Pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter, inscrivez-vous gratuitement !

 

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    3 805
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 3 805
    Points : 95 207
    Points
    95 207

    Par défaut Plus de 10 000 vulnérabilités ont déjà été découvertes durant le premier semestre 2018

    Plus de 10 000 vulnérabilités ont déjà été découvertes durant le premier semestre 2018,
    d'après un rapport qui s'attend à la même tendance au 2S18

    L'année 2018 pourrait être une autre année record pour les vulnérabilités, avec plus de 10 000 qui ont déjà été divulguées au cours du premier semestre qui s’est achevé en juin.

    C’est en tout cas ce que révèle le rapport VulnDB QuickView 2018 de Risk Based Security (RBS) :

    « Le nombre de vulnérabilités divulguées au premier semestre de 2018 était à son plus haut niveau, mais avec à peine un peu plus de vulnérabilités que l'année dernière. Bien qu’aucune augmentation significative n’ait eu lieu de 2014 à 2016, le nombre de vulnérabilités a bondi de 28,1% au premier semestre 2017, alors qu’elles n’augmentaient que de 0,1% au premier semestre 2018. Malgré cette petite augmentation, RBS s'attend à ce que 2018 poursuive sa tendance et établisse un nouveau record annuelle pour les vulnérabilités divulguées ».

    Nom : vuln_1.png
Affichages : 1102
Taille : 22,7 Ko

    RBS a donné plus de détails pour mieux observer les tendances du premier semestre 2018 par rapport à 2017. Janvier a vu une petite augmentation (3,62%) par rapport à l’année précédente, alors que février a connu un bond considérable (24,32%). En mars s'est produit une diminution significative au moment de ce rapport (-15,30%). RBS note cependant qu’il est typique que, tout au long de l'année, des vulnérabilités soient ajoutées pour les mois précédents. Raison pour laquelle RBS s’attend à un accroissement du nombre de vulnérabilités divulguées en juillet 2018.

    Nom : vuln_2.png
Affichages : 817
Taille : 22,2 Ko

    Ci-dessous sont des vues côte à côte du nombre total de vulnérabilités dans VulnDB par rapport aux vulnérabilités disposant d’un identifiant CVE attribué et lié à une divulgation publique pour le premier semestre de chaque année entre 2014 à 2018. Les graphiques montrent très clairement que les organisations qui se limitent aux vulnérabilités disposant d’un identifiant CVE peuvent passer à côté d’autres vulnérabilités.

    « Si une organisation n’est pas au courant de toutes les vulnérabilités, comment peut-elle s’assurer d’agir pour en protéger ses actifs ? De plus, de nombreux CVE sont publiés beaucoup plus tard que les vulnérabilités dans VulnDB », assure le rapport.

    Nom : vuln_3.png
Affichages : 801
Taille : 76,9 Ko

    L’organisation a également fourni des détails sur le nombre de vulnérabilités associées à leur score de sévérité CVSSv2 par mois. En plus d'avoir le moins de vulnérabilités étant classées dans la catégorie de gravité « faible » (7,6% entre 0,0 et 3.9 sur 10), le mois de février a présenté également le plus grand nombre de vulnérabilités critiques (19,6% entre 9,0 et 10,0 sur 10). Le pic en février peut être attribué en grande partie à plus de 280 vulnérabilités critiques corrigées dans les dispositifs mobiles Samsung. Comme à l'accoutumée, la majorité des divulgations continuent de se situer dans la fourchette de sévérité « moyenne » (4,0 à 6,9).

    La base de données nationale sur les vulnérabilités (National Vulnerability Database -NVD) est le référentiel du gouvernement des États-Unis pour les données de gestion des vulnérabilités normalisées représentées à l'aide du protocole SCAP (Security Content Automation Protocol). Ces données permettent l'automatisation de la gestion des vulnérabilités, des mesures de sécurité et de la conformité. NVD inclut des bases de données de listes de contrôle de sécurité, des failles logicielles liées à la sécurité, des erreurs de configuration, des noms de produits et des mesures d'impact. NVD prend en charge le programme ISAP (Information Security Automation Program).

    En plus de fournir une liste de vulnérabilités et d'expositions communes (Common Vulnerabilities and Exposures - CVE), la NVD évalue les vulnérabilités à l'aide du système CVSS (Common Vulnerability Scoring System), basé sur un ensemble d'équations utilisant des métriques telles que la complexité d'accès et la disponibilité d'un correctif.

    Le rapport indique qu’il y a 1 524 vulnérabilités (étant catégorisés dans risque élevé et dans grave) qui n'ont pas été cataloguées par NVD.

    Nom : vuln_4.png
Affichages : 792
Taille : 18,5 Ko

    De toutes les vulnérabilités signalées en 2018, 58% ont affecté l'intégrité des produits. Cela va de différents types de manipulation de données et de problèmes de script intersite à l'injection SQL et l'exécution de code.

    Environ la moitié de toutes les vulnérabilités signalées en 2018 ont un vecteur d'attaque à distance suivi de près d'un tiers ayant un vecteur d'attaque assisté par l'utilisateur (dépendant du contexte). Globalement, un peu plus de 10% des vulnérabilités signalées nécessitent un accès local à un système ou à un périphérique. Des vulnérabilités nécessitant un accès sans fil, un sous-ensemble de «Remote», ne représentait que 1,1%. Environ 6,6% des vulnérabilités étaient liées aux appareils mobile, quel que soit l'emplacement de l'exploit.

    Un grand nombre de vulnérabilités signalées en 2018 ont des versions mises à jour ou des correctifs disponibles. Cependant, 25,6% des vulnérabilités signalées ne disposent actuellement d'aucune solution connue.

    Nom : vuln_5.png
Affichages : 797
Taille : 36,7 Ko

    « Cela souligne que, bien que les correctifs soient très importants, ils ne peuvent pas être l’unique solution. Une approche de la gestion des vulnérabilités qui se veut moderne ne doit pas se limiter à la gestion des correctifs; elle doit utiliser les détails sur la vulnérabilité pour comprendre et hiérarchiser les mesures d'atténuation afin de faire face aux menaces en constante évolution. Les informations détaillées sur les menaces auxquelles votre organisation est confrontée peuvent être utilisées pour mieux mettre en œuvre des mesures d'atténuation plus larges, y compris des contrôles de sécurité compensatoires ».

    Nom : vuln_6.png
Affichages : 798
Taille : 39,5 Ko

    Source : RBS

    Voir aussi :

    17 vulnérabilités découvertes dans des infrastructures automatisées de villes intelligentes, huit d'entre elles sont considérées comme étant critiques
    Intel publie des correctifs pour des vulnérabilités affectant son ME, qui pouvaient servir à un attaquant souhaitant exécuter du code arbitraire
    Un hacker met sur pied un botnet de plus de 18 000 routeurs Huawei en l'espace d'une seule journée, profitant d'une vulnérabilité sévère connue
    Encore deux nouvelles vulnérabilités de classe Spectre découvertes, elles affectent des processeurs Intel, ARM et probablement AMD
    Tous les appareils Android depuis 2012 seraient menacés par RAMpage, une vulnérabilité qui permet d'accéder aux données d'autres applications
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Nouveau membre du Club
    Homme Profil pro
    Consultant E-Business
    Inscrit en
    mai 2018
    Messages
    19
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : Consultant E-Business

    Informations forums :
    Inscription : mai 2018
    Messages : 19
    Points : 28
    Points
    28

    Par défaut Entre les cyber attaques et les vulnérabilités

    Les vulnérabilités sont dans l'ordre des choses et avec l'Internet des objets elles devraient s'accentuer, je suis impatient de voir le rapport 2019 des cyberattaques qui risquent de montrer une augmentation.
    Ce sont les deux côtés d'un même problème, les vulnérabilités structurelles et l'aspect humain, comme les MDP, qui rend les systèmes encore plus vulnérables.

Discussions similaires

  1. Réponses: 11
    Dernier message: 06/08/2018, 01h48
  2. Réponses: 1
    Dernier message: 06/08/2018, 01h45
  3. Réponses: 2
    Dernier message: 06/08/2018, 01h32
  4. Réponses: 0
    Dernier message: 17/01/2018, 13h04
  5. Réponses: 0
    Dernier message: 07/02/2012, 17h44

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo