DataSunrise sponsorise AWS re:Invent 2024 à Las Vegas, veuillez nous rendre visite au stand n°2158 de DataSunrise

Ce site Web stocke des cookies afin de collecter des informations sur la manière dont vous interagissez avec notre site Web. Pour en savoir plus, visitez notre Politique de Confidentialité.

Bases de données de vulnérabilités. Le chemin de la collecte au travail

Bases de données de vulnérabilités. Le chemin de la collecte au travail

Chaque fois que nous parlons de vulnérabilités, nous entendons parler de différentes bases de données où nous pouvons les trouver. Il existe de nombreuses bases de données de vulnérabilités, mais quelle était la première ? Et comment les vulnérabilités apparaissent-elles dans ces bases de données ? Dans cet article, nous allons essayer de savoir.

Qu’est-ce qu’une base de données de vulnérabilités ?

Une base de données de vulnérabilités est un outil qui permet d’accéder à des informations sur les vulnérabilités connues. Les experts collectent, vérifient et partagent des informations avec une grande communauté pour améliorer les connaissances en matière de cybersécurité. Les bases de données de vulnérabilités aident les organisations à suivre et à corriger les vulnérabilités dans leurs systèmes. Les scanners de vulnérabilités sont basés sur des bases de données de vulnérabilités. Un scanner de vulnérabilités est un outil de test automatisé qui recherche des vulnérabilités et des défauts dans le système. Les scanners sont entièrement automatisés et ne recherchent que des vulnérabilités et signalent des expositions potentielles. Après cela, un test de pénétration a lieu. Vous devez distinguer ces deux outils car ils sont connectés, mais ne sont pas les mêmes.

Les bases de données couvrent une variété de vulnérabilités. Elles diffèrent les unes des autres selon le but. Les vulnérabilités comprennent :

  • Matériel – mauvaise cryptage, dégradation des composants et vulnérabilités du firmware.
  • Logiciel – problèmes d’interface utilisateur, défauts de synchronisation, bugs de confusion des privilèges, bugs d’attribution de mémoire et bugs de conception.
  • Réseau – architectures non sécurisées, authentification insuffisante, et accès non contrôlé.

Comment fonctionne une base de données de vulnérabilités

La première étape de la collecte de vulnérabilités consiste à les signaler. Les rapports peuvent provenir de différentes sources, des développeurs aux utilisateurs. Il y a une période d’attente pour chaque vulnérabilité signalée. Elle dure de 30 à 90 jours avant que l’information ne devienne publique. Cette période d’attente est nécessaire pour que les développeurs créent et publient des correctifs. De plus, pendant cette période, les clients peuvent mettre en place ces correctifs pour se protéger, même avant la notification publique. Cela dépend des politiques de notification et des produits. Après la publication du correctif, la vulnérabilité devient publique pour toute la communauté avec ses spécificités.

Comment les vulnérabilités sont-elles notées

L’une des listes de vulnérabilités les plus populaires est la CVE par MITRE, une organisation à but non lucratif, sponsorisée par le gouvernement. Le système a été établi en septembre 1999. Cette organisation a créé une classification des vulnérabilités. Ce système est le CVSS – le Common Vulnerability Scoring System. Une fois qu’une vulnérabilité est découverte, elle est inscrite dans le CVE mais sans aucune spécificité. Après la période d’attente, les spécificités seront mises à jour dans le CVE.

Identifiants CVE

Les identifiants ont été créés pour simplifier l’utilisation et la compréhension des vulnérabilités pour les personnes du monde entier. Puisque chaque système avait ses propres bases de données et identifiants, il était trop difficile d’identifier une seule et même vulnérabilité. Désormais, chaque vulnérabilité dispose de son identifiant, référence et description :

  • Identifiant CVE indique l’année où une vulnérabilité a été recherchée et le numéro.
  • Référence contient des liens vers des correctifs, des documents contenant des recommandations, et des commentaires des développeurs.
  • Description contient la définition de la vulnérabilité.

Bases de données de vulnérabilités populaires

  • NVD (National Vulnerability Database)

    La NVD a été établie en 2005 par le gouvernement américain. C’est la principale base de données lorsqu’on parle de bases de données de vulnérabilités open source. La NVD ne publie pas de vulnérabilités mais analyse les CVEs de la liste MITRE. Cette analyse comprend le score CVSS, des liens vers les correctifs disponibles, des informations sur le fonctionnement de la vulnérabilité et son évaluation de l’impact. Tous ces éléments vous aideront à comprendre et à prioriser la remédiation des vulnérabilités que vous avez.

  • OSVDB (Open Source Vulnerability Database)

    L’OSVDB a été créé en 2004 par Jake Kouns, le fondateur de Risk Based Security – l’entreprise qui opère une version commerciale de l’OSVDB – le VulnDB. Le but de l’OSVDB était de fournir des informations détaillées sur les vulnérabilités de sécurité à des fins non commerciales. Cependant, certaines entreprises ont utilisé cette base de données à des fins commerciales sans payer. Après cela, l’OSVDB a été fermé en avril 2016. En 2011, Risk Based Security a lancé une version commerciale, nommée VulnDB. Cette base de données contient plus de 140 000 entrées. Ces entrées incluent des informations sur les fournisseurs affectés, le type de vulnérabilité, la classification et les informations d’identification. De plus, de nombreuses entrées contiennent des informations sur les menaces et des mesures de contre-mesure.

Sources supplémentaires

En plus des bases de données de vulnérabilités, vous pouvez également utiliser les bulletins de sécurité. C’est une source qui vous aide à connaître les vulnérabilités de sécurité, les stratégies de remédiation et les mises à jour pour le logiciel. Certaines entreprises informatiques ont leurs propres bulletins de sécurité, par exemple, IBM, Microsoft, etc. En raison des informations sensibles contenues dans les bulletins, ils ne contiennent pas d’informations détaillées sur l’exploitation des vulnérabilités. Les bulletins de sécurité informent les clients sur les vulnérabilités. Les clients sont responsables de vérifier les dommages réels ou potentiels causés par les vulnérabilités.

De plus, il existe des agences et des services qui fournissent des informations sur les vulnérabilités. Par exemple, les CIS Benchmarks développés grâce aux efforts de bénévoles de experts en informatique, fournisseurs et développeurs des CIS Benchmarks. Dans notre évaluation des vulnérabilités de base de données, nous utilisons les directives CIS Benchmarks et DISA STIGS pour identifier et atténuer les vulnérabilités de sécurité et définir une configuration sécurisée.

Il existe de nombreuses bases de données de vulnérabilités que vous pouvez utiliser pour protéger votre système. Les bases de données de vulnérabilités deviennent la base des scanners de vulnérabilités, grâce auxquels vous pouvez automatiser le processus de recherche de vulnérabilités. N’oubliez pas d’être conscient des vulnérabilités dans vos systèmes pour protéger les données sensibles et votre réputation.

Suivant

Vulnérabilités de sécurité. Pourquoi avons-nous besoin de la gestion et de l’évaluation des vulnérabilités ?

Vulnérabilités de sécurité. Pourquoi avons-nous besoin de la gestion et de l’évaluation des vulnérabilités ?

En savoir plus

Besoin de l'aide de notre équipe de support ?

Nos experts seront ravis de répondre à vos questions.

Informations générales :
[email protected]
Ventes :
[email protected]
Service clientèle et support technique :
support.datasunrise.com
Demandes de partenariat et d'alliance :
[email protected]