La gestion de la surface d'attaque (ASM) consiste en la découverte, l'évaluation et la réduction des menaces pour l'écosystème informatique d'une organisation.
Définition de la Gestion de la Surface d'Attaque
La gestion de la surface d'attaque (ASM) est une approche de cybersécurité visant à aider les organisations à renforcer la défense de leurs données et systèmes en rendant les menaces plus visibles. Il s'agit de savoir où les risques existent, de comprendre leur gravité relative et de prendre des mesures pour combler les lacunes de sécurité liées aux personnes, aux processus et à la technologie.
L'ASM est une approche traditionnelle de la cybersécurité qui inclut la découverte et la surveillance des actifs. Elle examine les menaces potentielles de la manière dont un attaquant les verrait : comme des opportunités de percer les défenses d'une organisation et d'infliger des dommages financiers, opérationnels ou de réputation.
Pour comprendre la gestion de la surface d'attaque (ASM), il est d'abord nécessaire de savoir ce qu'on entend par le terme surface d'attaque.
La surface d'attaque est la somme totale de toutes les façons dont un attaquant pourrait accéder au réseau, aux données ou aux ressources informatiques d'une organisation. Elle se compose de trois parties :
La surface d'attaque numérique comprend tout le matériel, les logiciels et les données qui peuvent être accessibles de l'extérieur, même s'ils sont protégés par des mesures telles que le chiffrement, les protocoles d'authentification ou les pare-feu.
La surface d'attaque physique consiste en tous les équipements et dispositifs physiques qui peuvent être volés ou manipulés physiquement pour causer une compromission ou une violation.
La surface d'attaque sociale ou humaine se réfère à toutes les personnes au sein d'une organisation ayant accès aux systèmes et aux données, qui pourraient être trompées, manipulées ou autrement influencées (par exemple, par une attaque d'ingénierie sociale comme le phishing pour causer une compromission ou une violation).
Contre quoi l'ASM protège-t-elle ?
L'ASM aide les organisations à se défendre contre une large gamme de menaces, également connues sous le nom de « vecteurs d'attaque ». Ceux-ci incluent, mais ne sont pas limités à :
Cyberattaques
Les ransomwares, virus et autres malwares peuvent être injectés dans les systèmes d'entreprise, permettant aux attaquants d'accéder aux réseaux et aux ressources, d'exfiltrer des données, de détourner des dispositifs et de nuire aux actifs et aux données.
Problèmes de codage et mauvaises configurations
Les mauvaises configurations des technologies réseau et cloud comme les ports, les points d'accès, les protocoles, etc., laissent des « portes » ouvertes aux attaquants et sont une cause fréquente de violations.
Schémas de phishing
Ceux-ci incluent des courriels frauduleux, des messages texte, des messages vocaux (et même aujourd'hui, avec des deepfakes générés par IA, des appels vidéo) qui trompent les utilisateurs et les incitent à prendre des mesures compromettant la cybersécurité. Cela peut inclure le partage d'informations sensibles, le clic sur des liens menant à des malwares, le transfert de fonds qui ne devraient pas être payés, et plus encore. L'IA a rendu le phishing plus difficile à détecter et plus ciblé.
Mots de passe faibles et chiffrement
Les mots de passe faciles à deviner - soit parce qu'ils sont évidents, trop simples, ou réutilisés pour plusieurs comptes - peuvent donner aux acteurs malveillants l'accès aux ressources numériques d'une organisation. Les identifiants volés sont également très demandés parmi les cybercriminels pour des raisons similaires. Le chiffrement est censé dissimuler les informations afin que seules les personnes autorisées puissent les lire. S'il n'est pas suffisamment fort, les hackers peuvent extraire des données qu'ils peuvent ensuite utiliser pour lancer des attaques à plus grande échelle.
Shadow IT
- Les outils utilisés par les employés d'une organisation qui ne font pas partie de l'environnement informatique connu ou approuvé sont considérés comme des « shadow IT » et peuvent créer des vulnérabilités précisément parce que l'équipe de cybersécurité n'en a pas connaissance. Cela inclut les applications, les dispositifs de stockage portables, les téléphones et tablettes personnels, et autres.
Comment fonctionne l'ASM ?
L'ASM comporte trois phases principales : la découverte, l'évaluation et la réduction. Comme la surface d'attaque est toujours en évolution, les trois doivent être réalisées en continu.
Découverte
La phase de découverte définit la surface d'attaque et tous les actifs qui la composent. L'objectif de la découverte est d'identifier tous les dispositifs, logiciels, systèmes et points d'accès connus et inconnus qui composent la surface d'attaque - y compris les applications shadow IT, les technologies tierces connectées et les technologies qui n'ont pas fait partie des inventaires précédents. Bien que de nombreuses solutions offrent la découverte dans le cadre de leur solution ASM, vous devez être discernant. Recherchez une solution qui intègre la conformité et la quantification des risques cybernétiques pour vous assurer d'obtenir une image complète des risques au-delà de la découverte des actifs pour montrer la véritable exposition. Un processus de découverte continu aide à révéler comment la surface d'attaque peut évoluer au fil du temps.
Évaluation
Après la découverte, les équipes de sécurité évaluent chaque actif pour les vulnérabilités potentielles - tout, des mauvaises configurations et erreurs de codage aux facteurs sociaux/humains comme la susceptibilité aux schémas de phishing ou aux attaques de compromission de courriel d'entreprise (BEC). Chaque risque est évalué, permettant aux équipes de sécurité de prioriser ceux qui doivent être traités en priorité.
L'évaluation des risques est généralement basée sur le niveau de risque, la probabilité d'attaque, les dommages potentiels et la difficulté de la correction. Elle devrait idéalement tenir compte également de l'intelligence des menaces mondiales sur les vulnérabilités les plus souvent et facilement exploitées.
Exemple : Si un logiciel donne accès à des données sensibles, est connecté à Internet et présente une vulnérabilité connue déjà exploitée par des attaquants réels, le patching sera probablement une priorité absolue.
Une fois tous les risques évalués, le total est calculé pour fournir un score de risque global de l'entreprise. Cela permet à l'organisation de comparer et de surveiller son profil de risque au fil du temps.
Réduction
La réduction consiste à prendre des mesures pour traiter les vulnérabilités découvertes. Cela peut signifier effectuer des mises à jour logicielles ou installer des patchs, mettre en place des contrôles de sécurité et du matériel, ou implémenter des cadres de protection tels que le zero trust. Cela peut également inclure la suppression des anciens systèmes et logiciels. Quoi qu'il en soit, il est crucial d'avoir la bonne solution pour vous aider à aborder la réduction de manière évolutive.
Pourquoi l'ASM est-il important ?
Il y a deux principales raisons pour lesquelles la gestion de la surface d'attaque est nécessaire :
L'environnement informatique des organisations doit être protégé
La numérisation de tous types de travail progresse rapidement ces dernières années en raison des changements dans l'environnement des affaires, favorisés par la promotion de la transformation numérique et les changements dans la manière de travailler, comme le travail à distance. En conséquence, l'environnement informatique devient plus complexe que jamais en raison de l'introduction de nouvelles technologies telles que l'utilisation de dispositifs VPN et de services cloud, ainsi que l'utilisation de dispositifs IoT.
D'un autre côté, de nombreuses organisations ne parviennent pas à suivre les changements rapides et la complexité croissante de leurs propres environnements informatiques et des risques qu'ils posent, et les mesures de sécurité sont reléguées au second plan. En conséquence, du point de vue des cybercriminels, le nombre de cibles pour les attaques augmente.
La sophistication des méthodes d'attaque cybernétique
Les méthodes utilisées dans les cyberattaques et autres crimes deviennent de plus en plus sophistiquées pour augmenter le taux de réussite des attaques. Dans le passé, le principal type de cyberattaque était le type « scatter-and-gather », où des programmes malveillants étaient envoyés à un grand nombre de destinataires non spécifiés par courriel ou autres moyens. Cependant, les cyberattaques modernes deviennent de plus en plus sophistiquées, avec un nombre croissant d'« attaques ciblées » exploitant les vulnérabilités des VPN et des RDP, ainsi que des informations d'authentification volées, pour infiltrer le réseau de l'organisation cible et ensuite mener des activités internes telles que l'escalade des privilèges, le mouvement latéral et le vol d'informations.
En conséquence, les organisations doivent considérer non seulement les actifs numériques accessibles au public, mais aussi les actifs numériques au sein de l'organisation elle-même, et mettre en œuvre des mesures de sécurité en conséquence.
Types de Gestion de la Surface d'Attaque
La gestion de la surface d'attaque (ASM) se divise en plusieurs types qui couvrent différents aspects de l'environnement numérique d'une organisation. Ceux-ci incluent l'ASM externe, l'ASM interne, l'ASM des actifs cybernétiques et l'ASM open source. Chaque type joue un rôle crucial dans la surveillance et la réduction des risques, offrant aux organisations une approche globale pour protéger leurs actifs numériques.
Gestion de la Surface d'Attaque Externe
L'ASM externe se concentre sur les actifs internes de l'entreprise exposés à l'internet public, tels que les applications web, les ressources basées sur le cloud, les adresses IP et les noms de domaine qui pourraient être exploités par les attaquants. Ces services accessibles à l'internet public sont souvent ciblés par les attaquants cherchant à exploiter des vulnérabilités ou des mauvaises configurations.
Gestion de la Surface d'Attaque Interne
L'ASM interne aborde les risques au sein du réseau privé d'une organisation, y compris les dispositifs, applications et systèmes qui ne sont pas accessibles au public mais pourraient être exploités si les attaquants obtiennent un accès. Il est particulièrement pertinent pour lutter contre les menaces persistantes avancées (APT) et les menaces internes, qui impliquent souvent des mouvements latéraux et des escalades de privilèges au sein du réseau. Les systèmes hérités ou les serveurs internes mal sécurisés peuvent servir de vulnérabilités que les attaquants exploitent une fois à l'intérieur du réseau.
Gestion de la Surface d'Attaque des Actifs Cybernétiques
L'ASM des actifs cybernétiques se concentre sur la gestion et la sécurisation des actifs individuels au sein d'une organisation, y compris les points de terminaison, les comptes d'utilisateurs, les instances cloud et les dispositifs mobiles. Cela est particulièrement critique dans les environnements de travail hybrides d'aujourd'hui, où les actifs sont répartis entre les infrastructures locales et basées sur le cloud. Les organisations opérant dans des environnements multi-cloud ont souvent des actifs divers, tels que des conteneurs, des machines virtuelles et des API.
Gestion de la Surface d'Attaque Open Source
L'ASM open source se concentre sur la gestion des risques associés aux technologies open source et aux informations accessibles au public. Bien que les logiciels open source soient largement utilisés, ils introduisent des vulnérabilités en raison de leur transparence et de leur dépendance aux contributions de la communauté. De plus, les attaquants exploitent souvent les données exposées telles que les identifiants divulgués, les clés API, ou les fichiers de configuration sensibles trouvés dans des dépôts ouverts comme Github.
Gestion de la Surface d'Attaque vs. Gestion des Risques Cybernétiques
La gestion de la surface d'attaque (ASM) est un élément essentiel de la gestion des risques cybernétiques, et ensemble, ils aident les organisations à améliorer leur conscience situationnelle en matière de cybersécurité - en identifiant, en priorisant et en réduisant proactivement les menaces.
La gestion des risques cybernétiques est une approche de cybersécurité globale qui va au-delà de l'ASM, en se concentrant sur la connaissance et la réduction des risques à travers l'entreprise. Un bon cadre de gestion des risques cybernétiques aide à déterminer quels risques sont les plus pertinents, soutenant une « prise de décision informée par les risques » pour réduire l'exposition globale aux menaces. Cela permet aux équipes de sécurité de renforcer les défenses, de minimiser les vulnérabilités et d'informer les processus globaux de gestion des risques et de planification stratégique de leurs organisations.
Quels sont les avantages de l'ASM ?
Une bonne gestion de la surface d'attaque offre une large gamme d'avantages pour les organisations, en commençant par le renforcement de la posture de sécurité globale en apportant plus de visibilité à l'ensemble de l'environnement informatique et de la surface d'attaque. Cela contribue à son tour à réduire les risques, soutenu par une surveillance continue et une réévaluation pour maintenir les niveaux de risque bas.
Cela donne une tranquillité d'esprit à l'équipe de sécurité, tout en offrant des avantages significatifs à l'ensemble de l'entreprise. Avoir une visibilité sur la surface d'attaque permet une plus grande transparence et un meilleur contrôle des actifs, réduisant le risque de cyberattaques et augmentant les économies de coûts. Lorsque les équipes de sécurité sont capables d'agir plus rapidement et plus efficacement, les organisations sont mieux positionnées pour assurer la continuité des activités. Car lorsque les attaques sont identifiées et atténuées plus tôt, il y a moins de risque de perturbations significatives.
Comment pouvons-nous implémenter l'ASM ?
L'ASM nécessite une solution de gestion de l'exposition aux risques cybernétiques intégrée à une plateforme de cybersécurité qui adopte une approche proactive pour réaliser les phases de découverte, d'évaluation et de réduction.
Choisir une plateforme avec de solides capacités d'opérations de sécurité telles que la gestion des informations et des événements de sécurité (SIEM), la détection et la réponse des points de terminaison (EDR), et la détection et la réponse étendues (XDR) est particulièrement important. Le XDR en particulier fournit des données et des analyses essentielles sur la performance des protections actuelles de la surface d'attaque. Ces informations aident à rendre la phase d'évaluation des risques plus précise.
Où puis-je obtenir de l'aide pour la gestion de la surface d'attaque ?
La gestion de la surface d'attaque ne suffit pas dans le paysage des risques exigeant d'aujourd'hui. Les organisations ont besoin de capacités de gestion de l'exposition aux risques cybernétiques pour prédire, découvrir, évaluer et atténuer proactivement les risques afin de réduire considérablement leur empreinte de risque cybernétique.
Trend Vision One™ offre une solution de gestion de l'exposition aux risques cybernétiques (CREM) qui adopte une approche révolutionnaire en combinant des capacités clés telles que la gestion de la surface d'attaque externe (EASM), la gestion de la surface d'attaque des actifs cybernétiques (CAASM), la gestion des vulnérabilités et la gestion de la posture de sécurité à travers le cloud, les données, l'identité, les API, l'IA, la conformité et les applications SaaS dans une solution puissante et facile à utiliser.
La gestion de l'exposition aux risques cybernétiques peut vous aider avec la gestion de la surface d'attaque et au-delà.