Améliorer la gestion des vulnérabilités avec des insights de données
Une nouvelle méthode aide les organisations à mieux prioriser les vulnérabilités logicielles.
― 8 min lire
Table des matières
- Le besoin d'une nouvelle approche
- Importance des sources de données dans la gestion des vulnérabilités
- Créer un graphe de connaissances
- Comprendre les secteurs et les acteurs de menace
- Classer les vulnérabilités
- Politiques de classement
- Évaluer l'efficacité de notre approche
- Utiliser nDCG pour la mesure
- Résultats et analyse
- Conclusion
- Source originale
- Liens de référence
La cybersécurité, c'est une bataille permanente contre les menaces potentielles. Un des gros tafs des experts en cybersécurité, c'est de dénicher et corriger les Vulnérabilités des logiciels. Mais le faire efficacement, c'est pas si simple. Les organisations finissent souvent par utiliser un mélange de solutions qui ne traitent pas forcément les problèmes les plus pressants. Sans un plan clair, une entreprise peut passer à côté de vulnérabilités importantes qui pourraient causer des violations graves.
Chaque mois, des entreprises clés publient des mises à jour pour corriger les problèmes de sécurité. Mais pour beaucoup, le défi réside dans le choix des mises à jour à appliquer. Cette décision est encore compliquée quand les organisations hésitent à faire des mises à jour automatiques, craignant que les nouveaux patchs n'introduisent leurs propres soucis.
Gérer efficacement les vulnérabilités, ça implique deux objectifs : couvrir toutes les vulnérabilités importantes tout en étant efficient. La plupart des pratiques standards priorisent les vulnérabilités en fonction de leur niveau de gravité. Ces scores, cependant, ne correspondent pas toujours bien aux cyberattaques réelles. Du coup, les administrateurs systèmes peuvent se sentir perdus parmi les nombreuses vulnérabilités ayant des notations similaires.
Le but de notre recherche, c'est de montrer qu'en combinant des données publiques facilement accessibles, on peut aider les organisations à identifier automatiquement quelles vulnérabilités elles devraient prioriser pour les corriger. On soutient que cette méthode est meilleure que de se fier uniquement aux scores de gravité habituels.
Le besoin d'une nouvelle approche
La priorisation des vulnérabilités est essentielle parce que toutes ne sont pas activement exploitées par des acteurs malveillants. C'est plus efficace d'identifier et de corriger celles qui risquent d'être attaquées en premier. Notre recherche vise à démontrer comment certaines Sources de données peuvent être combinées pour aider les organisations à créer une stratégie de gestion des vulnérabilités plus efficace.
L'objectif principal de cette étude est de présenter un modèle qui permet aux entreprises de se concentrer sur les vulnérabilités qui posent les plus grands risques pour leurs opérations. Ce modèle s'appuie sur des informations sur les menaces existantes et les organise pour offrir une approche personnalisée de la gestion des vulnérabilités.
Notre recherche propose un cadre pour évaluer les vulnérabilités basées sur l'intelligence des menaces recueillies à partir de sources publiques. On teste ce modèle en analysant les vulnérabilités à travers différentes institutions académiques et gouvernementales, en comparant les résultats avec l'approche standard des simples scores de gravité.
Importance des sources de données dans la gestion des vulnérabilités
Dans notre recherche, on souligne la nécessité d'utiliser plusieurs sources de données pour améliorer la gestion des vulnérabilités. Les méthodes typiques s'appuient énormément sur les scores de gravité. Cela peut mener à rater des vulnérabilités qui pourraient en fait représenter des menaces plus significatives. On propose une nouvelle méthodologie qui utilise une collection de différents ensembles de données pour modéliser les vulnérabilités auxquelles les organisations sont confrontées.
On considère divers ensembles de données, comme :
- Common Weakness Enumeration (CWE) : Ça capture des infos sur les faiblesses des logiciels.
- Common Vulnerabilities and Exposures (CVE) et Common Vulnerability Scoring System (CVSS) : Ces ressources aident à prioriser les vulnérabilités en fonction de leur gravité.
- Exploit Database : Ça évalue quelles vulnérabilités sont susceptibles d'être exploitées dans le monde réel.
- Common Attack Pattern Enumeration and Classification (CAPEC) et MITRE ATTCK : Ces bases contiennent des infos sur la manière dont les vulnérabilités peuvent être attaquées et atténuées.
En synthétisant ces données, on crée un modèle qui peut évaluer avec précision quelles vulnérabilités prioriser.
Créer un graphe de connaissances
Pour mettre en œuvre notre méthode, on crée un graphe de connaissances. Un graphe de connaissances organise efficacement les relations entre différents points de données, soutenant des requêtes pour un classement efficace des vulnérabilités. L'objectif, c'est de relier des infos sur les vulnérabilités, les acteurs de menaces et les tactiques d'attaque, permettant aux organisations d'appliquer leur intelligence plus efficacement.
Comprendre les secteurs et les acteurs de menace
On catégorise les secteurs d'infrastructure critique, reflétant leur importance pour la sécurité nationale et la sécurité publique. En liant les acteurs de menace à des secteurs spécifiques, on peut mieux évaluer quelles vulnérabilités pourraient être à risque. C'est essentiel de savoir quels acteurs sont actifs dans quels secteurs pour adapter l'approche de gestion des vulnérabilités en conséquence.
Classer les vulnérabilités
Notre modèle de classement basé sur la pertinence est développé pour aider les organisations à déterminer les vulnérabilités qu'elles devraient traiter en premier. Le modèle construit des profils d'organisations, prenant en compte leur inventaire logiciel et les types de menaces auxquelles elles font face.
Politiques de classement
On a créé quatre politiques de classement différentes :
- Classement basé sur le score de base CVSS : C'est la méthode traditionnelle où les vulnérabilités sont classées uniquement en fonction de leur score de base CVSS.
- Classement des menaces APT : Ça se concentre sur les vulnérabilités qui sont susceptibles d'être ciblées par des groupes adverses connus selon leurs tactiques.
- Classement de menaces généralisées : Ça examine les vulnérabilités qui pourraient être exploitées par des attaquants peu ou très qualifiés.
- Classement idéal : Ça combine les tactiques des Classements APT et généralisés, mais avec la connaissance des vulnérabilités déjà exploitées.
Chaque politique prend en compte différents aspects de l'intelligence des menaces, permettant aux organisations de choisir l'approche qui correspond le mieux à leurs besoins.
Évaluer l'efficacité de notre approche
Pour tester notre modèle, on a examiné un ensemble de vulnérabilités sur plusieurs années provenant de différentes institutions. On a constaté que le scoring traditionnel menait souvent à une mauvaise identification des menaces. Notre nouvelle méthode a montré des améliorations significatives dans la reconnaissance des vulnérabilités susceptibles d'être ciblées par des cyberattaquants.
Utiliser nDCG pour la mesure
Pour comparer nos résultats de classement avec les méthodes traditionnelles, on a utilisé une technique de mesure connue sous le nom de Normalized Discounted Cumulative Gain (nDCG). Cette métrique fournit un moyen d'évaluer à quel point nos classements répondent aux besoins des utilisateurs en fonction de leur pertinence.
En analysant les scores nDCG, on a pu voir comment nos nouvelles politiques se situaient par rapport à l'approche standard du score de base CVSS. Les résultats ont montré que nos politiques classaient systématiquement mieux les vulnérabilités que les méthodes traditionnelles, menant à une stratégie de priorisation beaucoup plus efficace.
Résultats et analyse
Au cours de notre recherche, on a analysé des vulnérabilités de divers secteurs, y compris l'éducation et le gouvernement. On a découvert que notre modèle pouvait réduire de manière significative les coûts et améliorer l'efficacité de la gestion des vulnérabilités.
Les résultats ont révélé que les organisations qui appliquaient notre approche pouvaient potentiellement économiser entre 23 % et 26 % de leurs coûts annuels liés à la correction des vulnérabilités.
Conclusion
La tâche incessante de gérer les vulnérabilités des logiciels oblige les organisations à adopter de meilleures stratégies. Notre recherche montre qu'agréger diverses sources de données publiques dans un graphe de connaissances améliore la capacité à classer et prioriser ces vulnérabilités de manière efficace.
En adoptant une approche basée sur la pertinence pour la gestion des vulnérabilités, les organisations peuvent réduire considérablement le temps passé sur des vulnérabilités sans importance et concentrer leurs ressources sur les menaces les plus significatives. Ce changement améliore non seulement la posture de sécurité de l'organisation, mais optimise également l'utilisation des ressources, économisant ainsi du temps et de l'argent.
En résumé, ce nouveau modèle de gestion des vulnérabilités offre un cadre robuste et efficace pour les organisations cherchant à améliorer leurs défenses contre les menaces cybernétiques. Avec l'agrégation et l'analyse automatisées des données, les organisations peuvent adopter une posture plus proactive face aux vulnérabilités qui comptent vraiment.
Titre: A Relevance Model for Threat-Centric Ranking of Cybersecurity Vulnerabilities
Résumé: The relentless process of tracking and remediating vulnerabilities is a top concern for cybersecurity professionals. The key challenge is trying to identify a remediation scheme specific to in-house, organizational objectives. Without a strategy, the result is a patchwork of fixes applied to a tide of vulnerabilities, any one of which could be the point of failure in an otherwise formidable defense. Given that few vulnerabilities are a focus of real-world attacks, a practical remediation strategy is to identify vulnerabilities likely to be exploited and focus efforts towards remediating those vulnerabilities first. The goal of this research is to demonstrate that aggregating and synthesizing readily accessible, public data sources to provide personalized, automated recommendations for organizations to prioritize their vulnerability management strategy will offer significant improvements over using the Common Vulnerability Scoring System (CVSS). We provide a framework for vulnerability management specifically focused on mitigating threats using adversary criteria derived from MITRE ATT&CK. We test our approach by identifying vulnerabilities in software associated with six universities and four government facilities. Ranking policy performance is measured using the Normalized Discounted Cumulative Gain (nDCG). Our results show an average 71.5% - 91.3% improvement towards the identification of vulnerabilities likely to be targeted and exploited by cyber threat actors. The return on investment (ROI) of patching using our policies results in a savings of 23.3% - 25.5% in annualized costs. Our results demonstrate the efficacy of creating knowledge graphs to link large data sets to facilitate semantic queries and create data-driven, flexible ranking policies.
Auteurs: Corren McCoy, Ross Gore, Michael L. Nelson, Michele C. Weigle
Dernière mise à jour: 2024-06-09 00:00:00
Langue: English
Source URL: https://arxiv.org/abs/2406.05933
Source PDF: https://arxiv.org/pdf/2406.05933
Licence: https://creativecommons.org/licenses/by/4.0/
Changements: Ce résumé a été créé avec l'aide de l'IA et peut contenir des inexactitudes. Pour obtenir des informations précises, veuillez vous référer aux documents sources originaux dont les liens figurent ici.
Merci à arxiv pour l'utilisation de son interopérabilité en libre accès.
Liens de référence
- https://www.commoncriteriaportal.org/products/
- https://cyber.dhs.gov/ed/20-03/
- https://www.infosecurity-magazine.com/news/cisa-issues-emergency/
- https://en.wikipedia.org/w/index.php?title=Patch
- https://blog.morphisec.com/microsoft-patch-tuesday-all-or-nothing-patching
- https://threatpost.com/microsoft-windows-update-patch-tuesday/163981/
- https://www.first.org/epss/
- https://www.first.org/epss/articles/prob_percentile_bins
- https://nvd.nist.gov/vuln-metrics/cvss
- https://www.cisa.gov/critical-infrastructure-sectors
- https://www.eac.gov/ci-scoop-what-are-sectors-and-sub-sectors
- https://www.state.gov/independent-states-in-the-world/
- https://web.archive.org/web/20220215084226/
- https://attack.mitre.org/
- https://www.collegesimply.com/colleges/rank/colleges/largest-enrollment/state/virginia/
- https://www.hsdl.org/?view&did=487791
- https://www.iso.org/standard/50341.html
- https://en.wikipedia.org/wiki/Student%27s_t-test
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog
- https://www.pluralsight.com/guides/cybersecurity-threat-modeling-with-octave
- https://en.wikipedia.org/wiki/Open_Source_Vulnerability_Database
- https://archive.org/web/
- https://people.cs.ksu.edu/~xou/publications/tr_homer_0809.pdf
- https://csis.gmu.edu/noel/pubs/2015_IEEE_HST.pdf