La Valeur Ajoutée d etrust Vulnerability Manager Résultats d une étude indépendante

Transcription

1 Livre blanc La Valeur Ajoutée d etrust Vulnerability Manager Résultats d une étude indépendante Susan Read-Miller Février 2004

2 SOMMAIRE Pourquoi gérer les vulnérabilités?... 3 Qu est-ce que la gestion des vulnérabilités?... 3 etrust Vulnerability Manager Identifiez vos ressources, gérez votre risque... 4 Objet de cette étude... 4 Description de l étude... 5 Résultats de l étude... 5 Gains de temps... 5 Evaluation du risque... 6 Correctifs et configurations... 7 Correction... 8 Evaluation de l historique des tâches... 8 Conformité SANS... 9 Résumé... 9 Conclusion

3 Pourquoi gérer les vulnérabilités? D après Gartner Research, «Jusqu en 2008, 90 % des attaques réussies des pirates informatiques exploiteront des vulnérabilités logicielles bien connues» 1. Rien qu en 2003, les professionnels de l informatique ont connu un nombre record d incidents liés à la sécurité consécutivement à des attaques portées sur des systèmes vulnérables, notamment avec les vers SQLSlammer, Blaster, Sobig.F et Nachi. D après le centre de coordination du CERT (CERT/CC), le nombre d incidents liés à la sécurité signalés au cours des trois premiers trimestres de 2003 ( ) était déjà en hausse de 40 % par rapport au nombre total d incidents signalés sur l ensemble de l année 2002 (82 094). Les incidents liés à la sécurité en 2003 et les interruptions de services démontrent indubitablement que le nombre de virus et de vers qui exploitent et interrompent des systèmes vulnérables continue à augmenter. Pour protéger les systèmes d une entreprise contre des actes malveillants, les départements en charge de l informatique et de la sécurité doivent pallier ces vulnérabilités en appliquant des correctifs et/ou en effectuant des changements de configuration afin de combler les «trous» de sécurité avant que les systèmes ne soient attaqués. Les vers qui sont devenus le pire cauchemar de la sécurité informatique en 2003 ont attaqué des systèmes vulnérables pour lesquels aucun correctif n avait été appliqué ou qui n étaient pas correctement configurés. Dans la plupart des cas, des correctifs système et des solutions palliatives étaient disponibles auprès des éditeurs de logiciels pour corriger ces vulnérabilités avant le lancement des virus et des vers par des utilisateurs malveillants. Par exemple, la vulnérabilité exploitée par le ver SQLSlammer pouvait être éliminée dès le 24 juillet 2002 en appliquant le correctif publié par l éditeur. Ce ver a commencé à s attaquer aux machines le 28 janvier Les entreprises disposaient donc d un délai de six mois pour appliquer le correctif avant que le ver ne commence à s attaquer aux systèmes vulnérables. Malheureusement, soit les administrateurs système ignoraient l existence de ce correctif, soit ils ne connaissaient pas toutes les ressources de l entreprise qui exécutaient SQLServer et ont par la suite été victimes de cette vulnérabilité, à moins peut-être qu ils n aient sousestimé le risque potentiel que cette vulnérabilité faisait courir à l entreprise. En fait, l administration des ressources informatiques et réseau est si complexe que la gestion des vulnérabilités devient une tâche dantesque. La mise en œuvre d un processus efficace de gestion des vulnérabilités peut s avérer difficile et longue, sans parler des investissements souvent requis dans plusieurs outils et experts. Aujourd hui, les professionnels de la sécurité s acharnent à utiliser un ensemble d outils indépendants et hétérogènes, tels que des logiciels d évaluation des ressources, des scanners de vulnérabilité, des systèmes de détection des intrusions, etc. La principale difficulté ne réside plus dans la gestion des vulnérabilités, mais dans la gestion de ces outils. Pour se protéger efficacement contre les attaques, les entreprises doivent identifier et corriger les vulnérabilités de leurs systèmes avant qu elles ne soient exploitées. Les administrateurs système doivent gérer proactivement les correctifs et les configurations afin d écarter toute menace et de protéger les ressources stratégiques de l entreprise. Cela commence par la mise en œuvre d une solution unifiée et complète de gestion des vulnérabilités. Qu est-ce que la gestion des vulnérabilités? La gestion des vulnérabilités vise le cycle de vie complet allant de l identification des problèmes de configuration système et des défauts de conception critiques des logiciels susceptibles de permettre à un utilisateur malveillant de détourner les 3

4 technologies de leur utilisation et d affecter vos systèmes stratégiques, jusqu à la correction de ces failles de la sécurité. La gestion du cycle complet des vulnérabilités suppose : ID identifier les ressources informatiques de votre réseau, De recenser les technologies ou les logiciels appliqués à ces ressources, De déterminer quels correctifs et configurations système ont déjà été appliqués, De rechercher, valider et collecter les vulnérabilités des technologies ou logiciels implémentés sur vos systèmes, De déterminer le niveau de risque des vulnérabilités décelées, D établir quelles vulnérabilités affectent quelles ressources, De hiérarchiser les menaces afin de dresser une liste des tâches pour y remédier, De définir et planifier les méthodes de correction pour chaque ressource, De déployer la correction des vulnérabilités, De documenter l application de la correction des vulnérabilités à une ressource, D actualiser l inventaire des technologies, des correctifs et des configurations de la ressource, De mesurer les progrès du processus de gestion des vulnérabilités afin de contrôler que l exposition au risque de votre entreprise est en baisse. Ce cycle est un processus ponctuel, mensuel ou trimestriel. Il fait malheureusement partie de la gestion continue de la politique de sécurité de l entreprise et doit être continuellement lancé et évalué. La complexité de la gestion de toutes ces tâches est accentuée par l ajout constant de ressources informatiques au réseau de l entreprise et de nouveaux logiciels sur les serveurs et les postes de travail des employés, ainsi que par les changements de règles de configuration système et les exigences d audit réglementaire. Afin de protéger proactivement une entreprise contre les menaces qui pèsent sur sa sécurité, toutes les étapes du processus de gestion des vulnérabilités doivent fonctionner efficacement. Pour y parvenir, les entreprises doivent automatiser autant d étapes que possible afin d atténuer le risque d interruption de service pour les systèmes stratégiques. L automatisation de ce processus complexe est essentielle à une gestion efficace du risque et soulage un personnel informatique surchargé en lui fournissant les outils nécessaires pour accomplir efficacement cette tâche. etrust Vulnerability Manager Identifiez vos ressources, gérez votre risque etrust Vulnerability Manager de Computer Associates International, Inc. (CA) est un boîtier (appliance) qui détecte les ressources, identifie les vulnérabilités, fournit des instructions détaillées sur la correction et vérifie la conformité, ce qui permet de réduire considérablement les risques et de protéger proactivement votre entreprise. etrust Vulnerability Manager vous aide à déterminer quelles vulnérabilités affectent quelles ressources en effectuant des inventaires de technologies en temps réel et en les corrélant avec des vulnérabilités validées, dans une liste de tâches hiérarchisées en fonction du risque complétée d instructions de corrections. Toutes ces étapes étant réalisées automatiquement, vous disposez instantanément d une évaluation du risque auquel les systèmes stratégiques de l entreprise sont exposés. En outre, etrust Vulnerability Manager fournit des informations en temps réel sur des ressources stratégiques spécifiques afin de vous aider à : Réduire le coût et la complexité inhérents à la gestion des vulnérabilités. etrust Vulnerability Manager est une simple appliance qui fournit les outils et les connaissances nécessaires pour gérer les vulnérabilités. Maintenir les vulnérabilités à jour et validées. Les professionnels de la sécurité dédiés de l équipe de R&D de CA recherchent, testent et valident les vulnérabilités, puis fournissent un indice de risque et des instructions sur la correction. Gérer le risque. Une technologie propriétaire dresse automatiquement une liste de tâches hiérarchisées en fonction du risque à partir d un moteur intelligent de corrélation ressource/vulnérabilité. Cela contribue à lever les incertitudes qui existent souvent lorsqu il s agit de déterminer si des vulnérabilités affectent les ressources et à établir des standards cohérents au sein de l entreprise. Evaluer la politique de sécurité. etrust Vulnerability Manager suit le statut des tâches à mesure que les utilisateurs les accomplissent. Il indique en continu la progression de chaque vulnérabilité, ainsi que le risque global auquel les ressources sont exposées. En outre, ses rapports prédéfinis permettent aux gestionnaires d'évaluer à tout moment l état de leur politique de sécurité. 4

5 Les solutions etrust Security Management vous aident à mettre en oeuvre toutes les phases du processus de gestion des vulnérabilités en : Sachant quelles ressources se trouvent sur votre réseau, Sachant quelles technologies, et leur niveau de correctifs, sont mises en oeuvre sur ces ressources, Connaissant l exposition aux risques de vos ressources, Evaluant le risque de chaque menace, Connaissant les actions à prendre pour pallier la menace, Mesurant le statut et la progression. Objet de cette étude D après SC Magazine, le principal défi pour les entreprises en 2003 concernait l'application de correctifs aux systèmes. «Ce processus devient fastidieux pour beaucoup d utilisateurs, car chaque vulnérabilité et correctif doit être traité, même si cela suppose d enlever des ressources à d autres projets.» 2 L application de correctifs et la configuration des systèmes pour qu ils gèrent les vulnérabilités et pallient le risque sont des processus laborieux et onéreux. CA a coopéré avec une société de conseil en informatique tierce afin de comparer la valeur ajoutée d etrust Vulnerability Manager par rapport à celle de solutions manuelles ou ponctuelles dans le cadre de la sécurisation des ressources de l entreprise. L objectif de cette étude était d obtenir des mesures quantifiables comparant les méthodes automatisées de gestion des vulnérabilités via etrust Vulnerability Manager aux méthodes manuelles actuellement utilisées sur le marché. Voici les résultats de cette étude : Gain de temps dans la recherche et la validation des vulnérabilités Gain de temps dans la correction des vulnérabilités Comparaison des vulnérabilités traitées Comparaison de l exposition globale au risque Comparaison de l évaluation du risque des vulnérabilités individuelles Comparaison des expositions au risque en fonction de l expérience de l administrateur système Comparaison de la cohérence des méthodes de correction des vulnérabilités Les résultats quantitatifs fournis par cette étude concernant les économies directes ne représentent qu une partie de la valeur ajoutée et des fonctionnalités offertes par etrust Vulnerability Manager. Les économies indirectes, telles que la perte de revenu due à l immobilisation des systèmes, la perte de clientèle, la détérioration de l image de marque, la perte de propriété intellectuelle, le détournement de fonds et le remplacement du personnel, n ont pas été couverts par cette étude. L utilisation d etrust Vulnerability Manager pour gérer proactivement les vulnérabilités permet de réaliser des économies indirectes supplémentaires, car l entreprise commence à passer moins de temps à réagir aux incidents liés à la sécurité. Les découvertes empiriques de cette étude sont décrites dans les résultats ci-après. Description de l étude CA a demandé à une société de conseil en informatique tierce de lui fournir quatre professionnels : deux administrateurs système senior et deux administrateurs système junior. Les administrateurs système senior justifiaient de plus de cinq années d expérience dans la gestion et la sécurisation de systèmes UNIX et Windows, tandis que les administrateurs système junior totalisaient une à deux années d expérience dans la gestion et la sécurisation de systèmes UNIX et Windows. Durant cette étude, il a été demandé à chaque administrateur système de sécuriser deux systèmes : l un sous Windows, l autre sous UNIX. Deux des administrateurs devaient sécuriser ces deux environnements en utilisant des outils disponibles gratuitement sur Internet. Les deux autres devaient sécuriser ces deux environnements avec etrust Vulnerability Manager de CA. Il a été demandé aux deux administrateurs qui sécurisaient des ressources en utilisant des outils Internet de fournir la documentation suivante durant l étude : Journal d activité documentant chaque activité et la durée nécessaire pour accomplir chaque tâche Documentation du processus de validation des vulnérabilités expliquant le mode de validation de chaque vulnérabilité Documentation des critères d évaluation du risque des vulnérabilités expliquant le mode d évaluation du risque de chaque vulnérabilité Documentation de la recherche de vulnérabilités comprenant : le serveur et la technologie applicables ; le nom, la description et la source de la vulnérabilité ; l indice de risque ; la recommandation et le statut de la correction technique 5

6 Documentation de la correction de la vulnérabilité expliquant le mode de correction de la vulnérabilité et tout écart par rapport à la recommandation technique Les deux administrateurs système qui sécurisaient des ressources avec etrust Vulnerability Manager ont reçu une formation de 30 minutes sur l utilisation de l appliance de CA. Il leur a également été demandé de fournir les éléments suivants durant l étude : Journal d activité documentant chaque activité et la durée nécessaire pour accomplir chaque tâche Statut de la vulnérabilité dans etrust Vulnerability Manager (les correctifs et leur statut étaient automatiquement détectés par etrust Vulnerability Manager Service) Notes dans etrust Vulnerability Manager décrivant les étapes suivies pour corriger la vulnérabilité La recherche et la validation des vulnérabilités étaient fournies par la base de connaissances d etrust Vulnerability Manager. Résultats de l étude Des statistiques quantifiables ont été enregistrées par les administrateurs système et etrust Vulnerability Manager durant l étude. Ces statistiques ont permis d établir les observations suivantes : Gain de temps En utilisant etrust Vulnerability Manager, un administrateur peut sécuriser une ressource 3 à 4 fois plus rapidement qu en employant les méthodes de recherche, de validation et de correction proposées sur Internet. En moyenne, les administrateurs système ont gagné 26 heures et 7 minutes en gérant les vulnérabilités avec etrust Vulnerability Manager. Les diagrammes ci-dessous montrent le temps moyen requis pour sécuriser les ressources à l aide des deux méthodes. Ils montrent également la répartition de ces temps entre les administrateurs senior et junior. Notez qu en utilisant etrust Vulnerability Manager, l administrateur junior moins expérimenté a sécurisé sa machine en 25 minutes de moins que l administrateur senior expérimenté. Le temps moyen requis pour sécuriser une ressource sous Windows à l aide des méthodes de recherche Internet était de 17 heures et 57 minutes, contre 5 heures et 7 minutes avec etrust Vulnerability Manager. etrust Vulnerability Manager fait gagner à un administrateur système près de 13 heures pour chaque système Windows sécurisé. En outre, le temps moyen requis pour sécuriser un système UNIX à l aide des méthodes de recherche Internet était de 21 heures et 37 minutes, contre 5 heures et 50 minutes en utilisant etrust Vulnerability Manager. etrust Vulnerability Manager fait gagner à un administrateur système près de 16 heures pour chaque système UNIX sécurisé. Mettons ces chiffres en perspective. Supposons que votre entreprise doive gérer et sécuriser ressources afin de bénéficier d une protection efficace contre les risques. En moyenne, les administrateurs système passent 12 heures et 48 minutes de moins à rechercher les vulnérabilités d une ressource sous Windows ou UNIX avec etrust Vulnerability Manager ressources x 12 heures et 48 minutes = heures/homme ou 435 jours/homme ou 1,5 années/homme Comme nous l avons vu ci-dessus, etrust Vulnerability Manager peut faire gagner à votre entreprise approximativement 1,5 année-homme pour ressources rien qu en temps de recherche, par rapport à l utilisation de méthodes de recherche Internet. En moyenne, un administrateur système consacre 76 % de son temps à déterminer les processus de vulnérabilité et à rechercher des vulnérabilités en utilisant des outils de recherche Internet. Pour les administrateurs système qui ont utilisé etrust Vulnerability Manager, les tâches de définition des pratiques de gestion des vulnérabilités et de recherche et validation des vulnérabilités ont été exécutées par etrust TARGET (Threat Analysis and Response Global 6

7 Emergency Team) et automatisées par etrust Vulnerability Manager, ce qui leur a fait gagner 28 heures et 8 minutes. Le diagramme ci-dessous montre la répartition du temps des administrateurs qui ont utilisé des méthodes de recherche Internet et etrust Vulnerability Manager pour sécuriser des ressources. Evaluation du risque Les administrateurs système ont trouvé 2,4 fois plus de vulnérabilités en sécurisant leurs ressources avec etrust Vulnerability Manager qu en effectuant une recherche via Internet. Les administrateurs junior et senior ont tous trouvé un nombre incohérent de vulnérabilités avec la recherche Internet. Pour le système Windows 2000, l administrateur senior a trouvé moins de vulnérabilités que l administrateur junior, tandis que sur le système UNIX, c est l administrateur junior qui en a trouvé moins que l administrateur senior. Par contre, en utilisant etrust Vulnerability Manager, l administrateur junior moins expérimenté a obtenu le même nombre de vulnérabilités sur chaque système que l administrateur expérimenté. Les administrateurs système qui ont employé des méthodes de recherche Internet ont systématiquement classifié les vulnérabilités à un indice de risque moins élevé que celui défini par l équipe de recherche etrust et présenté avec etrust Vulnerability Manager. Les administrateurs qui n utilisaient pas etrust Vulnerability Manager ont classifié 47 % des vulnérabilités comme présentant un faible risque, tandis qu etrust Vulnerability Manager a classifié 1 % des vulnérabilités comme présentant un faible risque. Les classifications des risques fournies par les administrateurs qui ont effectué leur recherche via Internet peut mettre en danger les entreprises en classifiant ces vulnérabilités avec de faibles indices de risque. En outre, les administrateurs système qui ont employé des méthodes de recherche Internet ont systématiquement classifié davantage de vulnérabilités présentant un risque élevé (29 %) qu etrust Vulnerability Manager (14 %). Ces données montrent clairement que les administrateurs qui emploient des méthodes de recherche Internet consacrent trop de temps aux vulnérabilités non critiques et pas assez aux vulnérabilités critiques pour l ensemble des ressources. Cette hypothèse repose sur les données montrant que les administrateurs qui emploient des méthodes de recherche Internet ne notent pas les risques de vulnérabilité de la même façon selon leur expérience et leur expertise technologique. etrust TARGET utilise un système de notation standard qui fournit des indices de risque cohérents, ainsi qu un processus complet de validation des vulnérabilités et des risques. Les administrateurs système junior et senior qui effectuent des recherches via Internet ne classifient pas systématiquement le risque des vulnérabilités trouvées. Le graphique ci-dessus montre que le nombre de vulnérabilités trouvées 7

8 par les administrateurs junior et senior qui utilisent des ressources de recherche Internet varie considérablement lorsqu il est réparti par type de risque (élevé, modéré, faible). Par exemple, l administrateur système junior a trouvé que 52 % des vulnérabilités de Windows 2000 présentaient un risque élevé, tandis que l administrateur senior a établi que 12 % des vulnérabilités de Windows 2000 présentaient un risque élevé. En employant des méthodes de recherche Internet, les indices de risque sont laissés à la discrétion de chaque administrateur système. Chaque administrateur n ayant pas la même expérience technologique, l indice de risque de la vulnérabilité peut différer en fonction de l interprétation de la vulnérabilité par l administrateur. Par conséquent, l évaluation du risque des vulnérabilités varie considérablement et n est pas cohérente lorsque des méthodes de recherche Internet sont employées. Par contre, etrust TARGET fournit un indice de risque cohérent fondé sur des pratiques et des mesures standard appliquées à l ensemble des vulnérabilités transmises à etrust Vulnerability Manager. La fourniture d indices de risque cohérents pour l ensemble des vulnérabilités permet aux administrateurs de se concentrer systématiquement sur les vulnérabilités critiques ou présentant un risque élevé pour une ressource du réseau, quelle que soit leur expérience technologique. Les entreprises qui emploient des méthodes de recherche Internet ne disposent pas d un mécanisme automatisé de quantification de leur exposition globale au risque leur permettant de satisfaire leurs impératifs de conformité ou leurs besoins de mesurer la continuité des opérations. Par contre, les utilisateurs d etrust Vulnerability Manager disposent de plusieurs mécanismes de reporting qui leur permettent de mesurer le nombre d'expositions à des risques élevés à traiter immédiatement pour chaque ressource. En outre, les utilisateurs d etrust Vulnerability Manager peuvent afficher les indices de risque global de leurs systèmes. Correctifs et configurations Il est possible de corriger les vulnérabilités à l aide d un correctif fourni par un éditeur, d une configuration système ou d une solution palliative. Les solutions palliatives peuvent nécessiter des changements de configuration système ou une modification de la configuration des autres périphériques réseau de l entreprise, par exemple en fermant des ports sur le pare-feu. D après les données de recherche d etrust Vulnerability Manager, 63 % des vulnérabilités sont corrigées par un correctif et 37 % le sont par un changement de configuration système. Les administrateurs système qui ont employé des méthodes de recherche Internet tendent à privilégier les correctifs plutôt que les configurations système pour sécuriser la ressource. Cela expose vos systèmes à un risque. Les administrateurs qui ont utilisé etrust Vulnerability Manager ont systématiquement trouvé le même nombre de vulnérabilités corrigées par des correctifs et des configurations, indépendamment de leur expérience. Les administrateurs qui ont employé des méthodes de recherche Internet ont trouvé moins de vulnérabilités corrigées par des configurations système. 8

9 correctifs ou des configurations système pour les ressources Windows et UNIX. De plus, les indices de risque de toutes les vulnérabilités trouvées étaient cohérents. Il existe très peu de cohérence pour les administrateurs qui ont sécurisé leurs ressources en employant des méthodes de recherche Internet. L administrateur senior s est concentré sur les vulnérabilités corrigées par des correctifs. Cependant, l administrateur junior a trouvé et corrigé davantage de vulnérabilités par des changements de configuration système. L administrateur junior a jugé que les vulnérabilités corrigées par des correctifs présentaient un niveau de risque élevé pour le système d exploitation Windows. Par contre, ce même administrateur junior a estimé que la plupart des vulnérabilités corrigées par des correctifs présentaient un faible niveau de risque pour les ressources sous UNIX et que très peu d entre elles présentaient un risque élevé. D une manière générale, l administrateur junior a minoré le risque des vulnérabilités corrigées par une configuration système par rapport à l administrateur senior. Globalement, il n existe aucune cohérence dans l identification des vulnérabilités corrigées par des correctifs ou des configurations système lorsque les vulnérabilités sont recherchées à l aide de méthodes de recherches Internet. En outre, il n existe aucune cohérence dans la manière dont les administrateurs évaluent les indices de risque des vulnérabilités corrigées par des correctifs ou des configurations système. Par contre, les administrateurs qui ont utilisé etrust Vulnerability Manager ont identifié le même nombre de vulnérabilités corrigées par des Correction Comme indiqué précédemment, différentes méthodes existent pour corriger la vulnérabilité d une ressource. En outre, l administrateur peut : Choisir d accepter le risque de cette vulnérabilité, Pallier le risque en employant un certain type de contre-mesure, Etablir que le risque s applique étant donné la configuration ou l emplacement physique de la ressource au sein du réseau, Mettre en œuvre la méthode de correction en se basant sur les pratiques exemplaires trouvées durant la recherche de la vulnérabilité. Le graphique ci-dessous montre la manière utilisée par chaque administrateur pour définir le statut ou pour corriger le risque de chaque vulnérabilité. Les vulnérabilités closes ont été traitées et leur statut a été défini. Les vulnérabilités ouvertes n ont pas été traitées par l administrateur. Comme illustré ci-dessus, les administrateurs qui ont utilisé etrust Vulnerability Manager ont mis en œuvre et clôturé davantage de vulnérabilités que les administrateurs qui ont effectué une recherche via Internet. De plus, la quasi-totalité des vulnérabilités trouvées au cours de la période cidessus ont été clôturées ou leur statut a été défini. En tout, 15 vulnérabilités sont restées ouvertes au terme de cette période en utilisant etrust Vulnerability Manager, contre 88 pour les administrateurs qui ont employé des méthodes de recherche Internet. Les administrateurs junior et senior ont défini de manière cohérente le statut des vulnérabilités corrigées avec etrust Vulnerability Manager. Il est également intéressant de noter que l un des administrateurs junior a accepté le risque de 2,2 fois plus de vulnérabilités que l un des administrateurs 9

10 senior. Les administrateurs qui ont employé des méthodes de recherche Internet ont donné deux fois plus souvent le statut «Ne s applique pas» aux vulnérabilités que les administrateurs qui ont utilisé etrust Vulnerability Manager. Les entreprises qui utilisent etrust Vulnerability Manager reçoivent des rapports indiquant le nombre de risques acceptés ou palliés par les administrateurs. Elles peuvent ainsi diffuser ces informations et passer en revue les vulnérabilités lorsque des incidents liés à la sécurité commencent à se produire ou avant que des auditeurs n examinent les vulnérabilités des systèmes. Les administrateurs qui ont employé des méthodes de recherche Internet pour sécuriser leurs ressources n ont documenté que très peu de raisons de pallier ou d accepter le risque des vulnérabilités et n ont fourni aucune trace d audit expliquant pourquoi le risque a été pris par l entreprise. Globalement, les administrateurs qui ont employé des méthodes de recherche Internet n ont pas défini de manière cohérente le statut des vulnérabilités corrigées. Evaluation de l historique des tâches Lorsque la recherche via Internet est utilisée comme méthode principale pour déceler et corriger les vulnérabilités, il n existe aucune trace d audit indiquant à la direction que l administrateur n évalue ou n accepte pas le risque des vulnérabilités liées à la configuration système. Par contre, etrust Vulnerability Manager offre un mécanisme permettant de définir le statut des vulnérabilités trouvées pour une ressource et génère un historique complet des tâches pour les vulnérabilités corrigées et dont le statut a été défini. Il est beaucoup plus simple pour un auditeur d examiner la politique de sécurité d une entreprise lorsque celle-ci suit les actions prises pour corriger les vulnérabilités de l ensemble de ses ressources. La simplification de ce processus d audit fait gagner beaucoup de temps et d argent aux entreprises. Conformité SANS Beaucoup d entreprises utilisent des informations telles que la liste SANS Top 20 des vulnérabilités pour mesurer leurs politiques de sécurité. L identification manuelle de ces informations est extrêmement difficile. Les administrateurs ou les auditeurs doivent examiner individuellement chaque ressource et déterminer manuellement si le correctif ou la configuration système a été appliqué. Un tel examen manuel supposerait d identifier les technologies, correctifs et configurations systèmes appliquées en les recherchant dans la liste des vulnérabilités SANS, puis en déterminant la liste d actions correspondante. Il faudrait ensuite répéter ces opérations pour toutes les ressources à examiner. etrust Vulnerability Manager fournit nativement un rapport SANS Top 20 contenant un résumé de la liste SANS Top 20 et identifiant les ressources sécurisés et non sécurisés d après le numéro d identification SANS. Résumé L étude de cas de la valeur ajoutée d etrust Vulnerability Manager fournie par un consultant indépendant a révélé plusieurs indicateurs clés : En utilisant etrust Vulnerability Manager, un administrateur a sécurisé une ressource 3,4 fois plus rapidement qu en employant les méthodes de recherche, de validation et de correction proposées par Internet. En moyenne, les administrateurs système ont mis 26 heures et 7 minutes de moins pour gérer les vulnérabilités des deux ressources sécurisées à l aide d etrust Vulnerability Manager. En moyenne, un administrateur système passe 76 % de son temps à déterminer les processus de vulnérabilité et à rechercher des vulnérabilités lorsqu il utilise des outils de recherche Internet. Les administrateurs système ont trouvé 2,4 fois plus de vulnérabilités en sécurisant leurs ressources avec etrust Vulnerability Manager qu en effectuant une recherche via Internet. 10

11 Les administrateurs système qui ont employé des méthodes de recherche Internet ont systématiquement classifié des vulnérabilités avec un indice de risque plus faible que les vulnérabilités recherchées par etrust TARGET et présentées avec etrust Vulnerability Manager. Les administrateurs système junior et senior qui ont employé des méthodes de recherche Internet n ont pas classifié de manière cohérente le risque des vulnérabilités trouvées, tandis que les administrateurs qui ont utilisé etrust Vulnerability Manager ont noté de manière cohérente les vulnérabilités pour sécuriser leurs ressources. 63 % des vulnérabilités sont corrigées par un correctif, contre 37 % par une modification de la configuration système. Les administrateurs qui ont utilisé etrust Vulnerability Manager ont systématiquement trouvé le même nombre de vulnérabilités corrigées par des correctifs et des configurations, quelle que soit leur expérience. Les administrateurs système qui ont employé des méthodes de recherche Internet tendaient à se concentrer sur la sécurisation de la ressource avec des correctifs plutôt que des configurations système. Les administrateurs qui ont utilisé etrust Vulnerability Manager ont mis en œuvre et clôturé plus de vulnérabilités que les administrateurs qui ont employé des méthodes de recherche Internet. Ces statistiques révèlent des gains de temps et d argent quantifiables pour les entreprises qui utilisent etrust Vulnerability Manager. Les personnes qui ont participé à cette étude ont également déclaré ceci : «etrust Vulnerability Manager effectue la recherche pour vous, ce qui vous laisse le temps de vous concentrer sur d autres priorités». Un administrateur système senior a ajouté ceci : «Un administrateur n ayant qu une année d expérience peut sécuriser un serveur aussi bien qu un administrateur expérimenté en utilisant etrust Vulnerability Manager». Conclusion La gestion du nombre sans cesse croissant de menaces et la réponse aux incidents liés à la sécurité ont entraîné certaines entreprises dans une véritable spirale des coûts. Gartner Research prédit que «pour un même investissement, les entreprises qui mettent en œuvre un processus de gestion des vulnérabilités subiront 90 % d attaques réussies en moins que celles qui déploient uniquement des systèmes de détection des intrusions 3». Aujourd hui, pour réaliser des économies directes et indirectes substantielles, les entreprises doivent gérer proactivement les vulnérabilités et pallier les risques avant que des incidents liés à la sécurité ne surviennent. Notre étude montre qu etrust Vulnerability Manager de CA permet aux entreprises de gagner un temps considérable dans la recherche des vulnérabilités. Il permet également de gagner du temps dans l identification des ressources vulnérables et offre une méthode cohérente d évaluation du risque et de définition des priorités afin de pallier les menaces contre la sécurité. 1 Source : Gartner «CIO Alert: Follow Gartner s Guidelines for Updating Security on Internet Servers, Reduce Risks», J. Pescatore, février Source : SC Magazine, «What You Think, The SC Reader Survey», janvier Source : Gartner Research Note, «Predictions for IT Security Directors in 2004», décembre 2003 Pour plus d informations, composez le ou visitez le site Web ca.com/fr 2004 Computer Associates International, Inc. (CA). Les marques commerciales, les noms de marque et les logos contenus dans ce document sont la propriété de leurs sociétés respectives. Ce document est exclusivement fourni à titre d information. Dans la mesure où cela est autorisé par la loi en vigueur, CA fournit ce document «EN L ETAT» sans garantie d aucune sorte, y compris les garanties implicites de commercialisation ou d adéquation à un but particulier ou de non infraction. CA ne pourra en aucune circonstance être tenu responsable de pertes ou de dommages, directs ou indirects, consécutivement à l utilisation de ce document, y compris les pertes de bénéfices, la cessation d activité, la perte de clientèle ou la perte de données, même si CA a été expressément avisé de tels dommages. MP