Bilan de sécurité 2018

homme sur ordinateur avec mot securité

Points clés

  • Les vulnérabilités élevées de Firefox dominent les 10 vulnérabilités du navigateur Web, avec 53% des
    total. Ceci est hors de proportion avec sa part de marché actuelle d’un peu plus de 10%. Analyse plus approfondie
    montre que la plupart des vulnérabilités de Firefox présentes dans les environnements d’entreprise datent de plusieurs années
    vieux. Pourtant, Firefox n’est ni mis à jour ni supprimé.
  • Oracle Java affiche un phénomène similaire, avec de nombreuses vulnérabilités détectées concentrées
    entre 2011 et 2017. Les anciennes installations Java sont toujours une cause fondamentale de vulnérabilités persistantes.
  • Les vulnérabilités Microsoft IE et Office plus anciennes sont également très répandues.
  • Adobe Flash poursuit cette tendance malgré le déclin radical du contenu Web actif Flash
    et Adobe envisage de mettre fin au support en 2020.
  • Les applications anciennes, abandonnées ou en fin de vie sont toujours disponibles dans les environnements d’entreprise.
    Les applications existantes sont une source majeure de risque résiduel.

Aperçus du terrain

Comme nous l’avons mentionné dans la section précédente, chaque participant à l’interview avait
une sorte de protocole standard pour hiérarchiser les vulnérabilités aux fins de correction,
généralement une combinaison de score CVS et de données contextuelles sur les actifs et
configuration. Ils ont également discuté des normes de correction et de correction
tâches au sein de leurs organisations. Tous avaient en quelque sorte une dure date limite pour
remédier à toutes les vulnérabilités – durée maximale d’une vulnérabilité
devrait être autorisé à persister sur un système sans être atténué.

 

Conclusion de sécurité

Avec 61% de toutes les vulnérabilités détectées par les entreprises dans leurs environnements, la sécurité est élevée
les organisations doivent identifier les vulnérabilités qui représentent réellement un risque et hiérarchiser les plus critiques.
vulnérabilités pour maximiser les ressources de remédiation limitées. Lorsque tout est urgent, le triage échoue.
En moyenne, une entreprise trouve 870 CVE sur 960 actifs chaque jour. Cela signifie que les méthodologies de hiérarchisation des priorités
sur la base de la correction uniquement des CVE de gravité élevée laissent toujours l’entreprise moyenne avec plus de 548 vulnérabilités par jour
évaluer et hiérarchiser, souvent sur plusieurs systèmes.

Il est également intéressant de voir la différence entre risque local et risque global. Certains vendeurs, comme les distributions Linux telles que
Red Hat, Oracle et Novell SUSE occupent une place importante dans le nombre de CVE distincts présents dans une entreprise, mais leur impact
en termes de nombre d’organisations touchées, le nombre d’organisations est faible.

Nous avons également vu d’autres fournisseurs, tels que Microsoft (.NET et Office), Adobe (Flash) et Oracle (Java), qui ont une
faibles vulnérabilités distinctes, mais affectent un grand nombre d’entreprises et d’actifs. Ceux-ci représentent un risque global,
car ils touchent un grand nombre d’entreprises et d’actifs dans le monde entier.

 

 

Sources

Connexion pour les Utilisateurs enregistrés
   

logo IT Consult

Laisser un commentaire