Une nouvelle étude de Rezilion révèle un niveau élevé d'inexactitudes et de perturbations créées par les technologies d'analyse commerciales et open-source les plus populaires du marché.Les chercheurs ont examiné 20 conteneurs populaires sur DockerHub, les ont exécutés localement et les ont analysés à l'aide de six scanners de vulnérabilité différents et populaires sur le marché commercial et open-source. En tenant compte des faux négatifs, les scanners n'ont renvoyé que 73 % de résultats pertinents sur l'ensemble des vulnérabilités qui auraient dû être identifiées, y compris celles que les scanners n'ont pas détectées.
"Chaque jour, une multitude de nouvelles vulnérabilités sont divulguées dans l'écosystème logiciel, ce qui pousse les utilisateurs finaux à se fier aux scanners de vulnérabilités pour détecter si ces vulnérabilités potentiellement exploitables existent dans leur environnement", explique Yotam Perkal, directeur de la recherche sur les vulnérabilités chez Rezilion. "Avec une variabilité avérée de la précision des outils d'analyse sur le marché, les entreprises paient le coût du temps passé à trier des vulnérabilités non pertinentes et pire, dans le cas de détections faussement négatives, créent des angles morts pour l'organisation et un faux sentiment de sécurité."
En moyenne, sur le nombre total de vulnérabilités signalées par les scanners, seuls 82 % étaient des résultats pertinents (identifiés correctement), indépendamment des vulnérabilités que les scanners n'ont pas signalées (18 % étaient des faux positifs). Plus de 450 vulnérabilités de gravité élevée ou critique ont été mal identifiées dans les 20 conteneurs. Et en moyenne, sur les 20 conteneurs examinés, les scanners n'ont pas trouvé (résultat faux négatif) plus de 16 vulnérabilités par conteneur.
"Le problème principal est que les données sur les performances des scanners ne sont pas transparentes et que les utilisateurs finaux n'ont pas la visibilité nécessaire pour évaluer avec précision l'efficacité des scanners de vulnérabilité", poursuit Perkal. " Avec cette recherche, nous nous engageons à faire avancer l'industrie et à aborder le problème de manière proactive ". L'objectif ultime de Rezilion est de fournir une transparence sur les performances des scanners et d'améliorer la qualité de l'analyse des vulnérabilités à tous les niveaux."
À la lumière de ces résultats, il est important que les entreprises comprennent les capacités et les limites de leur scanner spécifique, et qu'elles ne se fient pas aveuglément aux résultats. Elles devraient également vérifier l'exactitude des résultats de leur scanner par rapport à une nomenclature logicielle afin d'obtenir une meilleure visibilité des dépendances logicielles.
Source : Rezilion
Et vous ?
Trouvez-vous ces résultats pertinents ? Votre entreprise a-t-elle déjà fait l'expérience de résultats non pertinents des scanners de vulnérabilités ?Voir aussi :
Google Chrome est apparemment truffé de problèmes de sécurité, au moins 303 vulnérabilités auraient déjà été découvertes dans le navigateur Web de Google en 2022 Une vulnérabilité de type "zero-day" permettant d'exécuter du code à distance sous Windows serait activement exploitée depuis 7 semaines, selon des chercheurs en cybersécurité Des cybercriminels exploitent activement la faille critique dans Log4J : plus de 840 000 attaques ont été détectées, le spectre d'un scénario rappelant Heartbleed fait surface