Les Lois de vulnérabilités 2.0

Wolfgang Kandek, CTO de Qualys, Le principal fournisseur de la Sécurité à la demande et des solutions de gestion de conformité et de risques, a dévoilé les Nouvelles lois de vulnérabilités de l’industrie provenant de la plus grande Bases de données de vulnérabilités. Les lois de vulnérabilité 2.0 révèle la demi-vie, la prévalence, la persistance des tendances et l’exploitation de cinq segments de l’industrie qui sont : finances, santé, commerce de détail, la fabrication et les services.

laws_vulnerability

Ces tendances ont été tirées d’une analyse statistique de plus de 680 millions vulnérabilités, dont 72 millions  vulnérabilités critiques, généré par 80 millions de  scans en 2008.

Lois de vulnérabilités 2.0 : Déclarations

  • Half-Life ou Demi-vie : La demi-vie de vulnérabilités (durée entre la publication de la vulnérabilité et l’application du patch )critiques est restée à 30 jours dans toutes les industries. En comparant les industries, l’industrie des services a la plus courte demi-vie de 21 jours, des Finances vient en deuxième place avec 23 jours celle du détail occupe le troisième rang avec 24 jours et la fabrication au dernier rang avec une demi-vie de vulnérabilité de 51 jours.
  • Prévalence : Soixante pour cent des vulnérabilités critiques les plus répandus sont remplacées par de nouvelles vulnérabilités sur une base annuelle. Ce nombre a augmenté par rapport à 2004 de 50 pour cent. Le top des logiciels selon les lois sont MSFT Office 2.0, Windows 2003 SP2, Adobe Acrobat et Sun Java Plug-in.
  • Persistance 2.0-La loi a déclaré que la durée de vie de la plupart sinon la totalité des vulnérabilités est illimitée et un grand pourcentage de vulnérabilités n’est jamais complètement fixé. Cette loi a été illustrée avec des données des échantillons de MS08-001, MS08-007, MS08-015 et MS08-021.
  • Exploitation – Quatre-vingt pour cent des exploits de vulnérabilité sont maintenant disponibles après 1 à 9 jours de la divulgation de vulnérabilité au public. En 2008, Qualys Labs à identifie 56 exploits de failles zéro-jour, y compris la vulnérabilité RPC qui produisait Conficker. En 2009, la première vulnérabilité publiée par Microsoft, MS09-001 avait un exploit disponible dans un délai de sept jours.

Lois de vulnérabilités 2.0 :Méthodologie de recherche

La Loi est dérivé d’une base de données anonyme qui ne permet pas de retrouver l’adresse IP ou le réseau du client. Les données sont collectées par le biais du scanner QualysGuard qui effectue plus de 200 millions audits d’infrastructures IP par an. Des compteurs Simples sont conservés pendant le balayage des réseaux des clients et les données recueillies sont ensuite résumées tous les jours pour cette recherche.

Les lois et les conclusions sont publiées intégralement à l’adresse suivante: : http://laws.qualys.com.

La présentation de Qualys à la conférence RSA 2009 (PDF): http://www.qualys.com/docs/Laws_2.0.pdf

Articles similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *