Au début du mois, la Cybersecurity and Infrastructure Security Agency (CISA) du gouvernement fédéral a publié la directive opérationnelle contraignante 23-01 : Improving Asset Visibility and Vulnerability Detection on Federal Networks (Améliorer la visibilité des actifs et la détection des vulnérabilités sur les réseaux fédéraux). Cette directive s'applique à tous les systèmes du pouvoir exécutif civil fédéral et aux agences qui exploitent ces systèmes. La CISA indique que cette directive vise à réaliser des progrès plus mesurables dans l'amélioration de la visibilité des actifs des agences et des vulnérabilités qui y sont associées. Elle fait également suite à la récente proclamation par la Maison Blanche du mois de la sensibilisation à la cybersécurité.
Cette mesure constitue un pas important vers l'amélioration de la position du gouvernement fédéral en matière de cybersécurité, et ici, à Censys, nous la soutenons pleinement.
La directive reconnaît ce que nous savons depuis longtemps être vrai, à savoir que "la visibilité continue et complète des actifs est une condition préalable fondamentale pour que toute organisation puisse gérer efficacement les risques liés à la cybersécurité". Le cadre de cybersécurité du NIST considère l'identification comme la première étape de la sécurisation d'une organisation, car sans une identification correcte des actifs détenus, il est impossible de déterminer la priorité de ces actifs par rapport à la mission ou à l'objectif de l'organisation. La gestion de la surface d'attaque est l'effort qui permet cette visibilité "continue" des actifs. Les équipes de sécurité doivent opérer avec une compréhension totale de leur surface d'attaque externe, qui comprend des actifs dont l'équipe n'a peut-être pas conscience.
Passer à l'action avec la gestion de la surface d'attaque
D'ici le 3 avril 2023, les agences et systèmes fédéraux concernés devront procéder à une découverte automatisée des actifs tous les 7 jours. La découverte doit couvrir tous les actifs basés sur IPv4. Bien que la directive de la CISA ne dicte pas les outils spécifiques de découverte des actifs à utiliser, pour répondre à l'exigence, les agences bénéficieront d'un balayage continu et complet qui peut également fournir un contexte via l'attribution et l'annotation des risques. Ce faisant, les agences peuvent à la fois identifier les biens inconnus en temps réel et donner un sens à ce qu'elles ont trouvé grâce à l'algorithme d'attribution de l'outil. Un processus de découverte précis permet d'économiser beaucoup de temps et de ressources pour le personnel technique surchargé qui devrait autrement rechercher manuellement les biens en utilisant les mêmes méthodologies non modifiées. Grâce à un algorithme d'analyse automatisé, les données en temps réel qui couvrent plus de 65 000 ports sur 99 % de l'espace IPv4 sont enrichies quotidiennement, en quelques minutes.
La plateforme de gestion de la surface d'attaqueCensys offre une découverte continue et de bout en bout de l'ensemble de l'espace IPv4, ce qui peut aider les agences à répondre aux exigences de la directive. En fait, un rapport récent de GreyNoise a révélé que Censys avait des capacités de balayage nettement plus rapides et plus robustes que tout autre outil de balayage à l'échelle de l'internet.
CensysLa plateforme de gestion de la surface d'attaque d'Alcatel-Lucent peut aider les agences à accomplir leur mission plus rapidement, avec moins de personnel. Par exemple, avec une quantité limitée de semences, la plateforme peut découvrir 80 % d'une surface d'attaque inconnue, avec des mises à jour quotidiennes. En outre, la capacité de la plateforme à "cliquer pour rescanner" est un moyen rapide et technique de vérifier les correctifs apportés à la configuration.
Envisager le recensement et l'intégration des vulnérabilités
Pour répondre à la deuxième exigence de la directive, les agences devront procéder à l'énumération des vulnérabilités sur tous les biens découverts, y compris les biens nomades (comme les ordinateurs portables). Cela signifie qu'elles devront effectuer des analyses sur les biens ciblés afin d'identifier les vulnérabilités tous les 14 jours, conformément à la directive. Les plateformes ASM peuvent servir de compléments logiques aux outils de gestion des vulnérabilités. Censys La découverte et la surveillance des biens par ASM peuvent aider les agences à mieux identifier les biens à cibler (notamment en découvrant les biens inconnus qui devraient être analysés pour détecter les vulnérabilités) et à signaler les risques potentiels. Censys Grâce aux capacités de réponse rapide d'ASM, les clients n'ont plus besoin de maintenir leur propre catalogue de vulnérabilités, ni de s'inquiéter de savoir s'il a été mis à jour avec le dernier jour zéro ou la dernière CVE. Les clients n'ont qu'à rechercher les problèmes logiciels sur la plateforme ; Censys se charge d'automatiser le processus afin que les clients puissent trier les remédiations et les correctifs.
Lors de l'évaluation de nouveaux outils, les agences devront également tenir compte des capacités d'intégration. Votre plateforme de gestion de la surface d'attaque pourra-t-elle communiquer avec votre outil de gestion des vulnérabilités ? Les intégrations peuvent faciliter l'obtention d'une vue d'ensemble de votre état de sécurité, ce qui est particulièrement important compte tenu des exigences de la CISA en matière de rapports et de délais.
Au-delà des implications fédérales
La nouvelle directive CISA est peut-être une exigence opérationnelle pour certaines agences fédérales, mais les principes qui la sous-tendent sont pertinents pour les organisations de tous les secteurs. Pour une cybersécurité efficace et proactive, il est essentiel d'obtenir une image claire et complète de votre surface d'attaque externe et de voir ce que les attaquants potentiels voient.
"Les acteurs de la menace continuent de cibler les infrastructures critiques et les réseaux gouvernementaux de notre pays pour exploiter les faiblesses d'actifs inconnus, non protégés ou sous-protégés", a déclaré Jen Easterly, directrice de la CISA. "Savoir ce qui se trouve sur son réseau est la première étape à franchir par toute organisation pour réduire les risques. Bien que cette directive s'applique aux agences civiles fédérales, nous recommandons vivement à toutes les organisations d'adopter les conseils qu'elle contient afin d'acquérir une compréhension complète des vulnérabilités qui peuvent exister sur leurs réseaux. Nous avons tous un rôle à jouer dans la construction d'une nation plus résiliente sur le plan cybernétique". - CISA.gov
Vous trouverez de plus amples informations sur toutes les exigences du BOD 23-01 sur le site web de la CISA.
Consultez le site Censys for Federal pour en savoir plus sur la manière dont Censys soutient les efforts des agences fédérales en matière de cybersécurité.