Risk Management
Attack Surface Management Strategies
As organizations shift to the cloud in droves, their digital attack surface continues to rapidly expand. We explore how proactive cyber risk management can help harden your defenses and reduce the likelihood of an attack or breach.
Save to Folio
Alors que les entreprises migrent vers le cloud, leur surface d’attaque continue à s’étendre rapidement. Face à des menaces qui prolifèrent, les professionnels de la sécurité se doivent de mieux gérer les risques associés à leur surface d’attaque. Explorons ensemble comment une plateforme de cybersécurité unifiée renforce votre ligne de défense face aux cyber-risques. Et pourquoi une telle approche est bien plus pertinente que d’opter pour différents produits de sécurité autonomes et cloisonnés.
La transformation digitale a accéléré la migration vers le cloud, en permettant aux organisations d’innover davantage et plus rapidement, tout en s’étendant au-delà des environnements traditionnels de bureau. Cette tendance a rendu la gestion de la surface d’attaque réelle plus complexe. Penchons-nous sur comment comprendre, notifier et maîtriser les cyber-risques tout au long du cycle de vie des risques associés à la surface d’attaque. Mais aussi sur comment simplifier la gestion de la sécurité.
Qu’entend-on par piloter la surface d’attaque ?
La gestion de la surface d’attaque se base sur processus permanent de découverte, d’évaluation et de neutralisation des menaces au sein de l’écosystème IT d’une entreprise. Cette gestion, différente d’un inventaire et du monitoring des ressources, vise à évaluer les failles de sécurité dans la perspective de l’assaillant, et notamment les risques associés aux hommes, aux processus et à la technologie.
De l’intérêt de renforcer la gestion des risques
Comme nous l’avions mentionné, la transformation digitale a induit une expansion rapide de la surface d’attaque. 50% des entreprises adoptent une approche cloud-native pour accompagner tant leurs collaborateurs que leurs clients. Le nombre de dispositifs connectés dans le monde devrait progresser à 55,9 milliards à l’horizon 2025. La migration vers le cloud et la croissance exponentielle de la connectivité des dispositifs offrent aux cybercriminels de nouveaux vecteurs d’attaques à cibler.
À l’évidence, les professionnels de la sécurité se doivent d’améliorer leur stratégie et leurs procédures de gestion des risques, afin de neutraliser les attaques par ransomware particulièrement coûteuses et les perturbations à leurs workflows métiers, mais également pour répondre aux exigences des contrats de cyber-assurance auxquelles adhèrent de plus en plus d’entreprises.
Ainsi, comment les professionnels de la cybersécurité peuvent-il garder la main sur leur surface d’attaque et prendre une longueur d’avance sur les cybercriminels ? C’est tout l’intérêt d’une plateforme unifiée de cybersécurité qui offre une visibilité permanente sur la sécurité et surveille les étapes d’identification, d’évaluation et de neutralisation des menaces sur la surface d’attaque. Voyons comment une plateforme unifiée constitue une option plus pertinente pour améliorer la gestion des risques sur la surface d’attaque, par rapport à l’utilisation de produits autonomes et cloisonnés.
Identifier et suivre votre surface d’attaque digitale
Dans un premier temps, vous devez disposer d’une visibilité intégrale qui vous permet de découvrir votre surface d’attaque. L’utilisation de différents produits autonomes, qui protègent spécifiquement les endpoints, les utilisateurs, les dispositifs, le cloud, les réseaux… pèsent sur la capacité d’équipes de sécurité déjà fortement mobilisées à mener des audits manuels.
D’autre part, notons que de nouveaux projets, avec des dépendances à l’open-source ou exigeant de nouveaux comptes utilisateurs, sont déployés régulièrement et rapidement, ce qui implique de disposer d’une visibilité sur votre écosystème pendant qu’il évolue, et non après.
Une plateforme de cybersécurité étroitement intégrée avec des outils tiers permet aux équipes de sécurité de visualiser la totalité de l’écosystème à partir d’un seul tableau de bord, ce qui constitue un vrai gain de temps et permet de mieux évaluer les risques.
Évaluer les cyber-risques
La capacité à visualiser la totalité de votre écosystème alors qu’il évolue est une étape initiale essentielle. Dans un second temps, les équipes de sécurité doivent évaluer et hiérarchiser les faiblesses et vulnérabilités. Ceci ne s’applique pas uniquement aux systèmes, mais aux profils d’utilisateurs également (pour notamment prévenir les usurpations d’identité par email qui ciblent plus particulièrement les cadres dirigeants). D’autre part, nous avons assisté à une recrudescence des campagnes malveillantes ciblant les processus collaboratifs de développement logiciel et les pipelines DevOps, ce qui implique d’évaluer les processus pour identifier toute faille de sécurité.
Comme toujours, ceci doit s’inscrire dans un processus en continu. En effet, le comportement d’un utilisateur peut changer au cours d’une session, ce qui pourrait impliquer de suspendre cette session. Une plateforme unifiée, étroitement intégrée sur la totalité du périmètre d’une entreprise, permet aux entreprises de déployer une stratégie Zero Trust, pour vérifier et évaluer en permanence tous les utilisateurs, applications et dispositifs qui accèdent à votre infrastructure IT.
Contrairement à des produits autonomes dont les données sont cloisonnées, une plateforme recueille et corrèle en permanence des données sur les menaces provenant de la totalité de votre surface d’attaque (endpoints, networks, cloud et email), dans l’optique de rendre les alertes moins nombreuses mais plus pertinentes. Les équipes de sécurité sont ainsi outillées pour identifier les cyber-risques et les hiérarchiser selon leur niveau de criticité, sans devoir procéder à des analyses et corrélations manuelles, chronophages et fastidieuses. Les entreprises répondent ainsi aux exigences de détection et de réponse aux menaces imposées par les contrats d’assurance actuels sur les cyber-risques.
Maîtriser les risques
Si l’identification et l’évaluation des risques sur l’ensemble de votre surface d’attaque sont essentielles, il est tout aussi vital de bénéficier de recommandations en matière de remédiation et d’être capable d’automatiser la restauration lorsque cela est possible. Une plateforme unifiée, dotée d’outils de sécurité et déployée sur différents environnements, permet d’automatiser la gestion des risques les plus critiques. Elle permet, par exemple, d’appliquer un patching virtuel qui limite le périmètre d’une attaque et permet aux équipes de sécurité de mener les investigations nécessaires. Alors que la pénurie de compétences en cybersécurité induit de réels défis dans la gestion de la surface d’attaque, la capacité à consolider les outils et à tirer parti d’une plateforme unifiée sont de réels atouts pour maîtriser les risques.
Prochaines étapes
Une meilleure gestion de la surface s’attaque digitale démarre par des bons outils : une plateforme unifiée de cybersécurité, capable de s’intégrer avec de nombreux outils tiers et qui s’adapte en toute transparence avec votre arsenal de sécurité existant. Penchez-vous sur des plateformes comme Trend Micro One, dotées de fonctions de sécurité innovantes comme XDR, un monitoring continu des menaces, des fonctions d’évaluation des risques, ainsi que des processus automatisés qui accompagnent les équipes de sécurité, accélèrent la détection et la riposte aux menaces et assure la conformité réglementaire et aux exigences des polices de cyber-assurance.
Cyber asset discovery
First, you need total visibility to be able to discover and continuously monitor known, unknown, internal, and internet-facing (external) assets. Siloed point products across endpoints, users, devices, cloud, networks, etc., limit overstretched security teams from taking stock or perform manual auditsAlso consider that new projects with open-source dependencies and user/device accounts are spun up instantly, meaning you need to be able to see your entire ecosystem as it changes, not after.
The goal is to gain visibility to answer questions such as:
- What is my attack surface?
- How well can I see what assets are in my environment?
- How many, what types, and what attributes are associated with these assets?
- What are my high-value assets?
- How is my attack surface changing?
Risk assessment
Being able to see your entire ecosystem as it changes is the first step; next, security teams need to assess and prioritize any weaknesses or vulnerabilities. This doesn’t just apply this to systems, but user types as well—for example, executive level employees are the most common targets for business email compromise (BEC). Also, we’ve seen an uptick in campaigns targeting software supply chains and DevOps pipelines, meaning processes also need to be evaluated for any security gaps.
Ideally, this risk information will be contextualized for greater understanding to answer the following questions:
- Can I quantify my risk? What is my overall risk score?
- Is my risk score increasing or decreasing over time?
- How does it compare to peers in the industry?
- Where do I see the most significant security risks?
- What risk factors need immediate attention?
Risk mitigation
While discovering and assessing risks across your digital attack surface is important, it’s also critical to receive actionable prioritized mitigation recommendations to lower risk exposure. Virtual patching, changing configuration options on a prevention control, and controlling user access parameters are just a few examples.
Furthermore, it should be possible to automate mitigation wherever possible for great efficiency and to reduce the chance of a successful attack or breach.
With the skills shortage introducing very real challenges to managing the attack surface, the opportunity to create a common framework and a single pane of glass is paramount to effective cyber risk management. Enter: extended detection and response (XDR) and zero-trust strategies.
The importance of XDR
Investments in XDR mean there is data, analytics, and integrations, and a technology in place that could act as a foundation to serving other use cases and providing insight and operational value beyond the realm of detection and response.
More proactive risk prioritization and mitigation benefits the SOC by reducing overall exposure and the scope of a security incident. Conversely, detection data collected by XDR provides valuable insight into attack surface threat activity and how current defenses are coping. In turn, this can inform risk assessments and response recommendations.
Learn more in Guide to Better Threat Detection and Response (XDR)
Supporting zero-trust strategies
Proactive cyber risk management depends on operationalizing elements of a zero-trust strategy. Zero trust is an extension of the principle of least privilege, wherein any connection—whether it’s from within the network or not—should be considered untrustworthy. This is crucial in today’s hyper-connected, remote work environment that has increased the different entry points or connections into the enterprise.
As always, this needs to be an ongoing process that constantly evaluates identity, user and device activity, application, vulnerability, and device configuration. The demand for continuous assessment has led to many SOCs shifting toward the Secure Access Service Edge (SASE) architecture, which combines discrete capabilities such as Cloud Application Security Broker (CASB), Secure Web Gateway (SWG), and Zero Trust Network Access (ZTNA) for more granular control across the network.
Tying it all together, XDR alongside risk insight and mitigation that is aligned with zero trust can further enhance security. XDR establishes a solid foundation for verifying and establishing trust. And since it continuously collects and correlates data, it fulfils the continuous assessment pillar of the zero-trust strategy.
Next steps
Better digital attack surface management starts with the right tooling: a unified cybersecurity platform with broad third-party integrations that seamlessly fits into your existing security stack.
Consider a platform like Trend Micro One, backed by innovative security capabilities such as XDR, continuous threat monitoring, risk assessments, and automation to alleviate security teams, accelerate detection and response, and meet compliance and cyber insurance requirements.
For more information on attack surface management, check out the SOC series: