Dans son premier rapport 2023 sur la vision de la sécurité offensive, NetSPI dévoile des conclusions qui mettent en évidence les modèles de vulnérabilité dans les applications, le cloud et les réseaux.
Modèles de vulnérabilité
Le rapport utilise une présentation en arrière et en avant de quelques-uns des modèles de vulnérabilité les plus importants de l’année précédente pour aider la sécurité et le magnat à concentrer ses efforts de découverte, de gestion et de suppression sur les vulnérabilités les plus risquées susceptibles d’exister sur leur surface d’attaque.
Selon la base de données nationale sur les vulnérabilités du NIST, le nombre de vulnérabilités a progressivement augmenté d’une année sur l’autre au cours des 5 dernières années et ne montre aucun signe de ralentissement. Ceci, associé à la réalité des équipes de sécurité et de développement épuisées, crée un besoin imminent de hiérarchisation.
Le rapport a évalué plus de 300 000 résultats anonymisés issus d’innombrables engagements de pentest, couvrant plus de 240 000 heures de filtrage, pour déterminer les vulnérabilités les plus courantes sur divers marchés, notamment la santé, la vente au détail, le financement et la production.
Aujourd’hui, la sécurité offensive est tout aussi importante que sa capacité à vous aider à vous concentrer sur la résolution des problèmes les plus importants pour votre entreprise.
Obstacles à une résolution rapide et fiable
Le manque de ressources, la hiérarchisation des vulnérabilités et les préoccupations des entreprises ont été signalés comme les trois principaux obstacles à une résolution rapide et efficace. La tendance dans les trois ? Les groupes de sécurité ont besoin d’aide pour hiérarchiser la variété croissante des vulnérabilités présentes dans leur environnement.
Le contexte commercial et humain reste essentiel pour éliminer les obstacles à la hiérarchisation des vulnérabilités, mais les groupes manquent de personnel.
Quoi les chercheurs ont découvert :
- En moyenne, le volume le plus élevé de vulnérabilités cruciales et de gravité élevée a été trouvé au sein du marché gouvernemental et à but non lucratif. Au contraire, l’assurance avait le volume le plus abordable de vulnérabilités cruciales et de haute gravité.
- Les réseaux internes ont 3 fois plus de vulnérabilités exploitables que les réseaux externes.
- Parmi les applications vérifiées, les applications Web ont une plus grande fréquence de vulnérabilités élevées et cruciales par rapport aux applications mobiles et lourdes.
- Les deux principaux obstacles à une résolution rapide et efficace aujourd’hui sont l’absence de ressources (70 %) et la hiérarchisation (60 %).
- 71 % des répondants ont indiqué que moins d’un quart des fonctions de sécurité attribuées étaient des débutants, 46 % d’entre eux déclarant ne pas prévoir d’embaucher des débutants en 2023.
« Une histoire mise en évidence dans notre rapport sur la vision de la sécurité offensive est que la hiérarchisation des vulnérabilités est essentielle », a déclaré Vinay Anand, CPO chez NetSPI.
« La vérité est que nous ne pouvons pas corriger toutes les vulnérabilités trouvées, mais si la hiérarchisation et l’assistance continuent de faire défaut, l’industrie de la sécurité ne sera pas à la hauteur. Cette prise de conscience, associée à l’industrie qui connaît des taux d’épuisement croissants parmi les groupes de développeurs , doivent évoquer un sentiment de sérieux. Nos conclusions peuvent aider les dirigeants à comprendre l’intensité du scénario pour donner la priorité à la gestion des vulnérabilités », a poursuivi Anand.
« Ce rapport montre très clairement qu’il reste encore beaucoup à faire fait pour soutenir et permettre à l’industrie d’améliorer la gestion des vulnérabilités », a déclaré Cody Chamberlain, responsable de l’article chez NetSPI.
« Nous espérons que les observations et les recommandations exploitables de notre premier rapport sur la vision de la sécurité offensive constituent un excellent point de départ basé sur les données pour que les équipes de sécurité renforcent leur sécurité », a conclu Chamberlain.
Toute l’actualité en temps réel, est sur L’Entrepreneur
