Les résultats montrent qu’il faut compter des jours avant que les vulnérabilités divulguées sur le Dark Web soient listées et rendues publiques sur la NVD et les autres sources d’information. Selon la firme, il existe un temps de décalage moyen de sept jours entre la diffusion publique et les notifications officielles qui sont envoyées aux organisations et les firmes de sécurité. 75 % des CVE (Common Vulnerabilities and Exposures) inclus dans l’étude ont été partagés en ligne sur des blogs, des sites comme Pastebin, des forums de cybercriminels ainsi que le Dark Web, avant leur entrée dans la base de données.
Les données de l’étude révèlent aussi qu’il existe un écart entre les annonces des vendeurs et la publication sur la NVD. Le meilleur temps enregistré a été seulement un jour, alors que la période la plus lente a été 172 jours avant que la vulnérabilité ne soit publiée dans la NVD.
Plus de 1500 sources ont signalé la présence de vulnérabilités avant leur divulgation et 5 % des bogues qui ont été repérés sur le Dark Web avant leur publication officielle avaient un niveau de sécurité élevé. De plus, 30 % des bogues trouvés dans les sources underground ont été publiés dans des langages étrangers.
Suite à ces résultats, Recorded Future remet en question la fiabilité des sources de sécurité officielles. « Cet écart entre la communication officielle et non officielle sur les CVE place un fardeau sur les RSSI (responsables de la sécurité des systèmes d'information) et les équipes de sécurité, en les laissant involontairement livrés à des exploits potentiels sans la capacité de prendre des décisions stratégiques et informées sur leur stratégie de sécurité, » a écrit la firme.
Les résultats de cette étude peuvent être résumés comme suit :
- 75 % des vulnérabilités sont divulguées en moyenne 7 jours avant leur publication par la NVD. Cet écart est en train d’augmenter, ce qui complique la capacité des équipes de gestion à rester à jour, et avec l’augmentation des écarts, la situation va s’empirer ;
- plus de 1500 sources ont rapporté plus de 114 000 fois des vulnérabilités avant leur publication officielle, y compris des sources de la communauté de renseignement sur le deep et le dark web ;
- les vulnérabilités à haute sévérité ont des écarts de divulgation plus courts en raison des efforts déployés la communication et l’assainissement des bogues sérieux. De plus, les firmes ont des écarts de publication différents ;
- 5 % des vulnérabilités sont détaillées dans le deep et les dark web avant leur publication dans la NVD et elles ont un niveau de sévérité plus élevé que prévu. 30 % sont partagées dans un langage étranger et concernent des éditeurs majeurs comme Google, Apple, Microsoft et Oracle.
Christopher Ahlberg, le PDG de Recorded Future, a dit que ces résultats ne sont pas vraiment une surprise. Il y a eu depuis longtemps un écart de temps entre les sources officielles et non officielles lorsqu’il s’agit de la publication de vulnérabilités. Et maintenant les études ne font que confirmer cette réalité, c’est pourquoi il est important et plus que jamais critique pour les entreprises de suivre une approche à plusieurs volets de renseignement et de sécurité.
La firme de sécurité suggère qu’au lieu de paniquer lorsqu’une vulnérabilité particulièrement sévère est rendue publique, les entreprises doivent adopter une « approche proactive et basée sur le risque, » incluant la mesure du risque, le recours à des informations de plusieurs sources et la concentration sur les CVE qui ont le plus grand risque d’être exploités. C’est cette approche qui va permettre aux entreprises de se prémunir contre le prochain désastre de sécurité comme il a été le cas avec le ransomware WannaCry.
« Avec l’accès, l’agrégation et l’application des renseignements tirées de sources additionnelles, incluant le dark web, les réseaux sociaux, les sources d’actualité et les forums, les organisations auront une meilleure compréhension de leur risque et peuvent prendre des décisions stratégiques et informées qui impactent positivement leur business, » a dit Bill Ladd, data scientist en chef à Recorded Future.
Source : Recorded Future - TMC
Et vous ?
Qu'en pensez-vous ?