber-services Redscan – qui fait partie du spécialiste de la gestion des risques Kroll – qui se sont penchés sur les chiffres de la NVD, ont déclaré qu’il y avait 18 439 CVE enregistrés en 2021 à ce jour, plus que toute autre année depuis le début des enregistrements, soit en moyenne plus de 50 par jour.

Ils ont déclaré que la tendance continue de plus en plus de bogues enregistrés reflétait l’évolution rapide du paysage des menaces et la difficulté des chercheurs en sécurité à suivre le rythme; Comme tout le monde le sait maintenant, 2021 a été une année difficile pour les équipes de sécurité, avec des pics spectaculaires d’attaques de ransomware, la montée et la montée des compromis de la chaîne d’approvisionnement et l’impact continu du Covid-19.

« Malheureusement, 2021, année record en matière de vulnérabilités, est conforme à nos attentes au début d’une année qui s’est avérée très difficile pour les professionnels de la sécurité », a déclaré George Glass, responsable du renseignement sur les menaces chez Redscan.

« La cybercriminalité et les vulnérabilités de sécurité évoluent constamment, et les équipes de sécurité ont du mal à rester à jour. Cette étape importante nous rappelle également l’importance continue de la gestion des correctifs et de la défense en profondeur.

« Toutes les vulnérabilités ne sont pas connues et corrigées, ce qui signifie que les équipes de sécurité doivent avoir des contrôles en place pour détecter et répondre aux attaques à leurs débuts avant qu’elles ne puissent faire de réels dégâts », a-t-il déclaré.

Une augmentation notable du nombre d’CVE classés comme étant de gravité faible ou moyenne est particulièrement préoccupante. « L’importance des CVE hautement disponibles qui nécessitent des compétences techniques limitées à exploiter et aucune interaction de l’utilisateur est naturellement une préoccupation pour les équipes de sécurité », a déclaré Glass.

Compétences techniques limitées requises

En effet, environ 90% de tous les nouveaux CVE connectés sur le NVD en 2021 pourraient être exploités par des acteurs de la menace ayant des compétences techniques limitées, tandis que 54% des nouveaux bogues ont été classés comme ayant une haute disponibilité, ce qui signifie qu’ils sont facilement accessibles et exploitables. De plus, les CVE qui ne nécessitent aucune interaction de l’utilisateur – comme cliquer sur un lien malveillant ou télécharger un fichier contaminé – représentent désormais 61% du volume total.

Il y a aussi la complication supplémentaire que le fait de voir une vulnérabilité a été classée comme étant à faible impact pourrait signifier que les équipes de sécurité chargées de corriger leurs systèmes passent au-dessus d’elles en faveur de la correction de failles critiques à fort impact qui attirent plus d’attention.

Cependant, l’équipe de Glass a trouvé quelques raisons d’être joyeux, le nombre de nouveaux CVE qui ne nécessitent aucun privilège élevé à exploiter ayant chuté pour la troisième année au trot, passant de 59% l’année dernière et 66% en 2019. En outre, le nombre de nouvelles vulnérabilités avec une cote de confidentialité élevée, ce qui signifie qu’elles sont considérées comme susceptibles de mettre des données confidentielles à risque d’exposition, est passé de 59% à 53%.

Les chiffres de Redscan ont été retirés à 9h GMT le 8 décembre 2021, de sorte que les chiffres définitifs pour l’année varieront presque certainement – en particulier après la dernière version prévue du Patch Tuesday de Microsoft de l’année, qui tombera le 14 décembre.

Pendant ce temps, le spécialiste du piratage éthique et des tests d’intrusion HackerOne a également signalé une année exceptionnelle pour les vulnérabilités, les pirates informatiques travaillant via sa plate-forme signalant plus de 66 000 vulnérabilités valides en 2021, en hausse de 20% par rapport à 2020, alors que les efforts de transformation numérique induits par la pandémie et l’externalisation à des tiers et à des fournisseurs de cloud continuent d’exposer de plus en plus de surfaces d’attaque.

Dans son Sécurité alimentée par les pirates HackerOne a déclaré qu’il avait également constaté que les prix des bug bounty pour les vulnérabilités les mieux notées et les critiques étaient également à la hausse – les bogues critiques rapportent maintenant 3 000 $ (2 270 £ / 2 652 $) en moyenne, contre 2 500 $ en 2020 – et positivement, les utilisateurs sont de plus en plus rapides à y remédier.

« Même les organisations les plus conservatrices reconnaissent le pouvoir du point de vue de l’étranger », a déclaré Chris Evans, nouveau responsable de la sécurité de l’information et responsable du piratage de HackerOne. « Nous avons continué d’afficher une forte croissance dans le secteur des services financiers, par exemple.

« Mesurer et quantifier le risque est leur affaire, et ils constatent que le risque et les résultats commerciaux sont meilleurs s’ils adoptent les pirates informatiques. Dans l’ensemble, nous constatons que les clients utilisent les données des rapports de vulnérabilité pour éclairer leurs cycles de vie de développement logiciel.

« Les organisations s’attrapent plus tôt les problèmes et y remédient, à un coût considérablement réduit pardes discussions sur les améliorations à apporter à la formation des développeurs, aux intégrations de code source et aux cadres de développement », a-t-il déclaré.

HackerOne a également révélé que l’adoption d’initiatives de sécurité dirigées par des pirates informatiques est en hausse dans tous les secteurs verticaux étudiés, avec une augmentation de 34% des programmes clients cette année. Les bogues les plus répandus signalés sur sa plate-forme étaient des vulnérabilités de script intersintiels, bien que d’autres catégories de vulnérabilités soient également en hausse.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance