L'importance de l'attribution des actifs
Imaginons un instant que tous les actifs connectés à Internet de votre organisation soient des étoiles dans la galaxie. Considérez chaque serveur, application et appareil comme un point lumineux différent dans votre coin du cosmos.
En matière de cybersécurité, nous pouvons considérer l'attribution des actifs comme le processus de cartographie de chacune de ces étoiles. L'attribution des actifs garantit que chaque entité numérique sur la surface d'attaque est non seulement identifiée, mais aussi étiquetée avec son propriétaire, son objectif et sa place dans l'architecture organisationnelle.
Cette cartographie est cruciale. En cas de jour zéro ou de découverte d'une menace critique, le fait de savoir exactement où se trouve chaque actif et qui en est le propriétaire peut considérablement accélérer la capacité de votre équipe de sécurité à établir des priorités et à réagir. Ce type de réponse rapide et éclairée est essentiel pour minimiser l'exposition et atténuer les risques de manière efficace. Et, surtout, il peut contribuer à améliorer le temps moyen de réaction (MTTR) de votre équipe.
Le temps moyen de réaction : Une mesure à noter
Le délai moyen d'intervention est un indicateur essentiel qui permet aux équipes de sécurité de mesurer l'efficacité de leur fonction. Un MTTR faible indique que votre équipe a la capacité de traiter rapidement et efficacement une menace, généralement avant qu'elle n'ait un impact négatif sur l'organisation. Un MTTR élevé ? Cela peut indiquer qu'il faut davantage d'outils, de formation ou d'améliorations des processus, car les vulnérabilités sont laissées trop longtemps sans réponse.
Malheureusement, de nombreuses équipes de sécurité ont du mal à atteindre un MTTR raisonnable. En 2023, selon une étude d'EdgeScan, il faudra en moyenne 65 jours pour remédier aux vulnérabilités de gravité critique. Cela représente plus de deux mois pendant lesquels les actifs restent vulnérables aux actions des adversaires. À titre de comparaison, la CISA recommande de remédier aux vulnérabilités critiques dans un délai de 15 jours seulement.
Qu'est-ce qui prolonge le processus d'assainissement ? Si de nombreux facteurs entrent en jeu, l' attribution des actifs peut être l'un de ceux qui prennent le plus de temps.
Comment l'attribution des actifs influe sur le MTTR
Les équipes ont souvent du mal à attribuer les actifs lorsqu'elles ne disposent pas d'une vue complète, actualisée et contextualisée de leur surface d'attaque. En d'autres termes, elles ne savent pas exactement ce qu'elles possèdent. Elles disposent peut-être d'un inventaire statique des actifs, mais celui-ci n'est pas mis à jour en permanence. Elle ne dispose que d'une vue ponctuelle, qui devient obsolète entre les exercices d'inventaire programmés. Par exemple, lorsqu'un membre de l'équipe installe une nouvelle solution SaaS sans respecter le protocole, votre équipe de sécurité n'en sait rien jusqu'à son prochain inventaire des biens.
Cela signifie que lorsqu'une vulnérabilité critique survient, ces équipes ont plus de travail manuel à faire.
Lorsqu'elles tentent d'évaluer l'impact potentiel d'une vulnérabilité, ces équipes doivent avoir une vision actualisée de leur surface d'attaque. Une vue obsolète peut omettre des actifs qu'une vulnérabilité critique pourrait toucher. Pour obtenir cette vue actualisée, il peut être nécessaire de lancer de nouveaux efforts de découverte des actifs et de se référer à des ensembles de données brutes. Lorsque ces ensembles de données sont fragmentés, ou lorsque les détails des actifs dans les ensembles de données sont rares, les équipes peuvent être entraînées dans des trous de lapin chronophages pour tenter d'y voir plus clair. Cela ralentit le processus de remédiation et augmente le MTTR.
Automatiser l'attribution avec la gestion de la surface d'attaque
Lagestion de la surface d'attaque (ASM) peut contribuer à combler cette lacune. La gestion de la surface d'attaque est une solution proactive qui découvre et fournit en permanence le contexte des actifs, connus et inconnus, sur la surface d'attaque d'une organisation. L'ASM donne aux équipes de sécurité une carte puissante de l'ensemble de leur surface d'attaque, et rafraîchit continuellement la vue de la surface d'attaque lorsque de nouveaux actifs sont mis en ligne ou hors ligne. Une solution ASM, telle que Censys Attack Surface Management, découvre automatiquement les actifs inconnus sur la surface d'attaque et fournit un contexte sur leur propriété.
En cartographiant et en attribuant chaque actif à des emplacements et à des propriétaires spécifiques, les organisations peuvent obtenir une compréhension plus complète de leur surface d'attaque. Cette connaissance détaillée devient inestimable pour identifier les vulnérabilités potentielles et accélérer le processus de remédiation. Avec ASM, lorsqu'un jour zéro frappe, votre équipe n'a pas à se démener pour reconstituer manuellement l'emplacement des actifs affectés ou la manière dont un actif précédemment inconnu, désormais vulnérable, s'inscrit dans la surface d'attaque de votre organisation. ASM fournit la vue complète, contextualisée et actualisée dont vous avez besoin.
Les données jouent également un rôle important
L'efficacité des solutions ASM dépend des données sur lesquelles elles s'appuient. Pour découvrir et identifier en permanence et avec précision les actifs sur la surface d'attaque, les solutions ASM doivent utiliser des informations complètes, précises et actualisées sur l'infrastructure Internet mondiale. Il ne suffit pas de scanner certaines parties de l'internet pour découvrir des actifs inconnus. Il en va de même pour les balayages intermittents ou l'incapacité à collecter suffisamment de détails sur un actif pour fournir aux équipes un contexte pertinent.
Pourquoi mettre l'accent sur les données ? La capacité de l'ASM à procéder efficacement à l'attribution des actifs en dépend. C'est aussi un facteur qui peut être négligé. En effet, les équipes de sécurité peuvent supposer que "les données sont des données" et que les solutions ASM utilisent probablement des sources de données similaires. En réalité, la qualité des données d'analyse Internet sur lesquelles s'appuient les fournisseurs d'ASM varie considérablement. Certaines données ne sont rafraîchies qu'une fois par semaine ou par intermittence. D'autres données ne reflètent qu'une partie de l'infrastructure internet mondiale. Pour avoir une idée de ce que nous voulons dire, vous pouvez consulter notre récent article sur ce à quoi ressemble une intelligence Internet inégalée.
La clarté grâce à Censys Gestion de la surface d'attaque
Les équipes qui cherchent un moyen d'améliorer l'attribution des actifs et de réduire le MTTR pourraient être intéressées par Censys EASM, qui réunit de manière unique la meilleure technologie ASM de sa catégorie et une intelligence Internet de pointe. Censys est le seul fournisseur ASM qui exécute un moteur d'attribution quotidiennement, démontrant un avantage significatif dans le nombre de services énumérés et réduisant les faux positifs de 70 %. Notre attribution quotidienne automatisée fournit une vue complète des actifs du client, augmentant ainsi la visibilité du client jusqu'à 80 %. L'algorithme d'attribution de Censys aide également les équipes de sécurité à comprendre les connexions des actifs, les configurations actuelles et à découvrir les détails des menaces, et maintient un taux de précision d'attribution supérieur à 95 %.
Le paysage numérique continue d'évoluer, tout comme nos stratégies de protection. L'attribution des actifs par le biais de la gestion de la surface d'attaque est plus qu'une tactique, c'est un élément essentiel d'une posture de cybersécurité proactive. Adoptez-la et découvrez comment votre équipe peut améliorer son MTTR !