L'une des nouvelles tendances en matière de sécurité en 2021 est la gestion de la surface d'attaque. Mais comment en est-on arrivé là ? C'est simple, les tendances en matière de sécurité naissent avec le recul. C'est par le biais d'enquêtes et de réponses judiciaires que nous apprenons quelle est la méthodologie utilisée par un acteur de la menace. Forts de ces informations, nous déterminons comment nous pouvons prévenir et détecter les menaces avec les outils dont nous disposons. Lorsque nous constatons des lacunes dans notre couverture, nous incorporons quelque chose de nouveau pour répondre à nos besoins.
Dans ce blog, je mettrai en évidence les tendances du secteur de la cybersécurité qui résultent de certaines des violations les plus importantes de notre époque. Nous explorerons ces tendances et les pratiques de sécurité, dont la plupart sont encore utilisées aujourd'hui.
2010 - 2012 : Les journées zéro sont devenues sauvages !
Le début de la décennie a été marqué par la divulgation d'une faille chez Google, connue plus tard sous le nom d'opération Aurora. L'impact s'est fait sentir bien au-delà de Google et a touché de nombreuses autres grandes organisations. Cette faille a entraîné une tendance qui allait perdurer au sein de la communauté de la sécurité pendant de nombreuses années. Quelle était cette tendance ? La tendance à abandonner le navigateur par défaut IE (Internet Explorer) dans Windows pour des alternatives telles que Firefox ou Chrome. Une tendance encore observée aujourd'hui.
Peu après, nous avons assisté à la découverte du ver Stuxnet. La sophistication combinée de l'utilisation de quatre jours zéro, dont l'un ciblait un automate programmable pour échapper aux contrôles de sécurité standard, a eu des implications considérables. Le sandboxing est rapidement apparu comme un moyen d'émuler le lancement d'un fichier ou de rejouer le contenu d'un navigateur pour voir si un comportement anormal tel qu'un exploit de type "zero-day" pouvait être détecté.
La décennie a été marquée par des cyberattaques très médiatisées qui ont dépassé les mesures de sécurité commerciales traditionnelles pour s'introduire dans nos foyers. Des grandes banques commerciales au réseau Sony Playstation, les violations ont mis en évidence les lacunes en matière de sécurité pour l'hygiène des mots de passe personnels. La nécessité d'avoir un mot de passe différent pour tous les comptes est devenue un défi sérieux et s'est accrue au fur et à mesure que les violations de données des consommateurs se sont multipliées.
Au cours de la décennie, nous avons assisté à une série de violations qui se sont étendues à Mac OS et aux appareils mobiles. Des solutions de cybersécurité ont commencé à voir le jour pour répondre à ces problèmes. L'une d'entre elles était la gestion des appareils mobiles, un outil de sécurité qui visait à obtenir une certaine visibilité et un certain contrôle sur les données de l'entreprise lorsqu'elles quittaient le réseau traditionnel et atterrissaient dans un appareil portable.
Les grandes plateformes de médias sociaux, ainsi que les organisations SaaS, ont également commencé à ressentir les effets de la compromission et ont constaté que les mots de passe de leurs utilisateurs avaient été divulgués et que les données qu'elles hébergeaient avaient été volées. L'exemple le plus marquant est le piratage du journaliste Matt Honan, qui a entraîné l'effacement des actifs numériques de Matt (Gmail, sauvegardes iPhone/mac, etc.) et la compromission de son Twitter pour y déverser de la haine. Il a reconnu que s'il avait activé l'authentification à deux facteurs, cela aurait été évité. Cela a déclenché la tendance de l'authentification à deux facteurs et a conduit au début de l'authentification à deux facteurs en tant que pratique standard.
2013 - 2017 : Toutes les données leur appartiennent
Les entreprises de consommation ont également tiré des leçons difficiles qui ont donné lieu à des innovations majeures et à des refontes de l'architecture du réseau. La faille la plus notable de l'époque : Target. La violation de Target a permis de mieux comprendre l'importance de la segmentation du réseau et a entraîné une tendance à l'adoption de nouveaux outils. Des outils tels que la gestion des informations et des événements de sécurité (SIEM), qui étaient historiquement utilisés à des fins de conformité, sont devenus essentiels pour répondre à une violation. En outre, les outils d'enrichissement et d'intelligence ont également commencé à alimenter un SIEM pour donner la visibilité et le contexte nécessaires aux intervenants. Plus précisément, les logiciels de détection et de réponse des points d'extrémité (EDR) et les renseignements sur les cybermenaces (CTI), lorsqu'ils sont fusionnés avec les données d'un SIEM, permettent aux centres d'opérations de sécurité de réagir plus rapidement aux alertes. Au fur et à mesure que des détails médico-légaux émergeaient de cette violation, nous avons constaté que le risque lié aux tiers commençait à devenir une préoccupation majeure.
Alors que nous approchons des dernières années de la décennie, nous assistons à ce que j'aime appeler un "retour aux sources". Des violations comme celle d'Equifax ont rappelé à la communauté de la sécurité l'importance de mettre en place une fonction de gestion des correctifs et des vulnérabilités. Fondamentalement, cette stratégie dépend de la connaissance de l'emplacement de vos actifs sur l'internet et de la tenue d'un inventaire permanent.
Au fur et à mesure que les entreprises se déplacent et migrent vers l'informatique dématérialisée, la complexité du réseau et de l'écosystème logiciel s'accroît considérablement. Cette complexité s'est accompagnée d'une tâche de plus en plus difficile : savoir où et comment se trouvent vos actifs sur l'internet. À mesure que nous nous étendons en dehors du réseau traditionnel, nous ouvrons des ports et des protocoles pour permettre des connexions entre ces composants disparates par le biais d'une intégration API ou de crochets directs. Il est difficile de répondre à des questions fondamentales telles que la surface d'attaque de mon entreprise lorsque vous incluez des réseaux domestiques, des plateformes cloud fournissant des IaaS, des appareils IoT, des applications SaaS tierces et des systèmes hérités, qui peuvent tous augmenter le risque d'une organisation.
2018 - 2020 : Technologie, Intel et expertise OH MY !
D'ici à la fin de la décennie, le nombre d'emplois non pourvus dans le domaine de la cybersécurité est estimé à plus de 3,5 millions d'ici à 2021. Cette immense pénurie et cette complexité croissante ont engendré plusieurs tendances dans le secteur. D'un point de vue purement humain, nous voyons de plus en plus d'organisations se décharger du travail sur des tiers tels que les fournisseurs de services de sécurité gérés (MSSP), les services de détection et de réponse gérés (MDR) et le crowdsourcing pour les tests et les évaluations de la sécurité. D'un point de vue technologique, nous voyons les fournisseurs de logiciels adopter davantage d'algorithmes d'apprentissage automatique et d'intelligence artificielle, d'automatisation des processus robotiques et de fonctionnalités d'automatisation de l'orchestration de la sécurité et de la réponse.
Alors que nous nous adaptons à ces changements, la gestion systématique, reproductible et régulière des risques est devenue plus importante que jamais. En moins de dix ans, nous sommes passés de composants de sécurité traditionnels simples et contrôlés (pare-feu, antivirus, passerelles web, filtres anti-spam et VPN) à un écosystème très complexe dont la protection nécessite une nouvelle approche. L'une de ces approches, qui est de plus en plus largement adoptée chaque jour, consiste à considérer votre surface d'attaque du point de vue d'un acteur malveillant.
À la fin de la décennie, nous avons appris l'existence de la plus grande faille à ce jour, celle de SolarWinds. La faille de SolarWinds, qui fait toujours l'objet d'une enquête à l'heure où j'écris ces lignes, nous rappelle ce qui est actuellement la tendance la plus importante, à savoir l'importance de mettre en place une fonction de gestion de la surface d'attaque précise et permanente au sein de votre organisation. Une fonction de gestion de la surface d'attaque permet de s'assurer que les mesures de sécurité appropriées sont en place pour tous les actifs exposés et en contact avec Internet et, comme nous l'avons vu au fil des ans, elle est essentielle pour prévenir la prochaine violation. Nous devons garder un œil vigilant sur le réseau (traditionnel et dans le nuage), les appareils mobiles, les terminaux et les risques liés à la chaîne d'approvisionnement des tiers.
Que faire maintenant ?
Quels sont les principaux enseignements à tirer de ces violations et des tendances du secteur ? Tout d'abord, elles ont toutes un coût. Des amendes aux dommages causés à la marque et à la réputation, en passant par la perte de propriété intellectuelle, les conséquences d'une mauvaise sécurité de l'information peuvent avoir des effets durables. Une autre tendance importante à reconnaître est que toutes ces violations étaient liées à la gestion de la surface d'attaque d'une manière ou d'une autre. Les appareils que vos employés utilisent à la maison ou en déplacement font autant partie de votre surface d'attaque que votre présence traditionnelle sur Internet, ce qui ne fait que souligner la nécessité urgente de pouvoir gérer efficacement ces risques.
En tant que praticiens de la sécurité, nous continuerons à essayer de répondre à ces questions : Les réseaux que vos employés utilisent pour se connecter à l'organisation sont-ils sûrs ? Y a-t-il des ports ou des protocoles exposés qui ne devraient pas l'être ? Utilisons-nous des logiciels web dont les vulnérabilités sont connues ?
Sur Censys, nous pouvons répondre à ces questions et à bien d'autres encore. Vous souhaitez discuter avec Alexis de votre surface d'attaque ? Apprenez-en plus et planifiez votre démonstration ici!
