Enregistrez-vous sur www.info-utiles.fr    Connexion
    
Menu principal
Navigation dans les sujets
Arlo



www.arlo.com/fr/

Arlo

Sécurité : Qualys, résultats de l’étude « Laws of Vulnerabilities 2.0 »
Posté par JerryG le 29/4/2009 15:00:00 Articles du même auteur

Une nouvelle étude de la plus importante compilation de données de vulnérabilités collectées en conditions réelles révèle les tendances par marché vertical concernant la durée de vie moyenne, la prévalence, la persistance et l’exploitation des vulnérabilités

Wolfgang Kandek, directeur technique de Qualys, Inc., le principal fournisseur de solutions à la demande pour la gestion des risques de sécurité informatique et de la conformité, dévoile son étude « Laws of Vulnerabilities 2.0 » et s’appuie sur la plus importante compilation de données de vulnérabilités disponible.

L’étude Laws 2.0 indique les tendances en matière de durée de vie moyenne, de prévalence, de persistance et d’exploitation des vulnérabilités pour les 5 marchés critiques que sont les secteurs de la finance, de la santé, de la vente au détail, de la production et des services.

Tirées de l’analyse statistique de plus de 680 millions de vulnérabilités, parmi lesquelles 72 millions sont critiques, ces tendances s’appuient sur 80 millions de scans réseaux réalisés en 2008.

 



Méthodologie de l’étude « Laws of Vulnerabilities 2.0 »

Les conclusions tirées de cette étude sont :

1. Durée de vie moyenne — La durée de vie moyenne des vulnérabilités critiques est restée de 30 jours pour tous les marchés concernés. Si l’on prend chaque marché pris séparément, l’industrie des services connaît la durée de vie moyenne la plus courte, avec 21 jours.

Le secteur financier se classe en seconde place, avec 23 jours, le marché de la vente au détail en troisième position, avec 24 jours et le secteur de la production est en dernière place avec un cycle de vie moyen de 51 jours pour une vulnérabilité.

2. Prévalence — 60% des vulnérabilités les plus répandues et les plus critiques sont remplacées par de nouvelles vulnérabilités chaque année. Ce nombre a augmenté par rapport à l’étude Laws de 2004 où il était de 50%. D’après l’étude Laws 2.0, les principales solutions pointées du doigt sont Microsoft Office, Windows 2003 SP2, Adobe Acrobat et le Plug-in Java de Sun.

3. Persistance — L’étude Laws 2.0 signale que la durée de vie de la plupart, sinon de toutes les vulnérabilités, est illimitée, un pourcentage important de vulnérabilités n’étant jamais totalement résolues. Cette tendance a été illustrée par des échantillons de données de MS08-001, MS08-007, MS08-015 et MS08-021.

4. Exploitation — 80% des attaques de vulnérabilités se produisent désormais dans les 10 jours qui suivent la publication de la vulnérabilité. En 2008, l’entité Qualys Labs avait consigné 56 vulnérabilités avec des attaques à zéro jour (Zero Day), dont la vulnérabilité RPC qui a engendré Conficker. En 2009, la première vulnérabilité signalée par Microsoft, MS09-001, a été victime d’une attaque dans les 7 jours qui ont suivi.

 

 

Le Patch Tuesday d’avril de Microsoft mentionnait des attaques connues pour plus de 47% des vulnérabilités publiées. C’est cette tendance qui a le plus évolué depuis l’étude Laws 1.0 de 2004, qui signalait alors un laps de temps indicatif confortable de 60 jours.

« Il est de plus en plus difficile d’assurer la sécurité en raison de l’extrême sophistication des attaques et de la fenêtre d’exposition désormais ramenée à quelques jours seulement pour les vulnérabilités les plus critiques », déclare Wolfgang Kandek, directeur technique de Qualys et auteur de l’étude « Laws of Vulnerabilities 2.0 ».

« L’objectif de cette étude est d’aider les entreprises des différents secteurs d’activités à comprendre les tendances plus vastes, les dommages potentiels ainsi que les priorités en matière de vulnérabilités. Elles pourront ainsi prendre des décisions plus efficaces et immédiates pour protéger leurs réseaux. Grâce aux résultats générés par une étude comme « Laws of Vulnerabilities 2.0 », nous pouvons fournir, en temps réel, aux marchés, une approche statistique des tendances de ces menaces. »

Méthodologie de recherche pour l’étude « Laws of Vulnerabilities 2.0 »

Cette étude s’appuie sur une compilation anonyme qui ne permet pas d’identifier un quelconque client, adresse IP ou réseau. Les données sont collectées via l’infrastructure d’analyse QualysGuard qui effectue plus de 200 millions d’audits d’adresses IP chaque année.

De simples compteurs sont activés pendant l’analyse des réseaux des clients et les données collectées sont ensuite synthétisées puis consignées quotidiennement à des fins d’analyse et d’étude.

Les résultats complets de cette étude

Note: 0.00 (0 votes) - Noter cet article -




Autres articles
18/3/2024 15:00:00 - Sécuriser le cloud hybride : mission impossible ?
18/3/2024 14:00:00 - Attaques par déni de service distribué
18/3/2024 13:00:00 - Cinq applications pratiques de l'IA pour l'automatisation
15/3/2024 15:00:00 - Saviorless annonce sa date de sortie.
15/3/2024 14:00:00 - La France fait face à une nouvelle cyberattaque
15/3/2024 13:00:00 - L'IA; menace pour l’élection présidentielle de 2024
13/3/2024 15:00:00 - Ark of Charon sortira en 2024 sur Steam
13/3/2024 14:00:00 - Unicorn Overlord sur consoles
13/3/2024 13:00:00 - Quand les IA prendront le contrôle de nos vies
11/3/2024 15:00:00 - Le monde du Cloud et des datacenters aux enfants

Les commentaires appartiennent à leurs auteurs. Nous ne sommes pas responsables de leur contenu.



Facebook
facebook
Bitdefender
Bitdefender
Pocketalk



europe.pocketalk.net/fr

Pocketalk
Arlo



www.arlo.com/fr/

Arlo





© 2008 info-utiles.fr - Tous droits réservés  |  hébergé par www.iloclic.com   - règles de confidentialité