Zoom rejoint la mêlée des vulnérabilités : VISS fera-t-il bouger les choses sur AppSec ?

Zoom, surtout connu pour sa plateforme de visioconférence et de collaboration en ligne, se lance dans la gestion des vulnérabilités. La société a annoncé son Système de notation de l’impact des vulnérabilités (TOUT)un cadre gratuit pour évaluer l’impact des vulnérabilités de sécurité sur l’infrastructure des systèmes informatiques, les piles technologiques et les données protégées.

VISS est conçu pour capturer « objectivement » les principales caractéristiques d’impact des vulnérabilités logicielles, matérielles et micrologicielles, a déclaré Zoom. Alors que la norme de l’industrie Système commun de notation des vulnérabilités (CVSS) est utilisé pour évaluer subjectivement les rapports de vulnérabilité principalement du point de vue d’un attaquant et suppose l’impact raisonnable dans le pire des cas, a expliqué Zoom, VISS se concentre sur la mesure de l’impact démontré de manière responsable d’une vulnérabilité du point de vue du défenseur.

Avec VISS, la possibilité théorique d’exploitation n’est pas prise en compte, mais uniquement l’exploitation réelle qui a été démontrée, a déclaré Zoom. Les scores numériques générés indiquent la gravité relative de l’impact dans l’environnement donné. Il est important de comprendre que VISS n’est pas destiné à remplacer le CVSS, mais à être un système d’évaluation complémentaire, a souligné l’entreprise.

Le VISS de Zoom n’est pas le premier effort visant à faire avancer le ballon sur les vulnérabilités du score. Le système de notation de prédiction des exploits (EPSS), lancé pour la première fois en avril 2020, avancé à la version 3.0 à la fin de l’année dernière comme outil complémentaire au CVSS, en ajoutant plus de valeur à la notation des risques logiciels, combinant des informations descriptives sur les vulnérabilités – et des preuves d’une exploitation réelle dans la nature.

Voici ce que vous devez savoir sur le VISS de Zoom, comment il se compare à EPSS et comment il peut améliorer la sécurité de vos applications (AppSec).

[ See ReversingGlass: EPSS 3.0 + CVSS: Why Prioritizing Software Risk is Key | Learn more: Why AppSec teams should go beyond legacy vulnerabilities ]

Comment VISS mesure les impacts de la vulnérabilité

VISS vise à fournir une plus grande efficacité, en prenant en compte davantage de facteurs d’infrastructure et environnementaux, et idéalement en se concentrant sur les vulnérabilités ayant le plus grand impact, a déclaré John Gallagher, vice-président de la société de sécurité IoT Viakoo Labs.

« Les organisations ont besoin d’efficacité dans leurs opérations de cybersécurité, à la fois en raison de ressources de sécurité limitées et parce que plus il faut de temps pour réagir à une vulnérabilité, plus il y a de possibilités d’exploitation. »
—John Gallagher

Les métriques VISS, qui produisent des scores de 0 à 100, prennent en compte 13 aspects d’impact pour chaque vulnérabilité :

• Type de plateformequi permet à l’utilisateur de spécifier le type de plate-forme informatique impactée par la vulnérabilité de sécurité, pas nécessairement l’endroit où la vulnérabilité de sécurité a été trouvée.
• Confidentialité de la plateformequi permet à l’utilisateur de préciser l’impact sur la confidentialité de la plateforme de l’exploitation réussie de la faille de sécurité trouvée.
• Intégrité de la plateformequi permet à l’utilisateur de préciser l’impact sur l’intégrité de la plateforme de l’exploitation réussie de la vulnérabilité de sécurité trouvée.
• Disponibilité de la plateformequi permet à l’utilisateur de préciser l’impact sur la disponibilité de la plateforme de l’exploitation réussie de la vulnérabilité de sécurité trouvée.
• Location d’infrastructuresqui permet à l’utilisateur de spécifier la location de l’infrastructure sur laquelle la vulnérabilité de sécurité a été trouvée, mais uniquement lorsqu’il existe un certain niveau d’impact sur la plate-forme.
• Location de logicielsqui permet à l’utilisateur de spécifier la location du logiciel sur lequel la vulnérabilité de sécurité a été trouvée.
• Location de donnéesqui permet à l’utilisateur de spécifier la location des données sur lesquelles la vulnérabilité de sécurité a été trouvée.
• Locataires impactésqui permet à l’utilisateur de spécifier une gamme récapitulative de locataires impactés par l’exploitation réussie de la vulnérabilité de sécurité trouvée.
• Confidentialité des donnéesqui permet à l’utilisateur de préciser l’impact sur la confidentialité des données qu’implique l’exploitation réussie de la faille de sécurité trouvée.
• Intégrité des donnéesqui permet à l’utilisateur de préciser l’impact sur l’intégrité des données qu’implique l’exploitation réussie de la faille de sécurité trouvée.
• Disponibilité des donnéesqui permet à l’utilisateur de préciser l’impact sur la disponibilité des données qu’implique l’exploitation réussie de la faille de sécurité trouvée.
• Classement des donnéesqui permet à l’utilisateur de préciser la classification interne des données impliquées dans l’exploitation réussie de la vulnérabilité de sécurité trouvée.
• Contrôles compensatoires en amontqui permet à l’utilisateur de spécifier l’existence de tout contrôle de sécurité compensatoire au sein du logiciel ou de l’infrastructure concerné qui a un impact défensif positif contre l’exploitation réussie de la vulnérabilité de sécurité trouvée.

Comment VISS comble les lacunes du CVSS

De nouveaux cadres de notation tels que VISS émergent pour répondre à des besoins ou des perspectives spécifiques que CVSS pourrait ne pas couvrir entièrement, a déclaré James McQuiggan, défenseur de la société de formation en sensibilisation à la sécurité KnowBe4.

« Même si le CVSS est souvent critiqué, l’utilisation EPSS ou VISS a le potentiel de fournir des évaluations plus personnalisées ou plus complètes pour des environnements ou des menaces particuliers. L’EPSS est également open source et peut être mis à jour ou ouvertement discuté, tandis que le CVSS est contrôlé, avec très peu d’ajustements sans changements ou implémentations significatives.
—James McQuiggan

Zoom a déclaré que même s’il détient tous les droits et intérêts dans VISS, il l’autorise au public à l’utiliser gratuitement, sous certaines conditions. Zoom exige également que toute personne ou entité utilisant VISS indique de manière appropriée, le cas échéant, que VISS appartient à Zoom et est utilisé avec autorisation. De plus, Zoom exige comme condition d’utilisation que toute personne ou entité qui publie les scores VISS fournisse à la fois le score et le vecteur de notation afin que d’autres puissent comprendre comment le score a été obtenu.

Zoom a également noté que contrairement au CVSS, les options métriques VISS et les pondérations attribuées à ces options sont personnalisables par l’utilisateur selon les besoins pour répondre aux besoins de l’environnement global, des logiciels et des données impliqués. Cette flexibilité permet à chaque organisation d’utiliser VISS d’une manière spécifique à son secteur, à ses exigences et à son profil de risque, ajoute-t-il.

Daniel Kennedy, directeur de recherche pour la sécurité de l’information et les réseaux chez 451 Research, qui fait partie de S&P Global Market Intelligence, a déclaré que le CVSS a été critiqué, parfois injustement, pour ne pas prendre en compte différents contextes pouvant affecter la gravité de la vulnérabilité. Mais il a déclaré que VISS pourrait devenir « encore une autre norme ».

“Les gens ont tendance à créer ces choses dans le but de résoudre un problème, qu’il s’agisse des modèles actuels qui ne répondent pas à leur cas d’utilisation spécifique ou des modèles existants présentant des lacunes plus générales.”
—Daniel Kennedy

Aller au-delà de la seule gestion des vulnérabilités est essentiel

La gestion des vulnérabilités est devenue le cri de guerre du monde de la cybersécurité, les organisations se noyant dans un océan de vulnérabilités et ayant du mal à prioriser les efforts de remédiation, a déclaré Sarah Jones, analyste de recherche sur les cybermenaces au sein de la société de services de cybersécurité Critical Start.

“C’est là qu’interviennent les systèmes d’évaluation des vulnérabilités comme VISS et EPSS, offrant des conseils à travers la tempête.”
—Sarah Jones

Bien que les deux systèmes visent à combler les lacunes du CVSS, ils abordent leur mission de différentes manières, a déclaré Jones. “Il analyse 13 facteurs et attribue des scores de gravité de 0 à 100 en fonction des dommages réels causés par les exploits passés”, a-t-elle déclaré.

« Considérez VISS comme une analyse post-mortem basée sur les données. »
—Sarah Jones

VISS aligne les correctifs de vulnérabilité sur les menaces dont l’impact est manifeste, prenant en charge la réponse aux incidents et atténuant les attaques en cours, a déclaré Jones.

“Cependant, il ne prédit pas les futures agressions, les laissant cachées dans l’ombre.”
—Sarah Jones

VISS vs EPSS : comment ils se comparent

EPSS adopte une approche prospective en utilisant les renseignements sur les menaces et les caractéristiques de vulnérabilité pour estimer les risques d’exploitation dans les 30 jours.

« À l’instar des prévisions météorologiques de sécurité, il identifie les nuages ​​d’orage les plus susceptibles de déclencher la fureur, permettant ainsi une atténuation proactive des risques. Cependant, sa dépendance à des algorithmes complexes et à des données historiques limitées introduit des incertitudes, nécessitant une interprétation prudente. »
—Sarah Jones

VISS et EPSS sont des outils complémentaires et non rivaux, a déclaré Jones. « Choisissez en fonction de vos priorités : résolvez les dommages passés avec VISS ou prédisez les menaces futures avec EPSS. Combinez leurs atouts avec CVSS pour naviguer dans le paysage de la cybersécurité.

La gestion proactive des vulnérabilités est un investissement stratégique dans l’avenir de votre organisation, a déclaré Jones. « En comprenant ces systèmes et en adoptant une approche holistique, vous pouvez garder une longueur d’avance et garder ces monstres de vulnérabilité à distance. »

Cependant, McQuiggan a mis en garde contre une obsession pour les vulnérabilités en général.

« Se concentrer sur les vulnérabilités est une approche proactive de la cybersécurité, visant à prévenir les exploits avant qu’ils ne se produisent. Cependant, cela devrait faire partie d’une stratégie de sécurité plus large qui inclut la protection contre les logiciels malveillants, les exploits du jour zéro et l’ingénierie sociale, car la résolution des vulnérabilités n’est pas une solution miracle et ne garantit pas la défense et la réduction des risques contre toutes les cybermenaces.
—James McQuiggan

Matt Rose, RSSI sur le terrain chez ReversingLabs, a déclaré que les équipes de sécurité sont confrontées à une lassitude en matière d’alerte « à tous les niveaux », de sorte que les nouveaux systèmes de notation des vulnérabilités constituent un pas dans la bonne direction.

“Il n’y a tout simplement pas assez de temps, de ressources et de budget pour tout gérer.”
—Mat Rose

Rose a dit que augmentation des attaques sophistiquées contre la chaîne d’approvisionnement moyens il est temps d’aller au-delà des vulnérabilités lorsqu’il s’agit de gérer les risques tout au long du cycle de vie du développement logiciel (SDLC). Il préconise plutôt de se concentrer sur les logiciels malveillants actifs, citant les recommandations du groupe Enduring Security Framework. appelez pour une analyse binaire et des builds reproductibles.

Analyse binaire complexequi se concentre sur les logiciels malveillants, peut aider les organisations à évaluer et à vérifier la sécurité non seulement des logiciels développés en interne, mais également des logiciels commerciaux tiers dans leur environnement, avant leur publication.

“Il s’agit de l’examen final d’un package pour les risques liés à la chaîne d’approvisionnement logicielle, qui permet d’avoir confiance dans le logiciel que vous développez pour vos clients ou que vous achetez pour vous aider à exploiter votre entreprise.
—Matt Rose

*** Ceci est un blog syndiqué du Security Bloggers Network de Blog de ReversingLabs rédigé par John P. Mello Jr.. Lisez le message original à l’adresse :