Si vous avez assisté à la conférence Black Hat cette année, ou si vous avez fait vos devoirs en ligne sur l'Internet, vous avez probablement entendu parler de termes tels que EASM, ASM, Exposure Management, Attack Surface, et des nombreuses autres variantes qui semblent sortir du bois. S'agit-il d'outils ? De capacités ? Ou simplement les dernières expressions marketing à la mode que personne ne comprend vraiment ? La réponse est oui. Les fournisseurs de sécurité ont fait un travail absolument remarquable pour rendre cette nouvelle catégorie aussi claire que de la boue, ce qui peut rendre encore plus difficile pour vous, le responsable SOC, l'ingénieur en sécurité cloud, l'administrateur informatique, l'intervenant en cas d'incident, etc. de comprendre réellement dans quoi vous vous engagez.
Mais n'ayez crainte ! L'un des moyens les plus simples de dissiper la confusion est de disposer d'une terminologie et de définitions concrètes, afin que tout le monde parle le même langage. Explorez notre glossaire pour comprendre comment nous parlons de cybersécurité et de gestion de la surface d'attaque à l'adresse Censys, l'un des pionniers de ce secteur.
Le glossaire de la gestion de la surface d'attaque Censys
Découverte d'actifs
Le processus d'identification des ressources Internet qui font partie d'une surface d'attaque. Les connexions entre les ressources et la surface d'attaque doivent être déterminées de manière automatisée, en donnant la priorité aux résultats les plus probants afin de réduire les faux positifs. L'identification des actifs est une capacité fondamentale de la gestion de la surface d'attaque et doit être effectuée aussi souvent que possible. Également appelée "Attribution des actifs".
Surface d'attaque
L'ensemble des actifs Internet pertinents pour la posture de cybersécurité d'une organisation, auxquels un attaquant peut tenter d'accéder ou qu'il peut compromettre. Les actifs internes et externes constituent la surface d'attaque et se trouvent sur site, dans le nuage, chez des fournisseurs d'hébergement partagés et dans d'autres dépendances de tiers. La surface d'attaque comprend tous les actifs, qu'ils soient connus et protégés par une équipe informatique et de sécurité ou non.
Gestion de la surface d'attaque
La découverte, l'inventaire et la surveillance continus de l'infrastructure informatique d'une organisation, qu'elle soit connue ou non. Il s'agit d'un processus continu qui implique une visibilité interne et externe des actifs. La gestion de la surface d'attaque présente une nouvelle approche pour les programmes de sécurité afin de comprendre et de partager le contexte entre les équipes pour devenir proactif dans la construction de solutions sécurisées et la protection de l'entreprise. La gestion de la surface d'attaque externe (EASM) est une fonction du processus plus large de gestion de la surface d'attaque qui se concentre spécifiquement sur la surface d'attaque externe.
Comment une équipe de sécurité a automatisé la gestion de la surface d'attaque
Détection automatique de protocole
Méthode de balayage des ports consistant à analyser chaque réponse du serveur pour identifier le service sous-jacent, même si le service n'est pas standard pour le numéro de port (par exemple, SSH sur le port 1234). Cette méthode tient compte du fait que n'importe quel service peut être exécuté sur n'importe quel port. Environ 60 % de tous les services observés sur l'internet se trouvent sur un port non standard.
En savoir plus sur la détection automatique des protocoles
Connecteur cloud
Une intégration avec les comptes cloud qui est utilisée pour la découverte du Shadow Cloud, la surveillance de l'exposition et l'inventaire des actifs cloud. Les informations provenant de tous les actifs connectés à Internet dans un compte cloud donné (Amazon S3, Azure Blob, Google Cloud Storage, instances virtuelles, bases de données, etc.) sont continuellement introduites dans une plateforme ASM, idéalement aussi fréquemment que possible, ce qui enrichit le processus de découverte des actifs et fournit une visibilité totale du cloud.
Censys Connecteurs de nuages
Infrastructure de commandement et de contrôle (C2)
Logiciel utilisé pour contrôler les serveurs sur lesquels ils apparaissent sur l'internet. Comme tout logiciel, ils ont des paramètres et des configurations par défaut identifiables de manière unique. Cela peut fournir aux professionnels de la sécurité des outils pour tester leurs défenses, mais ils peuvent également être utilisés pour des actions malveillantes.
Blog sur la commande et le contrôle
Exposition
Tous les points d'entrée potentiels d'un bien donné qui peuvent être vus de l'extérieur vers l'intérieur (face à Internet). Les expositions en elles-mêmes ne déterminent pas le risque global pour une organisation, mais présentent des opportunités qui peuvent être exploitées par des attaquants, et doivent être surveillées ou traitées.
Actif externe
Entité orientée vers l'internet qu'une organisation contrôle afin de mener ses activités sur l'internet, y compris les adresses IP, les blocs de réseau (CIDR), les systèmes autonomes (ASN), les certificats, les domaines et sous-domaines, les sites web et les objets de stockage. Un ensemble de ressources externes représente la surface d'attaque externe d'une organisation.
Surface d'attaque externe
L'ensemble des actifs externes pertinents pour la posture de cybersécurité d'une organisation. La surface d'attaque externe comprend à la fois des actifs connus et inconnus, et est devenue le premier point d'entrée des incidents de sécurité et des violations.
Gestion de la surface d'attaque externe
Outil ou processus permettant de découvrir, d'inventorier et de surveiller en permanence l'exposition des ressources externes connues et inconnues. La gestion de la surface d'attaque externe fait partie d'un processus ou d'un programme plus large de gestion de la surface d'attaque et doit donner la priorité à la visibilité extérieure-intérieure des actifs externes, qui seront les plus accessibles aux attaquants.
Rescan à la demande
Déclenchement d'un balayage de port de n'importe quel hôte dans une surface d'attaque pour balayer à nouveau tous les services connus, en actualisant les données de l'hôte avec sa configuration la plus récente d'un point de vue extérieur-intérieur. Cette méthode est souvent utilisée comme un mécanisme de "confiance, mais vérification" en tant qu'étape finale des efforts de remédiation de l'exposition.
Risque
La possibilité qu'une exposition ait un impact négatif sur une organisation si elle est exploitée ou mise en œuvre par un attaquant. La gravité globale d'un risque est déterminée par une combinaison de l'exposition elle-même et des données sous-jacentes, du contexte commercial ou de l'importance pour un écosystème informatique. La gravité du risque peut varier au cas par cas.
Nuage fantôme
Les actifs hébergés dans le nuage et orientés vers l'Internet qui vivent en dehors de tout environnement protégé par le programme de sécurité d'une organisation. Le nuage fantôme est le résultat de l'adoption de nuages gérés et non gérés au sein d'une organisation, et se produit le plus souvent lorsque des parties de l'organisation en dehors de l'informatique créent des services de nuage, souvent en contournant tout processus informatique formel.
Gestion de la surface d'attaque : Le problème du cloud
Shadow IT
Les actifs orientés vers l'Internet qui ne sont pas maintenus, gérés et protégés de manière cohérente par une organisation. Shadow IT présente des vecteurs d'attaque faciles à exploiter car ces actifs sont en dehors du champ d'application des outils de sécurité, et ont donc une protection minimale en place. Les sources courantes de Shadow IT sont les infrastructures héritées, les actifs nouvellement hérités à la suite d'une fusion ou d'une acquisition, les actifs non gérés par l'informatique créés par d'autres parties de l'organisation et l'adoption de services en nuage.
Vous souhaitez en savoir plus sur le monde de la gestion de la surface d'attaque ? Rendez-vous sur notre page Ressources pour trouver des livres électroniques, des études de cas, des webinaires, des rapports de recherche et bien plus encore.