Compte tenu de la migration vers le cloud, de l'augmentation du nombre d'applications SaaS (Software-as-a-Service) et de la hausse fulgurante des capacités de télétravail, la surface d'attaque de la plupart des entreprises s'est étendue et s'est complexifiée, la rendant beaucoup plus difficile à délimiter et à défendre. Dans un contexte où pratiquement n'importe quelle ressource peut servir de point d'entrée pour une cyberattaque, il est plus important que jamais pour les entreprises d'améliorer leur visibilité sur leur surface d'attaque au niveau de l'ensemble de leurs ressources, qu'elles soient connues ou inconnues, sur site ou dans le cloud, internes ou externes.
Qu'est-ce que la gestion de la surface d'attaque ?
La gestion de la surface d'attaque est le processus continu de découverte, de surveillance, d'évaluation, de priorisation et de correction des vecteurs d'attaque au sein de l'infrastructure informatique d'une entreprise.
Bien que similaire par nature à la découverte et à la gestion des ressources (deux fonctionnalités souvent présentes dans les solutions d'hygiène IT), la gestion de la surface d'attaque se distingue par le fait qu'elle aborde la détection des menaces et la gestion des vulnérabilités du point de vue du cyberattaquant. L'entreprise est ainsi en mesure d'identifier et d'évaluer les risques posés non seulement par les ressources connues, mais également par les composants inconnus et non approuvés.
Qu'est-ce que la surface d'attaque ?
Le terme « surface d'attaque » est utilisé pour décrire le réseau interconnecté des ressources informatiques qu'un cyberattaquant est susceptible d'exploiter lors d'une cyberattaque. De manière générale, la surface d'attaque d'une entreprise est constituée de quatre composants principaux :
- Ressources sur site : ressources hébergées sur site, telles que les serveurs et le matériel informatique
- Ressources cloud : ressources exploitées ou distribuées dans le cloud, telles que les serveurs et workloads cloud, les applications SaaS et les bases de données hébergées dans le cloud
- Ressources externes : services en ligne achetés auprès d'un fournisseur ou d'un partenaire externe, et destinés à stocker et à traiter les données de l'entreprise ou intégrés au réseau de l'entreprise
- Ressources secondaires : réseaux partagés par plusieurs entreprises, tels que les réseaux d'une société de holding dans le cas d'une fusion ou d'une acquisition
Il est important de souligner que la surface d'attaque d'une entreprise change au fil du temps, au gré de l'ajout de nouveaux terminaux, de l'obtention de nouveaux clients et de l'évolution des besoins de l'entreprise. Il est donc essentiel que les entreprises surveillent et évaluent en permanence l'ensemble de leurs ressources et identifient les vulnérabilités avant qu'elles ne soient exploitées par les cybercriminels.
Avantages de la gestion de la surface d'attaque
En se glissant dans la peau des cyberattaquants et en s'inspirant des outils qu'ils utilisent, les entreprises peuvent améliorer leur visibilité sur tous les vecteurs d'attaque potentiels, ce qui leur permet de prendre des mesures ciblées pour améliorer leur niveau de sécurité en limitant les risques associés à certaines ressources ou en réduisant la surface d'attaque elle-même. Un outil efficace de gestion de la surface d'attaque permet aux entreprises de réaliser les tâches suivantes :
- Automatiser la découverte, l'analyse et la correction des ressources
- Mapper toutes les ressources en continu
- Identifier et désactiver rapidement les ressources du Shadow IT et d'autres ressources jusque-là inconnues
- Éliminer les vulnérabilités connues, telles que les mots de passe faibles, les erreurs de configuration et les logiciels obsolètes ou non corrigés
Quelles sont les fonctions centrales de la gestion de la surface d'attaque ?
Une stratégie efficace de gestion de la surface d'attaque repose sur une procédure en cinq phases.
Phase 1 : découverte
Lors de cette phase initiale, les entreprises identifient et mappent toutes les ressources numériques présentes sur les surfaces d'attaque interne et externe. Là où les solutions d'ancienne génération ne sont pas toujours en mesure de détecter les ressources inconnues, non approuvées ou externes, les solutions modernes de gestion de la surface d'attaque s'inspirent de l'arsenal d'outils utilisé par les cybercriminels pour détecter les vulnérabilités et les points faibles de l'environnement informatique. La visibilité sur l'ensemble de la surface d'attaque est ainsi améliorée, ce qui garantit à l'entreprise un mappage complet des ressources susceptibles de servir de vecteurs d'attaque.
Phase 2 : test
La surface d'attaque change constamment, à mesure que de nouveaux terminaux ou utilisateurs sont ajoutés et que les activités de l'entreprise évoluent. Il est donc crucial que l'outil intègre des fonctions de surveillance et de test continus de la surface d'attaque. Une solution moderne de gestion de la surface d'attaque permet d'examiner et d'analyser les ressources 24 h/24, 7 j/7, afin de prévenir l'introduction de nouvelles vulnérabilités de sécurité, d'identifier les failles de sécurité et d'éliminer les erreurs de configuration et autres risques.
Phase 3 : contextualisation
Si toute ressource peut devenir un vecteur d'attaque potentiel, tous les composants IT ne présentent pas le même risque. Une solution avancée de gestion de la surface d'attaque analyse la surface d'attaque et fournit des informations pertinentes concernant la ressource exposée et son contexte au sein de l'environnement informatique. Des facteurs tels que le moment, l'endroit et les modalités d'utilisation de la ressource, son propriétaire, son adresse IP et les points de connexion au réseau peuvent aider à déterminer la gravité du cyberrisque pour l'entreprise.
Phase 4 : priorisation
Le but d'une solution de gestion de la surface d'attaque est de découvrir et de mapper toutes les ressources informatiques. Les entreprises doivent donc prioriser leurs efforts de correction des vulnérabilités et des points faibles existants. La gestion de la surface d'attaque attribue une note de risque exploitable et un score de sécurité reposant sur divers facteurs, notamment le niveau de visibilité de la vulnérabilité, son niveau d'exploitabilité, la complexité de la correction du risque et l'historique d'exploitation. Contrairement au pen test (ou test d'intrusion), à l'exercice Red Team et aux autres méthodes traditionnelles d'évaluation des risques et de gestion des vulnérabilités qui peuvent être quelque peu subjectifs, le score de gestion de la surface d'attaque repose sur des critères objectifs, calculés à partir de données et de paramètres système prédéfinis.
Phase 5 : correction
Grâce à l'automatisation des tâches des quatre premières phases de la procédure de gestion de la surface d'attaque, l'équipe informatique est désormais armée pour identifier les risques les plus graves et prioriser les actions de correction. Ces efforts incombant généralement aux équipes informatiques et non aux professionnels de la cybersécurité, il est important de s'assurer que les informations sont partagées entre les différentes fonctions et que tous les membres de l'équipe agissent de manière cohérente en matière d'opérations de sécurité.
Comment votre entreprise peut-elle limiter l'exposition de sa surface d'attaque ?
Pour identifier et bloquer les tactiques en constante évolution des cyberadversaires, les équipes de sécurité ont besoin d'une visibilité à 360° sur leur surface d'attaque numérique afin de détecter les menaces et de protéger leur entreprise plus efficacement. Cela implique de disposer d'une visibilité continue sur l'ensemble des ressources, notamment les réseaux internes de l'entreprise, leur présence à l'extérieur du pare-feu et les systèmes et les entités avec lesquels les utilisateurs interagissent.
Dans un contexte de transformation numérique, il peut être plus difficile pour les entreprises de conserver une visibilité totale sur une surface d'attaque tentaculaire. Les workloads cloud, les applications SaaS, les microservices et autres solutions numériques ont tous contribué à complexifier l'environnement informatique, rendant ainsi la détection, l'investigation et la neutralisation des cybermenaces encore plus difficile.
L'application RiskIQ Illuminate a été intégrée à la plateforme CrowdStrike Falcon® afin de combiner en toute transparence la télémétrie interne des endpoints avec des pétaoctets de données Internet externes collectées depuis plus d'une décennie. Le regroupement de la cyberveille d'Internet et des données des endpoints au sein d'une solution unique fournit un contexte crucial sur les incidents internes. Les équipes de sécurité sont ainsi en mesure de comprendre de quelle manière les ressources internes interagissent avec l'infrastructure externe, de façon à bloquer ou à prévenir les attaques ainsi qu'à détecter les compromissions éventuelles.
RiskIQ Illuminate offre divers avantages et fonctions de premier plan :
- Accélération de la détection et de l'intervention : offrez à votre équipe de sécurité une visibilité renforcée et un contexte exhaustif à l'intérieur et à l'extérieur du pare-feu afin qu'elle puisse protéger l'entreprise de manière plus efficace contre les dernières menaces, telles que les compromissions de données et les attaques de ransomwares.
- Optimisation de la collaboration : RiskIQ Illuminate permet aux équipes de sécurité de l'entreprise de collaborer en toute transparence dans le cadre des investigations sur les menaces ou des interventions sur incident en combinant les connaissances internes et la cyberveille avec les résultats des analyses.
- Gestion proactive de la surface d'attaque numérique : bénéficiez d'une visibilité complète sur les ressources tournées vers l'extérieur et assurez leur gestion et leur protection.