DataSunrise Obtient le Statut Compétence DevOps AWS dans AWS DevSecOps et Surveillance, Journalisation, Performance

Ce site Web stocke des cookies afin de collecter des informations sur la manière dont vous interagissez avec notre site Web. Pour en savoir plus, visitez notre Politique de Confidentialité.

Bases de Données de Vulnérabilités. Du Collecte au Travail

Bases de Données de Vulnérabilités. Du Collecte au Travail

Chaque fois que nous parlons de vulnérabilités, nous pouvons entendre parler de différentes bases de données où nous pouvons les trouver. Il existe de nombreuses bases de données de vulnérabilités différentes, mais laquelle a été la première ? Et comment les vulnérabilités apparaissent-elles dans ces bases de données ? Dans cet article, nous essaierons de le découvrir.

Qu’est-ce qu’une Base de Données de Vulnérabilités ?

Une base de données de vulnérabilités est un outil qui permet d’accéder aux informations sur les vulnérabilités connues. Les experts collectent, vérifient et partagent des informations avec une grande communauté pour améliorer les connaissances en cybersécurité. Les bases de données de vulnérabilités aident les organisations à suivre et corriger les vulnérabilités dans leurs systèmes. Les scanners de vulnérabilités sont réalisés sur la base des bases de données de vulnérabilités. Un scanner de vulnérabilités est un outil de test automatisé qui recherche des vulnérabilités et des défauts dans le système. Les scanners sont entièrement automatisés et ne recherchent que les vulnérabilités et signalent les expositions potentielles. Après cela, un test de pénétration a lieu. Vous devez distinguer ces deux outils, autant qu’ils sont connectés, mais pas les mêmes.

Les bases de données couvrent une variété de vulnérabilités. Elles diffèrent les unes des autres selon leur objectif. Les vulnérabilités incluent :

  • Matériel – mauvais chiffrement, dégradation des composants et vulnérabilités du firmware.
  • Logiciel – problèmes d’interface utilisateur, défauts de synchronisation, bugs de confusion de privilèges, bugs d’affectation de mémoire et bugs de conception.
  • Réseau – architectures non sécurisées, authentification insuffisante et accès non contrôlé.

Comment Fonctionne une Base de Données de Vulnérabilités ?

La première étape de la collecte des vulnérabilités est de les signaler. Les rapports peuvent provenir de différentes sources, des développeurs aux utilisateurs. Il y a une période d’attente pour chaque vulnérabilité signalée. Elle dure de 30 à 90 jours avant que l’information ne devienne publique. Cette période d’attente est nécessaire aux développeurs pour créer et publier des correctifs. De plus, pendant cette période, les clients peuvent installer ces correctifs pour se protéger, même avant une notification publique. Cela dépend des politiques de notification et des produits. Après l’émission du correctif, la vulnérabilité devient publique pour toute la communauté avec ses spécificités.

Comment les Vulnérabilités Sont-elles Notées?

Une des listes de vulnérabilités les plus populaires est CVE par MITRE, une organisation à but non lucratif, parrainée par le gouvernement. Le système a été établi en septembre 1999. Cette organisation a créé une classification pour les vulnérabilités. Ce système est un CVSS – le Système Commun de Notation des Vulnérabilités. Une fois une vulnérabilité découverte, elle est listée dans le CVE mais sans aucun détail. Après la période d’attente, les détails seront mis à jour dans le CVE.

Identifiants CVE

Les identifiants ont été créés pour simplifier l’utilisation et la compréhension des vulnérabilités pour les personnes du monde entier. Étant donné que chaque système avait ses propres bases de données et identifiants, il était trop difficile d’identifier une même vulnérabilité. Depuis, chaque vulnérabilité possède son identification, sa référence et sa description :

  • ID CVE contient l’année où une vulnérabilité a été recherchée et le numéro.
  • Référence contient des liens vers des correctifs, des documents avec des recommandations et des commentaires de développeurs.
  • Description contient la définition de la vulnérabilité.

Bases de Données de Vulnérabilités Populaires

  • NVD (National Vulnerability Database)

    La NVD a été établie en 2005 par le gouvernement des États-Unis. C’est la principale base de données lorsqu’on parle de bases de données de vulnérabilités open source. La NVD ne publie pas de vulnérabilités, mais analyse les CVE de la liste MITRE. Cette analyse consiste en une notation CVSS, des liens vers les correctifs disponibles, des informations sur le fonctionnement de la vulnérabilité et son évaluation de l’impact. Tous ces éléments vous aideront à comprendre et à hiérarchiser la correction des vulnérabilités que vous avez.

  • OSVDB (Open Source Vulnerability Database)

    L’OSVDB a été créé en 2004 par Jake Kouns, le fondateur de Risk Based Security – l’entreprise qui exploite une version commerciale de l’OSVDB – le VulnDB. L’objectif de l’OSVDB était de fournir des informations détaillées sur les vulnérabilités de sécurité à des fins non commerciales. Cependant, certaines entreprises ont utilisé cette base de données à des fins commerciales sans payer. Après cela, l’OSVDB a été fermé en avril 2016. En 2011, Risk Based Security a commencé une version commerciale, nommée VulnDB. Cette base de données contient plus de 140 000 entrées. Ces entrées incluent des informations sur les fournisseurs concernés, le type de vulnérabilité, la classification et les informations d’identification. De plus, de nombreuses entrées contiennent des renseignements sur les menaces et des informations sur les mesures de contre-ingérence.

Sources Supplémentaires

Outre les bases de données de vulnérabilités, vous pouvez également utiliser des bulletins de sécurité. Il s’agit d’une source qui vous aide à connaître les vulnérabilités de sécurité, les stratégies de correction et les mises à jour logicielles. Certaines entreprises informatiques ont leurs propres bulletins de sécurité, par exemple, IBM, Microsoft, etc. En raison des informations sensibles contenues dans les bulletins, celles-ci ne contiennent pas d’informations détaillées sur l’exploitation des vulnérabilités. Les bulletins de sécurité informent les clients des vulnérabilités. Les clients sont responsables de vérifier les dommages réels ou potentiels des vulnérabilités.

De plus, il existe des agences et services qui fournissent des informations sur les vulnérabilités. Par exemple, CIS Benchmarks développé grâce aux efforts bénévoles des experts en TI, des fournisseurs et des développeurs de CIS Benchmarks. Dans notre Évaluation de la Vulnérabilité des Bases de Données, nous utilisons les directives de CIS Benchmarks et DISA STIGS pour identifier et atténuer les vulnérabilités de sécurité et établir une configuration sécurisée.

Il existe de nombreuses bases de données de vulnérabilités que vous pouvez utiliser pour protéger votre système. Les bases de données de vulnérabilités deviennent la base des scanners de vulnérabilités, grâce auxquels vous pouvez automatiser le processus de recherche des vulnérabilités. N’oubliez pas de tenir compte des vulnérabilités présentes dans vos systèmes pour protéger vos données sensibles et votre réputation.

Suivant

Vulnérabilités de sécurité. Pourquoi avons-nous besoin de la gestion et de l’évaluation des vulnérabilités ?

Vulnérabilités de sécurité. Pourquoi avons-nous besoin de la gestion et de l’évaluation des vulnérabilités ?

En savoir plus

Besoin de l'aide de notre équipe de support ?

Nos experts seront ravis de répondre à vos questions.

Informations générales :
[email protected]
Ventes :
[email protected]
Service clientèle et support technique :
support.datasunrise.com
Demandes de partenariat et d'alliance :
[email protected]