Une évaluation des vulnérabilités, également connue sous le nom d’évaluation des vulnérabilités de sécurité, est une évaluation holistique des risques liés aux vulnérabilités dans un environnement informatique et hybride. Pour les environnements cloud, votre évaluation des vulnérabilités couvre des actifs tels que les charges de travail d’IA, les machines virtuelles, les conteneurs, les bases de données, les services PaaS et les données.
Au moment où vous lisez ces lignes, des dizaines de milliers de vulnérabilités pourraient se nicher discrètement dans votre environnement cloud. (Ici en sont quelques exemples récents.) Cela comprend Erreurs de configuration, Informatique fantôme, des contrôles d’accès médiocres, une visibilité incomplète, des API non sécurisées, une exposition au réseau, etc. Les vulnérabilités sont partout. Effrayant, non ?
La bonne nouvelle, c’est que toutes les vulnérabilités ne sont pas aussi dangereuses. En fait, certains d’entre eux n’ont peut-être pas d’importance pour votre entreprise. C’est le plus gros casse-tête de la gestion et de l’évaluation des vulnérabilités aujourd’hui : trop d’alertes et trop de bruit, ce qui entraîne une débordement et une frustration de CloudSec, d’analystes de vulnérabilités et de Les équipes SOC. Le problème avec un trop grand nombre d’alertes est que les vulnérabilités qui sont en fait dangereuses pour votre entreprise se perdent dans une longue liste.
C’est pourquoi, dans cet article de blog, nous allons examiner les évaluations des vulnérabilités qui peuvent vous aider à trouver et à corriger les vulnérabilités critiques, conçues pour le cloud.
The Vulnerability Management Buyer's Guide
Download this guide to get a RFP template to help you evaluate your vulnerability management vendor.
Download Now
Comment effectuer une évaluation de vulnérabilité
Voici un guide pratique étape par étape pour effectuer des évaluations de vulnérabilité. N’oubliez pas que l’objectif ici est de se démarquer pour identifier les risques critiques ou les vulnérabilités qui comptent vraiment.
Étape 1 : Jeter les bases
Si vous voulez effectuer de bonnes évaluations de vulnérabilité, vous devez commencer par un peu de préparation et d’élaboration de stratégie. Sinon, vos évaluations des vulnérabilités risquent de manquer de clarté et de concentration entre vos parties prenantes croissantes dans le développement et l’informatique.
Voici quelques façons simples de poser des bases solides :
Énumérez les principaux objectifs de votre évaluation de vulnérabilité.
Cartographiez vos CSP, vos services cloud et Modèles de responsabilité partagée Du code au cloud.
Vérifiez vos obligations de conformité cloud.
Prenez note de vos données essentielles à l’entreprise.
Travaillez avec d’autres équipes pour rendre l’évaluation et la correction plus collaboratives.
Sélectionnez les bons outils et cadres pour vos évaluations (nous y reviendrons bientôt).
Étape 2 : Établissez un inventaire complet des actifs
Vous ne pouvez pas découvrir toutes les vulnérabilités critiques de votre environnement cloud si vous ne savez pas quels actifs vous possédez. Commencez par créer un inventaire complet de vos ressources cloud, des bases de données et des conteneurs aux machines virtuelles et aux appliances. Élaborez également un processus pour maintenir votre inventaire d’actifs à jour en permanence. Enfin, assurez-vous de tenir compte de chaque utilisateur (humain et machine), de chaque point de terminaison, de chaque dépendance, de chaque API et de chaque réseau. Ne négligez rien au cours de ce processus, car même un actif cloud apparemment sans importance peut avoir un chemin d’attaque vers des données sensibles.
During this step, remember two things:
Cover your AI infrastructure and assets because they can be full of vulnerabilities.
Map your software development lifecycles because it’s important to discover and fix vulnerabilities during development and develop a strong application security posture.
Étape 3 : Analysez régulièrement les vulnérabilités et automatisez-les si possible
Maintenant que vous avez une image claire de vos environnements cloud, il est temps de mettre en évidence les vulnérabilités. Commencez par définir les paramètres de vos outils d’évaluation des vulnérabilités pour définir la portée de votre évaluation. (Conseil professionnel : n’utilisez jamais les paramètres par défaut !) Par paramètres, nous entendons que vous voudrez peut-être bricoler avec les techniques que vous utilisez, comme l’active ou la passive Analyse des vulnérabilités, et en automatisant les numérisations en conséquence pour gagner du temps. Vous pouvez inclure un ensemble spécifique de ressources ou d’adresses IP à analyser et développer vos propres filtres ou requêtes.
Ensuite, lancez vos outils d’analyse des vulnérabilités. Assurez-vous de disposer d’outils pour l’analyse des vulnérabilités des bases de données, des vulnérabilités du réseau et des applications Web. Assurez-vous également que vos outils d’évaluation des vulnérabilités et vos scanners basent leurs capacités sur plusieurs bases de données et catalogues de vulnérabilités bien connus. Pensez dans le sens de la Catalogue CISA KEV, le NVD, et le MITRE ATT&Base de connaissances CK.
Dans certains cas, vous pouvez étayer vos analyses de vulnérabilité par des tests d’intrusion plus spécifiques. Ces tests peuvent vous aider à éliminer les vulnérabilités complexes ou cachées dans votre cloud.
Évaluation des vulnérabilités vs tests d’intrusion
Les évaluations de vulnérabilité sont une évaluation plus large et de haut niveau des risques et des faiblesses, tandis que les tests d’intrusion se concentrent sur des composants ou des situations très spécifiques. Vous voudrez peut-être utiliser les deux pour couvrir toutes les bases.
Contrairement aux évaluations de vulnérabilité, qui détectent les vulnérabilités de votre environnement et cartographient votre surface d’attaque, les tests d’intrusion simulent une attaque dans le monde réel pour révéler des faiblesses et des vecteurs d’attaque spécifiques (entrées). Les tests d’intrusion peuvent être un bon moyen de compléter vos évaluations de vulnérabilité.
Étape 4 : Hiérarchiser les vulnérabilités
Vos analyses de vulnérabilité peuvent révéler une longue liste de vulnérabilités dans votre environnement, mais n’oubliez pas ce que nous avons dit précédemment : toutes n’ont pas d’importance. Aucune entreprise ne dispose des ressources nécessaires pour éliminer toutes les vulnérabilités qu’elle trouve, vous devrez donc commencer à hiérarchiser les vulnérabilités en fonction des niveaux de risque, de élevé à faible.
Le terme « risque élevé » peut signifier différentes choses pour différentes organisations, alors concentrez-vous sur les risques qui peuvent conduire à des données sensibles telles que les données protégées, les PCI, les informations personnelles et les secrets commerciaux. De plus, tenez compte de facteurs tels que la gravité, l’exploitabilité, le rayon d’explosion, la propriété et le caractère essentiel de l’actif compromis. Voici quelques ressources et normes publiques qui peuvent vous aider :
CVE (vulnérabilités et expositions courantes): Identifie les vulnérabilités
Système commun de notation des vulnérabilités (CVSS): Évalue la gravité des vulnérabilités
Système de notation des prédictions d’exploits (EPSS): Évalue la probabilité que les vulnérabilités soient exploitées
Étape 5 : Analyser les vulnérabilités et élaborer des stratégies de remédiation
Bien que la correction ne fasse pas techniquement partie des évaluations des vulnérabilités, il est important de commencer à planifier la résolution des vulnérabilités découvertes. Comme nous l’avons vu, il faut commencer par les vulnérabilités les plus critiques. Étudiez la gravité de chaque vulnérabilité et comprenez ses implications sur votre infrastructure critique. Pour faciliter la vie des équipes CloudSec, éliminez les faux positifs au cours de cette étape.
Pour chaque vulnérabilité critique, assurez-vous que des options de correction viables sont disponibles. Il peut s’agir de corriger les applications obsolètes, de modifier les paramètres des ressources mal configurées et de dimensionner correctement les autorisations.
Lorsque les équipes CloudSec commencent à corriger les vulnérabilités critiques, il est important d’effectuer des analyses de vulnérabilité ultérieures pour valider la correction. De nouvelles vulnérabilités peuvent être introduites lors de la remédiation, et il est important de les détecter tôt.
Étape 6 : Rapporter, évaluer et améliorer
Vous avez atteint la dernière étape du processus. Voici comment terminer sur une bonne note : compilez toute la documentation des évaluations de vulnérabilité. Utilisez vos outils de gestion des vulnérabilités pour générer des rapports complets, car ils peuvent être très importants pour les audits, les renseignements sur les menaces et la conformité. De plus, comme toute autre pratique de sécurité dans le cloud, vous devez continuellement itérer sur votre processus d’évaluation des vulnérabilités. N’oubliez pas : avec la gestion des vulnérabilités dans le cloud, il est toujours possible de s’améliorer.
Outils d’évaluation des vulnérabilités
Vous ne savez pas quels outils d’évaluation des vulnérabilités utiliser ? En voici 15 pour vous aider à démarrer.
OpenVAS : Un outil d’analyse des vulnérabilités open source
Aircrack-ng : Une suite pour découvrir les vulnérabilités du réseau
Nmap : Un scanner pour découvrir les vulnérabilités du réseau
Masscan : Un autre scanner pour découvrir les vulnérabilités du réseau
Clair : Un scanner de vulnérabilité de conteneur
Wapiti: Un scanner de vulnérabilité centré sur les applications Web
Nikto : Un scanner de vulnérabilité de serveur web
sqlmap : Un outil de test d’intrusion
Arachni : Un scanner de vulnérabilité d’application web
KICS : Un scanner de vulnérabilité de code
Lynis : Un scanner de vulnérabilité des endpoints
Inspecteur Amazon : Un analyseur de vulnérabilité de charge de travail AWS
SecuBat : Un scanner de vulnérabilité web
Retire.js : Un scanner de vulnérabilités JavaScript
W3AF : Un scanner de vulnérabilité d’application web
Pour en savoir plus sur ces outils d’évaluation des vulnérabilités et d’autres, consultez nos articles de blog sur Outils de gestion des vulnérabilités OSS et Scanners de vulnérabilité OSS.
Modèle d’évaluation des vulnérabilités
Voici un exemple de modèle d’évaluation des vulnérabilités de sécurité utile qui couvre le type de vulnérabilités réelles que vous trouverez lors de vos évaluations. Ce modèle d’évaluation des vulnérabilités vous donne également un petit aperçu des merveilles de la gestion des vulnérabilités de Wiz.
Supposons donc que vous ayez terminé la phase de préparation avec enthousiasme et que vous soyez dans le processus de découverte des actifs. En déployant Wiz, vous pouvez obtenir un inventaire complet de vos actifs informatiques et cloud, comme on peut le voir ici :
Ensuite, il est temps d’analyser ces ressources pour trouver les vulnérabilités qui s’enveniment inaperçues. Voici à quoi cela ressemble avec Wiz.
Comme vous pouvez le constater, Wiz découvrira les vulnérabilités et les hiérarchisera en fonction des facteurs de risque spécifiques à l’organisation que nous appelons « combinaisons toxiques » de risques, dérivées des permutations du chemin d’attaque, de l’exposition aux PII, des autorisations d’administrateur excédentaires, etc.
Voici des exemples de risques critiques liés à des vulnérabilités :
VM exposées publiquement
Une API exposée
Une vulnérabilité de contournement d’autorisation critique dans Docker
Une base de données mal configurée remplie à ras bord d’informations personnelles sensibles
Pour chacune de ces vulnérabilités, Wiz fournit des conseils de remédiation solides, mais vous permet également de personnaliser les correctifs si nécessaire. Comme le montre la figure 5, une simple mise à jour vers une version plus récente peut parfois transformer une vulnérabilité critique en un actif sécurisé.
Enfin, réanalysez vos environnements, validez les correctifs et travaillez sur les moyens de rendre vos évaluations des vulnérabilités plus efficaces et holistiques. Cette approche permet de découvrir, d’évaluer et de corriger les vulnérabilités dans l’ensemble du pipeline du code au cloud.
Comment Wiz peut prendre en charge les évaluations de vulnérabilité
Si vous avez besoin d’un outil cloud natif puissant pour effectuer des évaluations de vulnérabilité, ne cherchez pas plus loin que Wiz. Prenant en charge plus de 120 000 vulnérabilités à travers 40+ systèmes d’exploitation, Wiz exploite le monde entier'et les combine avec des flux de renseignements sur les menaces et les recherches de Wiz pour découvrir les vulnérabilités cachées (ou mal hiérarchisées) en fonction de leur impact sur l’entreprise.
Avec le déploiement sans agent et la hiérarchisation contextuelle, Wiz fait de la fatigue des alertes une chose du passé. En se concentrant sur les problèmes critiques en fonction des facteurs de risque de votre entreprise, Wiz aide à trouver et à résoudre les risques les plus puissants avec un MTTR impressionnant. Du code au cloud, le Gestion des vulnérabilités Les capacités sont vraiment de niveau supérieur.
Obtenir une démo maintenant pour voir comment Wiz peut aider à appliquer la gestion des vulnérabilités Bonnes pratiques et effectuez des évaluations de vulnérabilité de sécurité inégalées pour protéger votre cloud.
Uncover Vulnerabilities Across Your Clouds and Workloads
Learn why CISOs at the fastest growing companies choose Wiz to secure their cloud environments.
