6 principaux outils de gestion des vulnérabilités et comment ils aident à hiérarchiser les menaces
La science et la technologie derrière la gestion des vulnérabilités ont beaucoup changé en peu de temps. Lors de leur déploiement initial, les sociétés de gestion des vulnérabilités ont agi presque comme des fournisseurs d’antivirus en ce sens qu’elles ont essayé de faire en sorte que leurs scanners découvrent autant de menaces potentielles que possible. Ils se vanteraient même de pouvoir détecter plus de vulnérabilités cachées dans les bancs d’essai que leurs concurrents.
Le problème avec cette logique est que contrairement aux virus et autres types de logiciels malveillants, les vulnérabilités ne sont potentiellement qu’un problème. Pour qu’une vulnérabilité soit vraiment dangereuse, elle doit être accessible à un attaquant et relativement facile à exploiter. Ainsi, une vulnérabilité reposant sur une ressource interne n’est pas vraiment une menace potentielle, ni une vulnérabilité nécessitant des composants supplémentaires tels qu’un accès sécurisé à d’autres services réseau. Savoir ce qui est vraiment dangereux est important pour que vous puissiez planifier ce qu’il faut réparer maintenant et ce qu’il faut reporter à plus tard ou même ignorer.
Il est également utile de catégoriser les vulnérabilités en fonction de leurs impacts potentiels si elles sont exploitées. Cela inclut la gravité potentielle de l’exploit comme l’effacement d’une base de données entière par rapport au verrouillage d’un seul utilisateur et la valeur des ressources affectées. Il est embarrassant de voir votre site Web public défiguré, mais le vol de données confidentielles peut être critique.
Les meilleurs programmes de gestion des vulnérabilités doivent ajouter du contexte aux analyses. Certains proposent même des correctifs automatiques, une formation ou une assistance préventive à l’aide de l’intelligence artificielle (IA). Il est également important de comprendre les normes de conformité, les mandats juridiques et les meilleures pratiques qui s’appliquent à l’organisation qui lance l’analyse. Avec potentiellement des milliers de vulnérabilités cachées dans n’importe quel grand réseau d’entreprise, c’est le seul moyen de hiérarchiser les correctifs de manière fiable.
Les six produits suivants poussent l’enveloppe pour au moins un aspect de la gestion des vulnérabilités.
Gestion des vulnérabilités de sécurité Kenna
La plateforme de gestion des vulnérabilités de sécurité Kenna a été l’une des premières à intégrer des données de menaces en temps réel dans la gestion des vulnérabilités il y a plusieurs années. Depuis lors, la plate-forme s’est élargie pour inclure davantage de flux de menaces, y compris celui que l’entreprise gère spécifiquement en fonction des réseaux de ses clients. Il a également ajouté la prise en charge de plus de scanners de vulnérabilités et fonctionne aujourd’hui avec à peu près tout le monde sur le marché.
Kenna ne fait pas de scans elle-même. Au lieu de cela, il fournit des programmes de connecteurs qui lui permettent d’ingérer des données de presque tous les scanners de vulnérabilités, y compris ceux fabriqués par Tripwire, Qualys, McAfee et CheckMarx. La plate-forme elle-même est déployée en tant que service, les clients se connectant à un portail cloud pour vérifier leurs informations et donner à Kenna la permission de se renseigner sur le réseau qu’elle protège.
L’idée derrière Kenna est qu’il collecte les nombreuses alertes de vulnérabilité envoyées par les scanners, puis les compare aux données de menace en temps réel. Il peut lier une vulnérabilité découverte à une campagne de menaces active qui l’exploite et donner la priorité à une solution rapide. Toutes les vulnérabilités exploitées dans le monde sont automatiquement prioritaires, de sorte que les défenseurs peuvent résoudre les problèmes les plus dangereux avant que les attaquants ne les découvrent et ne les exploitent.
La plate-forme explique bien pourquoi les vulnérabilités existent dans un réseau protégé et donne des conseils sur la façon de les corriger. Il peut hiérarchiser les défauts découverts en fonction des actifs qu’ils pourraient affecter et de la gravité du problème. C’est une bonne fonctionnalité, mais la hiérarchisation des vulnérabilités en fonction des campagnes de menaces actives est l’atout majeur qui fait de la plate-forme de Kenna l’une des meilleures pour mettre en évidence les problèmes critiques qui doivent absolument être résolus en premier.
Flexera Vulnerability Manager
Alors que de nombreux gestionnaires de vulnérabilités se concentrent sur les applications et le code qu’une entreprise développe elle-même, la plate-forme Flexera s’intéresse davantage aux logiciels tiers que presque toutes les entreprises utilisent pour faire des affaires. Dans la plupart des cas, la correction d’une vulnérabilité dans un logiciel acheté ou sous licence se fait en appliquant un correctif. Pour une entreprise, cela peut devenir une énorme affaire, surtout si elle doit mettre hors ligne des milliers de systèmes ou de services critiques pour appliquer le correctif. Il est même possible qu’en raison de l’intégration étroite des logiciels de nos jours, la résolution d’un problème pourrait en créer plusieurs autres.
Le logiciel de gestion des vulnérabilités Flexera Software aide à résoudre ce problème en créant un processus de gestion des correctifs sécurisé pour l’ensemble de l’entreprise. Il peut détecter des vulnérabilités dans des logiciels tiers et informer les administrateurs de la gravité de la menace potentielle. Il peut y avoir peu à gagner à mettre un correctif massif à la disposition de milliers d’utilisateurs pour corriger une vulnérabilité mineure, ou pour corriger une fonctionnalité qui n’est pas installée ou utilisée par l’organisation protégée. Flexera peut aider à prendre ces décisions en fournissant un contexte, puis en déployant le correctif lorsque cela devient nécessaire.
Il peut également être utilisé pour ancrer un système de gestion de correctifs automatisé en corrigeant les vulnérabilités lorsque cela est nécessaire de manière à ne pas nuire aux opérations. Enfin, il peut générer des rapports personnalisés sur la gestion des vulnérabilités et des correctifs, ainsi que sur la manière dont une organisation se conforme aux cadres, aux lois et aux meilleures pratiques pertinents.
Tenable.io
Tenable est bien connu dans l’industrie pour créer des tableaux de bord de sécurité pour n’importe quel environnement. Ils apportent cette même technologie de diagnostic à leur programme de gestion de la vulnérabilité, Tenable.io . Cette plate-forme est gérée dans le cloud, elle a donc une faible empreinte au sein d’une organisation protégée. Il utilise une combinaison d’agents d’analyse actifs, de surveillance passive et de connecteurs cloud pour rechercher les vulnérabilités. Tenable.io applique ensuite l’apprentissage automatique, la science des données et l’IA pour prédire les correctifs à apporter en premier avant qu’un attaquant puisse les exploiter.
Une des plus grandes forces de Tenable.io est le fait qu’il utilise à la fois le tableau de bord et ses rapports personnalisés pour montrer les vulnérabilités d’une manière que tout le monde peut comprendre. Que quelqu’un soit développeur, membre de l’équipe des opérations ou membre de la sécurité informatique, il peut facilement comprendre les avertissements générés par Tenable.io . D’une certaine manière, Tenable.io fournit la gestion de la vulnérabilité à tout le monde sans formation spécialisée ou expertise requise.
ZeroNorth
Inclure ZeroNorth dans un tour d’horizon des programmes de gestion des vulnérabilités peut sembler un peu étrange, car la plate-forme ne scanne rien elle-même. Au lieu de cela, il a été conçu pour consolider d’autres scanners de vulnérabilités et aider à combler leurs lacunes. Compte tenu du nombre impossible de vulnérabilités auxquelles la plupart des grandes entreprises sont confrontées, c’est un outil qui démontrera rapidement son utilité.
ZeroNorth est déployé en tant que service, les utilisateurs se connectant à une plate-forme Web sécurisée pour surveiller leur environnement. Connecter différents scanners de notre réseau de test à la plate-forme ZeroNorth était facile et nous étions opérationnels en un rien de temps. Bien sûr, vous devez disposer de scanners de vulnérabilités dans votre environnement pour commencer à obtenir des données avec ZeroNorth, mais il peut gérer des données provenant de n’importe quelle partie du réseau, de l’environnement de développement à la production. Si vous n’avez pas de scanners, la plate-forme offre un moyen facile d’ajouter des scanners open-source ou commerciaux à votre environnement, qui sont ensuite automatiquement connectés à la plate-forme.
La plate-forme ZeroNorth fait beaucoup de travail de consolidation et d’analyse des données provenant des scanners. Une fonctionnalité intéressante est qu’elle peut montrer comment les vulnérabilités sont liées et même dépendantes les unes des autres. Par exemple, alors qu’une analyse brute peut révéler 20 nouvelles vulnérabilités, la plupart du temps, elle ne vous dira pas que 19 d’entre elles existent à cause de la première faille. Volonté de ZéroNorth. Ensuite, en corrigeant une seule vulnérabilité, vous pouvez en supprimer 20 autres de votre réseau. Dans notre réseau de test, chaque vulnérabilité que ZeroNorth nous a recommandée a éliminé en moyenne 14 autres.
Il fait également un excellent travail de suivi des personnes qui ont créé des ressources vulnérables et qui les gère. Il peut, bien sûr, signaler toutes ses découvertes aux administrateurs et à sa console centrale, mais peut également envoyer des alertes et des correctifs recommandés aux propriétaires d’applications. De cette façon, les personnes les plus responsables d’une application vulnérable, et probablement les plus soucieuses de corriger les problèmes, peuvent immédiatement commencer à travailler sur un correctif.
Il fait également un bon travail de surveillance des scanners de vulnérabilités eux-mêmes. Par exemple, il vous indiquera si un scanner manque une vulnérabilité critique que d’autres découvrent. De cette façon, vous pouvez savoir si votre investissement dans des scanners de vulnérabilités spécifiques porte ses fruits. En tant que tel, ZeroNorth serait un ajout très précieux pour toute organisation essayant d’apprivoiser le déluge d’alertes d’étalement des scanners ou d’améliorer leur précision de numérisation avec de nouvelles politiques ou de nouveaux outils.
ThreadFix
L’une des plates-formes de gestion des vulnérabilités les plus connues, ThreadFix centralise les données de test provenant de diverses sources en un seul endroit et avec un seul tableau de bord. Il peut ingérer des résultats de numérisation dans des formats tels que SAST, DAST, IAST et Analyse de composition logicielle (SCA).
Non seulement il peut collecter et rassembler des résultats, mais il les décompose également et fournit de l’aide pour analyser les vulnérabilités et hiérarchiser les correctifs. Il le fait de manière avancée, ce qui est rare pour les gestionnaires de vulnérabilités. Par exemple, il peut déduper et corréler entre les vulnérabilités au niveau de l’application et les faiblesses de sécurité qui sont enracinées dans l’infrastructure elle-même. Être capable de séparer des distinctions critiques comme celle-ci peut aider les équipes informatiques à adapter des correctifs de vulnérabilité spécifiques sans rien casser de nouveau dans le processus.
En plus d’équilibrer et de coordonner les résultats de plusieurs scanners de vulnérabilités commerciaux et open-source, ThreadFix peut également aider à automatiser le processus d’analyse et de correction des vulnérabilités en rationalisant le flux dorsal entre les équipes de sécurité et de développement. Le fait qu’il puisse agir en temps réel en fait un outil parfait à implémenter dans un environnement DevSecOps, où les développeurs peuvent prendre la responsabilité de créer du code sécurisé dès le départ. ThreadFix peut détecter les vulnérabilités au fur et à mesure qu’elles sont générées et aider les développeurs à les corriger avant qu’ils ne se rapprochent d’un environnement de production.
ThreadFix peut également quantifier les activités de résolution des vulnérabilités et le temps nécessaire pour corriger les erreurs découvertes. Armées de ces données, les équipes de sécurité peuvent avoir une meilleure idée de leurs véritables fenêtres de vulnérabilité, tandis que la direction peut voir si et comment la situation s’améliore au fil du temps.
Infection Monkey
Le programme Infection Monkey de Guardicore peut être considéré comme un autre choix étrange pour un tour d’horizon des vulnérabilités, mais le niveau de détail qu’il fournit concernant les failles de sécurité et les vulnérabilités le rend précieux pour presque toutes les organisations. Il est également gratuit, avec du code source modifiable, vous n’avez donc rien à perdre en l’essayant.
Infection Monkey est un excellent outil car il identifie non seulement les vulnérabilités, mais montre exactement comment un attaquant pourrait potentiellement les exploiter. Vous pouvez utiliser le programme pour rechercher des failles de sécurité dans les environnements Windows, Linux, OpenStack, vSphere, Amazon Web Services, Azure, OpenStack et Google Cloud Platform. Étant donné que le code source basé sur Python est également fourni, les utilisateurs peuvent également le configurer pour fonctionner dans n’importe quel environnement propriétaire ou unique.
Le programme utilise des attaques et des techniques réelles qui sont constamment mises à jour et mises à jour par Guardicore. En fait, ce n’est pas techniquement une simulation car il attaque en fait un réseau. Il n’a tout simplement pas de charge utile malveillante. Si vos outils de sécurité existants peuvent arrêter l’infection Singe, tant mieux, car cela signifie que toute vulnérabilité se cachant derrière cette défense pourrait être considérée comme une faible priorité.
La valeur réelle vient lorsque Infection Monkey réussit à s’introduire, ce qui peut prendre de quelques minutes à plusieurs heures en fonction de la complexité du réseau attaqué. Une fois qu’il a trouvé une faiblesse et l’exploite, le programme enregistre chaque étape qu’il a franchie en cours de route, y compris les vulnérabilités qu’il a exploitées et les défenses qui ont été contournées ou trompées.
Si vous regardez une liste de milliers de vulnérabilités, utilisez Infection Monkey pour savoir lesquelles sont exploitables par les attaquants. Ensuite, patchez-les d’abord et déployez à nouveau le singe pour vérifier votre travail.