Améliorez Votre Résilience Cyber avec le CVSS
Fin 2023, la version 4.0 du Common Vulnerability Scoring System (CVSS) a fait son apparition, remplaçant la version 3.0 qui était en place depuis huit ans.
Ce nouveau système a pour but de perfectionner l’évaluation des vulnérabilités pour le secteur industriel et le grand public.
Par rapport à la version précédente, CVSS v4.0 introduit de nouvelles métriques comme la sécurité et l’automatisation, répondant ainsi aux critiques sur le manque de granularité de l’ancienne version.
Il met également l’accent sur l’importance de considérer les facteurs environnementaux et de menace en plus des scores de base pour une évaluation plus précise des vulnérabilités.
Pourquoi est-ce Important ?
Le CVSS est primordial pour évaluer le risque lié à une vulnérabilité.
Certaines vulnérabilités, notamment celles présentes dans les produits réseau, posent un risque évident et majeur car des attaquants non authentifiés peuvent les exploiter aisément pour prendre le contrôle à distance des systèmes affectés.
Ces failles ont souvent été exploitées pour lancer des attaques par ransomware.
Les systèmes d’évaluation des vulnérabilités utilisent des facteurs préétablis pour quantifier de manière objective la probabilité et l’impact potentiel des vulnérabilités.
Parmi ces systèmes, le CVSS s’est imposé comme un standard international pour décrire les principales caractéristiques des vulnérabilités et déterminer leur niveau de sévérité.
Le CVSS évalue les vulnérabilités en se basant sur divers critères grâce aux métriques avec des options prédéfinies pour chacune.
Ces métriques contribuent au calcul d’un score de sévérité allant de 0.0 à 10.0, 10.0 représentant le plus haut niveau de sévérité.
Les scores numériques sont ensuite convertis en catégories qualitatives telles que « Aucun », « Faible », « Moyen », « Élevé » et « Critique », termes communément utilisés dans les rapports de vulnérabilités.
Les métriques utilisées pour déterminer la sévérité sont regroupées en trois catégories :
- Métriques de Base
- Métriques Temporaires
- Métriques Environnementales
Chaque groupe offre des perspectives spécifiques sur divers aspects de la vulnérabilité, facilitant une évaluation exhaustive de sa sévérité et de son potentiel de dommage.
En utilisant les identifiants Common Vulnerability and Exposure (CVE), les entreprises peuvent suivre efficacement les vulnérabilités connues dans leurs systèmes, permettant de répartir les ressources pour corriger et remédier aux risques en fonction du niveau que chaque vulnérabilité représente.
Cela garantit que les ressources limitées sont utilisées efficacement pour traiter les préoccupations de sécurité critiques.
La standardisation à travers CVSS et CVE améliore l’interopérabilité des outils et systèmes de sécurité, permettant une détection et une réponse plus précises aux menaces potentielles en corrélant les événements réseau avec les vulnérabilités connues.
Où est-il Utilisé ?
Les outils de sécurité comme l’Endpoint Detection and Response (EDR) bénéficient de l’intégration régulière des données issues de bases de données CVE de confiance.
Ces bases de données fournissent des informations sur les vulnérabilités connues, y compris leurs identifiants CVE uniques et les scores CVSS correspondants.
En alignant les CVE avec les signatures, l’EDR développe des règles ou des signatures basées sur les détails des CVE, chaque signature correspondant à une vulnérabilité spécifique identifiée par son CVE.
Quand une activité correspondant à une signature est détectée, l’EDR déclenche une alerte.
Ensuite, l’EDR peut bloquer ou isoler les points d’extrémité en réponse aux alertes liées aux CVE.
Les équipes de sécurité utilisent généralement plusieurs bases de données CVE pour surveiller les vulnérabilités et mettre à jour leur arsenal de sécurité afin de protéger les clients contre les menaces potentielles.
Face à une nouvelle CVE, la solution EDR est mise à jour rapidement avec sa signature, permettant de bloquer préventivement les attaques zero-day à la périphérie du réseau, souvent avant la mise à jour des correctifs par les fournisseurs sur les systèmes vulnérables.
Bien que l’EDR et les pare-feux soient efficaces pour empêcher les tentatives d’exploitation des CVE connues, ils rencontrent souvent des obstacles pour élaborer des règles génériques et analyser les comportements pour identifier les attaques provenant de vecteurs de menace émergents ou inconnus.
La détection de réseau et réponse (NDR) va au-delà des offres typiques de l’EDR en adoptant une approche holistique de la cybersécurité.
La NDR combine la puissance des notations (comme le CVSS) et de l’apprentissage automatique.
Tandis que l’EDR se base principalement sur la détection par signature, la NDR complète cela par la détection d’anomalies comportementales.
Cela permet d’identifier les menaces provenant à la fois des CVE connues ainsi que des vecteurs d’attaque nouveaux et émergents.
En analysant les écarts et les anomalies, la NDR détecte les comportements suspects même avant que des signatures spécifiques ne soient disponibles.
Elle ne se contente pas de s’appuyer sur les données historiques, mais s’adapte aux menaces évolutives.
En conclusion, une bonne compréhension des systèmes CVSS et CVE est essentielle pour les entreprises et les équipes de sécurité.
Ceux-ci bénéficient de la capacité à allouer efficacement les ressources en fonction des identifiants CVE pour prioriser les correctifs et les efforts de remédiation.
L’intégration de la CVSS avec des solutions NDR basées sur l’apprentissage automatique permet de surpasser les capacités de l’EDR et de gérer les menaces plus efficacement grâce à une surveillance continue et une réponse rapide et proactive aux menaces détectées.
