Peu après l'arrivée de la pandémie de Covid-19, Censys s'est associé à une agence d'État qui souhaitait étendre son programme de gestion des risques en automatisant la découverte et le suivi de la surface d'attaque. De nouveaux défis sont apparus après que leur personnel a déménagé pour travailler à distance.
Principaux avantages
En s'associant à Censys, l'agence nationale a gagné en efficacité :
- Efficacité et gain de temps - Avant Censys, l'agence ne disposait pas des ressources nécessaires pour suivre manuellement et efficacement sa surface d'attaque. Désormais, l'organisation peut suivre ses actifs, les environnements informatiques non approuvés dans le nuage et au-delà, ainsi que les risques potentiels liés à l'expiration des certificats et des domaines, aux vulnérabilités potentielles et à d'autres mauvaises configurations.
- Protection et tranquillité d'esprit - L'agence est désormais en mesure de surveiller les actifs potentiellement exposés de l'ensemble de son personnel déployé à distance.
- Meilleures mesures préventives - Grâce à une meilleure visibilité du nuage, l'agence a été mieux à même de lutter contre les incidents de configuration. Les connecteurs cloud lui permettent également de suivre facilement les actifs cloud au fil du temps, en mesurant les changements de sécurité adoptés et déployés.
- Continuité des activités - La gestion des certificats de la plateforme permet d'éviter les interruptions dans le déroulement des transactions sécurisées de l'agence d'État en ligne, ce qui garantit la continuité des activités.
Les objectifs
Gérer les changements de la surface d'attaque avec une main-d'œuvre distante de plus en plus nombreuse
Comme de nombreuses organisations, l'agence était confrontée à un certain nombre de facteurs cumulés qui avaient un impact simultané sur sa surface d'attaque. Le premier était l'afflux de personnel travaillant à distance, en dehors des limites du réseau traditionnel mis en place et sécurisé par l'organisation. Pour reprendre les termes du responsable de la technologie et de la sécurité, "nous envisageons une expansion de nos points d'extrémité avec plusieurs personnes travaillant à l'extérieur de notre pare-feu. Auparavant, une petite partie de notre personnel possédait des ordinateurs portables et les emportait à la maison, et ce nombre ne cesse d'augmenter." La visibilité de vos "points finaux", même en dehors du périmètre traditionnel de l'organisation, est essentielle pour un programme de sécurité efficace.
Protéger la surface d'attaque grâce à une migration complexe vers l'informatique dématérialisée
L'agence était également préoccupée par la sécurisation de son infrastructure. L'équipe de sécurité était en train de migrer des actifs d'un centre de données traditionnel hébergé par le gouvernement vers un nouveau fournisseur sur leur nuage privé. Elle se préparait également à transférer des ressources supplémentaires vers l'infrastructure Amazon AWS. Lors d'une migration, il est essentiel de garantir le transfert sécurisé de toutes les données, notamment en veillant à ce que les serveurs et tout ce qui touche à l'internet public soient correctement configurés et pris en compte lors de la création et de la réduction progressive des composants de l'infrastructure.
Entrer dans la gestion de la surface d'attaque
La gestion de la surface d'attaque (ASM) est le processus continu de découverte, d'inventaire et de résolution des risques ayant un impact sur les actifs orientés vers l'Internet. Les organisations remodèlent constamment leur surface d'attaque face à Internet, qu'elles le sachent ou non. Les services et les données qu'ils utilisent sont développés, déployés et reconfigurés sur Internet plusieurs fois par semaine. Pour reprendre les termes du RSSI, Jeff Ford : "Nous savions que notre surface d'attaque augmentait et nous voulions nous assurer que nous utilisions des outils, en particulier Censys [ASM], pour comprendre à quoi ressemblait cette surface d'attaque".
Qu'est-ce que cela signifie pour le quotidien du praticien de la sécurité ? L'agence d'État a mis en œuvre les conclusions de la plate-forme de gestion de la surface d'attaqueCensys de la manière suivante.
Analyse permanente des ports pour atténuer les menaces pesant sur les serveurs externes - L'équipe utilise désormais la plate-forme de gestion de la surface d'attaque Censys pour rechercher les ports/protocoles exposés sur les serveurs accessibles au public. Cela a permis à l'équipe de réduire rapidement et efficacement sa surface d'attaque, en étiquetant des hôtes spécifiques comme étant autorisés à avoir certains ports/protocoles ouverts et en surveillant continuellement la dérive de la posture de sécurité pour aller de l'avant"
Suivi d'une surface d'attaque en expansion avec des employés travaillant à domicile - Avec un nombre croissant d'employés travaillant à domicile en dehors du pare-feu de l'entreprise, l'agence d'État souhaitait avoir une meilleure visibilité sur les terminaux de ses employés se connectant tous les jours - d'où se connectaient-ils et quel était l'impact sur leur surface d'attaque. Une visibilité accrue grâce à la plateforme de gestion de la surface d'attaque Censys leur a permis de protéger les employés travaillant à domicile en surveillant les services potentiellement exposés qui ne devraient pas l'être.
Gestion des certificats pour assurer la continuité des activités - Censys collecte des certificats uniques et les analyse pour indiquer leur degré de confiance, leur niveau de cryptage, s'ils sont auto-signés et leur expiration. Censys collecte les certificats par le biais d'un balayage à l'échelle de l'Internet et d'une synchronisation avec les journaux de transparence des certificats pour une couverture complète. Cette vigilance est importante car un certificat expiré peut empêcher d'effectuer des transactions sécurisées en ligne. Selon l'analyste de la sécurité de l'agence nationale : "L'expiration des certificats est un bon rappel qui nous permet de voir ce qui a expiré et ce qui n'a pas expiré".
Amélioration de la visibilité du cloud pour lutter contre les erreurs de configuration - Au fur et à mesure que l'agence d'État migre et étend son environnement cloud, il y a toujours des inquiétudes concernant les mauvaises configurations et les services cloud non approuvés qui sont provisionnés et utilisés par le personnel. Grâce aux connecteurs cloud de la plateforme, l'organisation a obtenu une visibilité et un aperçu supplémentaires de son nouvel environnement cloud en identifiant des éléments tels que : les buckets S3 exposés (ou autre stockage d'objets), les comptes cloud non approuvés en dehors du contrôle de l'équipe de sécurité, ainsi que les services exposés dans les environnements cloud tels que les bases de données et RDP. Les connecteurs cloud leur permettent de suivre facilement ces actifs au fil du temps, en mesurant les changements de sécurité adoptés et déployés.
Vous souhaitez en savoir plus ?
Télécharger l'étude de cas complète
