Reprise du message précédent :

Je savais pas. C'est quoi le souci ?

 
c'est quand même interessant de savoir que cve était exclusivement financé par les US. j'étais persuadé que c'était un organisme rataché à l'IETF ou au W3C.

 
Ah oui on est d'accord la dessus, "toute" la sécu repose dessus.  
 

 
Quelques morceaux choisis sur twitter.  

https://x.com/b1ack0wl/status/1912485643625640382
 

https://x.com/GelosSnake/status/1912450710471319777
 
Je me retrouve pas mal la dedans, combien de fois on a essayé de comprendre pourquoi la CVE Fortinet était à 9+ alors que Fortinet la classe en medium. Ou inversement.
Combien de fois on a cherché des détails à la vulnérabilité pour connaitre l'impact réel, la compromission éventuel, etc.  
Le chercheur va farm de la CVE dans les bug bounty, sans jamais proposer de correction.
Ca met complètement de côté un des problèmes majeures de la sécu qui est la mauvaise configuration.  

D'accord donc c'est imparfait = c'est de la merde  

Par contre, je m'attendais à des bonnes sources plutôt que des tweets d'avis  

 
+1, j'étais complètement passé à côté.

bah c'est plutôt factuel et représentatif de l'avis des pros dans le monde de la cyber (tout du moins ceux qui se servent des CVEs)
tout le monde s'en "contentait" mais bon c'est quand même bien pourri parfois et c'est pas parce que c'est des mecs sur Twitter qui le disent que c'est pas pour autant tout à fait valable

Ha OK merci pour les précisions. Je suis pas du tout le nez sur les CVE donc je me rendais pas compte. C'est l'article de next https://next.ink/181206/la-base-de- [...] americain/ qui m'a interpellé.

 
Y a encore des pros sur X?

les gens qui sont capables de gérer correctement leur abos et qui passent pas leur life sur "Pour vous", j'imagine oui
en tout cas j'en connais un certain nombre, dont certains qui sont assez connus dans le milieu

Ptet des VMs de banque ou d'assurances pour les programmes inhérents à ces activités.
Enfin, j'espère.

Oui ca c'est bien vidé en CTI et tant mieux. Pour ceux qui restent on est pas surpris des profils

J'ai une idée du vrai score  

 
Parce que l'IETF n'est pas financé par les US ?
 

 
non pas forcément. Exemple : CVE Fortinet pour un déni de service via un administrateur authentifié. CVSS de 5 ou de 9 ?    
 
Je pense que si tu as un acteur malveillant, authentifié en admin, tu as d'autres problèmes à gérer  

Entièrement d'accord pour dire que le système de score est pété et n'a permis l'emergence que d'une économie de scanners et autres outils de conformité avec des zolis code couleurs (et des types qui te spamment pour une histoire de TLS, kindly pay bug bounty pls)
 
Après c'est quand même utile et soulagé que ça ce soit pas arrêté du jour au lendemain ngl  
 
Hâte d'un système européen où chaque vuln a 27 scores en fonction des pays

 
pas exclusivement    
 

 
   
 
Les "experts" chez nous qui demandent à ce qu'on soit outillé pour suivre toutes les CVE de tous les produits.
 
5 ans que j'essaie de leur faire comprendre que ça sert à rien, putain

Pour moi le truc vraiment nécessaire c'est de connaître son parc, suivre les vulnérabités publiées, et d'être conscient des arbitrages qu'on fait sur les mises à jour logicielles (ou absences de mises à jours justement). Mais c'est un boulot qui est souvent perçu comme "pas prioritaire", que ce soit parce que les gens ont d'autres urgences, qu'ils évaluent mal le risque à ne pas se soucier de tout ça, ou à qui on n'a simplement pas fixé ce genre d'objectif parce qu'après tout "pour l'instant ça fonctionne bien comme ça, pourquoi on devrait allouer de l'effort / du jour.homme là-dessus ?"

En bout de course on se retrouve avec une situation où l'infra n'est peu ou pas suivie sur ce sujet, et la direction (ou une team sécu transverse mandatée par elle) qui, consciente de sa responsabilité en cas d'incident, tente à défaut de mieux d'instaurer un enième logiciel magique et sa web UI "single pane of glass" associée qui va ressortir des indicateurs pas très pertinents (car pas informés du contexte spécifique à cette infra en particulier) - et parfois c'est vrai déclencher certaines actions utiles, mais en y attribuant au final un effort beaucoup plus important que si on avait pris le problème à la racine et mis en place un process intégré à l'activité d'administration de l'infra, au même titre que pour le monitoring ou la gestion d'incidents par exemple.

Pas mieux.
 
Et je passe pour un emmerdeur qui veut faire pas traiter de nouveaux sujets parce que j'ai la prétention de demander à ce que la cmdb soit exhaustive ou qu'on ait une supervision correcte

Me parlait pas de CMDB  

OK, Choco.

l'europe a sorti en catastrophe leur outil "CVE like". Histoire de continuer a passer pour des clowns  

 
Sujet qui fâche chez toi ?

Tu dis "pas mieux" mais pour moi tu contredis son post juste au dessus  

Cmbd exhaustive et supervision correct, complètement d'accord.

Mais comme le dis Ivy gu, connaître son parc et les CVE associés est nécessaire et je rejoins le reste.

CVE, au-delà des outils critiqués, permet d'avoir un suivi de tout ça. Se branler sur la note des CVE, je laisse ça aux experts... Les produits doivent être à jour, c'est la règle... Mais une fois que ça c'est dit, on fait au mieux  
Et pas sûr que CVE/Fortinet soit l'exemple à ressortir  

Bah non.
 
T'as ta cmdb, tu connais ta surface d'attaque, tu mets la valeur métier en face et tu priorises la correction en conséquence.
 
Quel intérêt d'aller regarder l'ensemble des vulns Windows si jamais tes serveurs tournent en patch auto
 
Regarder toutes les CVE qui passent ça n'a aucun putain d'intérêt si tu ne fais pas ce travail préalable.

ça me rappelle un ancien job où ils avaient mis en place un scanner qui tournait sur toute l'infra, le jour où ça a été allumé (après bien sûr un gros boulot pour l'alimenter automatiquement depuis notre CMDB) plusieurs milliers de vulnérabilités détectées rien que sur la partie réseau. Ben oui, on a une bonne partie du parc d'équipements qui a plus de 10 ans d'âge et qui n'est plus supportée logiciellement depuis plus de 5 ans donc forcément niveau patching c'est pas la joie, mais on était déjà au courant en fait  

 
 
easy a coté du rapport tu mets la cotation pour le changement d'infra qu'on te refuse depuis 5 ans  

Pas à rien.
C'est un point de passage des éditeurs, et pour cela c'est pratique car ça centralise un peu.
Ça a ses limites, notamment le scoring pas terrible et le manque d'info concrètes.

C'est pas inutile dans le sens où t'as besoin d'une base de données exhaustive mais c'est ton analyse de risques qui doit définir les priorités.
 
Là littéralement le mec voulait qu'on regarde les 270k+ cve déjà publiées.

Oublie pas celles jamais publiées ou jamais divulguées  

Et maintenant tu mets un "si".
Je relevais juste que tu dis que ça sert à rien, ce qui n'était pas le cas de Ivy Gu. Et finalement ça sert si on a fait des choses préalables Là, oui je suis d'accord.

Le propos n'était pas de lister les CVE des produits que tu n'as pas
Et on est entre personnes civilisées ici, bientôt on va partir sur aller lire les CVE de Chrome en mise à jour auto ? J'y verrai de la mauvaise foi

Après si une CVE critique d'un éditeur n'a jamais changé quoi que ce soit sur votre boulot...

(Mais ok, on laisse Trump dezinguer CVE car ça sert à rien, hâte de voir son remplaçant qui sera, de fait, parfait )

Edit: le temps de rédiger t'as complété

Non désolé, j'ai eu l'impression de devoir encore expliquer des choses qui me paraissaient implicites

Et je me suis vénère pour rien parce qu'au boulot je dois vraiment faire ce travail de "pédagogie" avec des collègues qui sont soit disant des "lead manager security certified"

Je peux vous parler longtemps de Chrome en mise à jour auto qui ne se mise à jour pas
A tel point qu'il ne va pas être installé par défaut sur les futures workstations et dispo seulement sur dérog.

 
Le VOC est loin d'être notre cœur de métier alors bon ; les gens vont patcher encore moins qu'avant, donc se faire ouvrir encore plus qu'avant, donc il va falloir s'adapter au marcher...
On va prendre des GT3 RS de fonction pour pouvoir enchainer les RI    
 

 
Fortinet...    

Je peux démonter n'importe quel constructeur de firewall de la même manière.    
On a eu des soucis majeures avec tous, sans exception.

Vas y  

On attend ton dossier objectif sur les 5 leaders en matière de firewall.

Et non pas le nombre, fréquence ou note de CVE. Mais surtout la prise en charge et le délai de traitement  

 
En fait dans la logique, j'ai du mal à piger pourquoi on va acheter 100k un outil de scan de conformité alors qu'on a pas un serveur de maj sur des workstations
 
Ah ça doit être parce que c'est pas dans le Gartner

Auriez-vous un bon micro pour informaticien aigri à me conseiller ?
J'avais un Yeti c'était super mais il capte plus
 
Il faut qu'on ai pas besoin de le mettre trop près de ma tête pour qu'il capte

J'ai vu beaucoup de Youtubeurs utiliser la marque Shure. Je ne sais pas ce que cela vaut cela dit.

J'en ai eu, en intra. Vraiment pas mal, plutôt équilibrés. Très costauds.
 
Bref c'étaient pas des Bose

C'est un peu overkill d'avoir un micro XLR pour faire du Teams  

 
J’ai eu le cas pratique où le RSSI a fait acheter un tool de MàJ à l’infra suite à la mise en place de scans de vuln permettant d’appuyer ses propos sur l’ensemble des problèmes de patching et de conf (puisque un scan de vuln ne se limite pas à remonter des patches manquants).  
Idem ta cmdb peut être challengée avec ton scanner, ce qui n’est pas le cas sans.