ClickCease CVEs, CVEs maudits et statistiques

Rejoignez notre populaire bulletin d'information

Rejoignez plus de 4 500 professionnels de Linux et de l'Open Source!

2 fois par mois. Pas de spam.

CVEs, CVEs maudits et statistiques

par Joao Correia

30 septembre 2024 - Évangéliste technique

Votre analyseur de vulnérabilité n'indique aucun problème avec vos systèmes Linux ? Si c'est le cas, il manque probablement quelque chose d'important. À l'inverse, s'il indique soudainement des centaines de vulnérabilités, il s'agit probablement d'une surestimation. Et si vos rapports de conformité semblent propres et sans problème ? Il y a fort à parier qu'ils sont loin d'être exacts.

 

Les scanners de vulnérabilité et le dilemme des données

 

Les scanners de vulnérabilité sont un outil essentiel dans l'arsenal d'une équipe de cybersécurité. Leur objectif est de fournir une visibilité, d'offrir une tranquillité d'esprit en évaluant les systèmes pour détecter les problèmes de sécurité connus. Ils permettent aux professionnels de la sécurité de repérer les menaces potentielles avant qu'elles ne deviennent des problèmes réels, garantissant ainsi la sécurité des systèmes de l'organisation - du moins en théorie.

Toutefois, ces scanners sont loin d'être magiques. Ils ne font pas de suppositions éclairées et ne détectent pas intuitivement les vulnérabilités. Ils s'appuient plutôt sur des listes prédéfinies de problèmes connus, dont la qualité et l'exhaustivité ont une incidence considérable sur les résultats. Et ces résultats peuvent fluctuer considérablement - par ordre de grandeur - en fonction des données introduites dans les scanners.

 

L'ANC du noyau Linux et son effet d'entraînement

 

La création de l'autorité de numérotation CVE (Linux Kernel CNA) est une évolution notable dans le domaine de la cybersécurité cette année. Nous avons abordé les détails dans un rapport précédentmais l'essentiel est que chaque bogue du noyau Linux reçoit désormais un identifiant CVE (Common Vulnerabilities and Exposures). Si vous suivez la liste de diffusion du noyau Linux (bonne chance !), vous vous rendrez rapidement compte du nombre de bogues signalés chaque jour. C'est normal, étant donné les millions de lignes de code que contient le noyau.

Ce changement a considérablement augmenté le nombre de CVE affectant les systèmes Linux. Le simple volume de CVE du noyau qui est maintenant généré signifie que les distributions qui utilisent différentes versions du noyau sont affectées par beaucoup plus de CVE qu'il y a quelques mois. En fait, le nombre de CVE affectant le noyau Linux est monté en flèche par rapport au mois de janvier de cette année.

Quel est l'impact de cette situation sur les scanners de vulnérabilités ? Ils doivent désormais faire face à un afflux massif de nouvelles CVE, ce qui pose deux problèmes : soit les scanners signalent vos systèmes pour des centaines de nouvelles CVE chaque semaine, soit ils ignorent complètement les nouvelles CVE.

 

Le problème des CVE non notés

 

C'est là que les choses se gâtent. Les CVE ont besoin de scores de risque pour être significatifs. Mais avec l'afflux de nouveaux CVE, même la base de données nationale sur les vulnérabilités (National Vulnerability Database - NVD) n'arrive pas à suivre. Des centaines de CVE sont divulgués publiquement sans note de risque, ce qui signifie qu'ils sont à la disposition de tous, mais sans le contexte nécessaire pour déterminer leur degré de dangerosité.

Prenez le temps de réfléchir : des centaines de vulnérabilités divulguées publiquement, non notées et non classifiées, circulent. Sans score, il est incroyablement difficile pour les équipes de sécurité d'établir un ordre de priorité entre les vulnérabilités à traiter en premier.

Et si certaines distributions Linux ont pris l'initiative d'attribuer des notes, il en résulte un paysage fragmenté où les notes de risque peuvent varier considérablement en fonction de la distribution du fournisseur que vous utilisez. En l'absence d'un système de notation unifié, il est difficile de déterminer quelles menaces sont réelles et lesquelles sont relativement bénignes.

 

L'énigme du scanner : ignorer ou ne pas ignorer ?

 

Lorsque les scanners reçoivent ces CVE non notés, ils ont deux options : les ignorer complètement ou supposer le pire et leur attribuer le risque le plus élevé jusqu'à preuve du contraire. Aucune de ces options n'est idéale. Si elles sont ignorées, des vulnérabilités potentiellement graves peuvent passer inaperçues. Si elles sont classées comme présentant un risque élevé, vos systèmes pourraient être marqués par un nombre écrasant de faux positifs, ce qui mettrait votre équipe de sécurité dans tous ses états pour un rien.

Ainsi, les statistiques produites par les scanners de vulnérabilité - qu'ils indiquent que votre système est sûr ou vulnérable à des centaines de CVE - sont souvent plus une estimation qu'une évaluation fiable. Vous pourriez obtenir une précision similaire en jouant à pile ou face.

 

Les scanners de vulnérabilité sont-ils donc inutiles ?

 

Pas du tout. Les scanners de vulnérabilité fournissent toujours des données précieuses et certains de leurs tests sont efficaces. Toutefois, dans l'environnement actuel, ils ne doivent pas être considérés comme la seule source de vérité ou comme une preuve définitive de sécurité. Les résultats doivent être pris avec un grain de sel, en particulier dans le contexte de la vague actuelle de CVE non notés.

 

Existe-t-il une solution ?

 

À court terme, non - pas avant que le rythme de création des CVE ne ralentisse ou qu'une méthode plus efficace d'évaluation des vulnérabilités ne soit mise au point. Une amélioration potentielle réside dans l'utilisation des définitions OVAL (Open Vulnerability and Assessment Language). Les fichiers OVAL aident à normaliser la manière dont les systèmes sont vérifiés pour détecter les vulnérabilités, en introduisant un niveau de curation qui peut améliorer la précision.

Cependant, même les fichiers OVAL sont influencés par le processus de notation CVE, ce qui signifie qu'ils sont toujours en aval de la même source de données défectueuse. Les scanners de vulnérabilité qui utilisent les définitions OVAL peuvent être plus fiables, mais ils ne sont pas à l'abri du problème plus large de l'évaluation incohérente ou incomplète.

Une stratégie d'atténuation potentielle consiste à utiliser plusieurs scanners de vulnérabilité et à faire la moyenne des scores de risque. Bien que cette approche ne soit pas parfaite, elle pourrait vous aider à vous rapprocher d'une évaluation précise en atténuant une partie du bruit statistique. Pour l'instant, il n'y a pas de solution définitive, mais des erreurs plus ou moins graves.

 

Résumé
CVEs, CVEs maudits et statistiques
Nom de l'article
CVEs, CVEs maudits et statistiques
Description
Votre scanner CVEs n'indique aucun problème avec vos systèmes Linux ? Si c'est le cas, il manque probablement quelque chose d'important. Pour en savoir plus, cliquez ici.
Auteur
Nom de l'éditeur
de TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Devenez rédacteur invité de TuxCare

Courrier

Aidez-nous à comprendre
le paysage Linux !

Répondez à notre enquête sur l'état de l'Open Source et vous pourrez gagner l'un des nombreux prix, dont le premier est d'une valeur de 500 $ !

Votre expertise est nécessaire pour façonner l'avenir d'Enterprise Linux !