Sur Censys, nous parlons sans cesse de l'importance des données pour le succès de la cybersécurité. Il s'agit d'un élément fondamental de la pratique, qui conditionne presque toutes les décisions que les équipes doivent prendre. Quels sont les actifs exposés ? Où devons-nous rechercher les menaces ? Comment notre surface d'attaque évolue-t-elle au fil du temps ? Vos données guident les réponses à ces questions.
Cependant, la qualité de ces données détermine si vous obtenez ou non les bonnes réponses. Et une grande partie de la qualité est la "fraîcheur". Dans un paysage de menaces qui évolue rapidement, les équipes de cybersécurité ont besoin de données suffisamment récentes pour leur permettre de repérer les risques sur leur propre surface d'attaque et d'identifier les menaces externes avant que les adversaires ne puissent agir.
Ce qui nous amène à la question suivante : comment savoir si vos données sont "suffisamment fraîches" ?
Cette étude de GreyNoise Research montre que toutes les trois minutes environ, des entités inconnues, voire malveillantes, effectuent leur propre balayage de l'internet. Il s'agit presque d'un balayage continu de la part d'adversaires potentiels. Si votre propre flux de données ne suit pas, les acteurs de la menace auront certainement une chance d'exploiter les risques de votre surface d'attaque avant que votre équipe ne s'en aperçoive.
Une vision en temps quasi réel
Les équipes de cybersécurité ont donc besoin de savoir ce qui se passe aujourd'hui, et non pas le mois dernier, la semaine dernière ou un jour quelconque il y a deux semaines. Sans une vision en temps quasi réel des surfaces d'attaque et de l'infrastructure Internet mondiale, les équipes doivent prendre des décisions sur la base de données périmées qui risquent de négliger de nouvelles menaces ou d'amener les analystes à enquêter sur des activités qui ont changé depuis.
De nombreuses équipes de cybersécurité n'exploitent pas des données réellement à jour. En fait, seulement 14 % des personnes interrogées dans le cadre de l'enquête 2023 Security Hygiene and Posture Management Survey ont déclaré qu'elles analysaient en permanence leurs surfaces d'attaque. Un tiers des personnes interrogées analysent leurs surfaces d'attaque tous les mois, et 19 % ne le font que tous les trimestres.
Qu'est-ce qui empêche les équipes de se mettre à jour ? Certains fournisseurs font payer les utilisateurs plus cher pour scanner l'internet plus fréquemment, et même dans ce cas, ils ne fournissent des mises à jour qu'une fois par semaine. En fait, de nombreuses sources de données internet sur le marché n'offrent pas une visibilité en temps quasi réel, ce qui peut amener les équipes à penser qu'il n'y a tout simplement pas de meilleure option. Ce n'est évidemment pas le cas. La carte InternetCensys , qui alimente notre plateforme d'intelligence Internet pour la chasse aux menaces et la gestion de l'exposition, offre la vue la plus à jour de l'Internet mondial disponible, balayant l'ensemble de l'IPv4 toutes les 2 à 3 minutes.
En d'autres termes, le site Censys suit en fait le rythme de l'analyse des adversaires potentiels observée par GreyNoise.
Il vaut la peine d'obtenir des données vraiment fraîches, car elles permettent aux équipes de cybersécurité d'être mieux équipées pour prendre des mesures, notamment pour.. :
- Détecter les risques sur leur surface d'attaque avant les adversaires
- Identifier rapidement les menaces émergentes
- Observer les modifications de leur surface d'attaque et d'autres services sur l'internet
- Accélérer le temps de réponse aux incidents
Étant donné que la quasi-totalité des responsables de la sécurité interrogés (93 %) déclarent avoir été victimes d'une cyberattaque au cours des 12 derniers mois, la nécessité de disposer de meilleures données est évidente.
Autres critères à prendre en compte
Bien entendu, la fraîcheur n'est pas la seule attente des équipes à l'égard de leurs données. Les données sur lesquelles reposent les décisions en matière de cybersécurité doivent également être complètes (c'est-à-dire que les données sont basées sur des analyses multi-perspectives avec une couverture mondiale), précises (les faux positifs et négatifs sont réduits au minimum) et contextualisées (les données sont étiquetées et faciles à filtrer). Ce dernier attribut est important, car les équipes doivent pouvoir comprendre rapidement ce qu'elles observent sans avoir à se lancer dans des investigations poussées. Les données sont-elles étiquetées et permettent-elles d'analyser et d'indexer les champs pour mieux les organiser ? Peuvent-elles être facilement regroupées dans un rapport destiné aux dirigeants ?
Mieux faire avec de meilleures données
Les équipes ne devraient pas avoir à se contenter de données moins fraîches. Si vos données sont actualisées tous les mois, tous les trimestres ou par intermittence, considérez-les comme périmées. Vous méritez des données en temps quasi réel sur lesquelles votre équipe peut s'appuyer pour protéger de manière proactive votre organisation contre les acteurs des menaces avancées.
Voir nos données en action
