Votre surface d'attaque est visible ! Ce n'est pas grave, tout le monde en a une.
On parle beaucoup aujourd'hui de la "réduction" de la surface d'attaque. Nous sommes nous-mêmes coupables de le dire à l'adresse Censys. Mais en réalité, lorsqu'il s'agit de surfaces d'attaque, l'objectif n'est pas de réduire la surface d'attaque. Votre objectif devrait être tout autre.
Commençons par le commencement. Qu'est-ce qu'une surface d'attaque ? Le NIST, l'Institut national des normes et de la technologie, la définit comme suit :
"L'ensemble des points situés à la limite d'un système, d'un élément de système ou d'un environnement où un attaquant peut tenter de pénétrer, de provoquer un effet ou d'extraire des données de ce système, de cet élément de système ou de cet environnement" - NIST SP 800-172 de GAO-19-128
En d'autres termes, votre surface d'attaque est essentiellement constituée de toutes les façons dont les attaquants peuvent pénétrer dans votre organisation. La plupart des solutions de gestion de la surface d'attaque (ASM) se concentrent sur la réduction de la surface d'attaque, car plus la surface d'attaque est petite, plus il est facile de la protéger, n'est-ce pas ? C'est peut-être vrai en théorie, mais en pratique, est-ce que c'est ce qu'il y a de mieux pour votre entreprise ?
Prenons un peu de recul pour comprendre pourquoi les surfaces d'attaque ne cessent de s'étendre et quels sont les avantages qui en découlent pour votre entreprise avant d'en déduire qu'il faut les réduire.
Pourquoi la surface d'attaque de votre organisation ne cesse-t-elle de s'agrandir ?
La surface d'attaque vous montre tous les composants externes qui permettent à votre entreprise d'accomplir sa mission. Il s'agit du site web sur lequel vous proposez votre matériel de marketing, du logiciel en tant que service que vous vendez, du partage de fichiers externe que vous autorisez pour travailler avec un tiers de manière sécurisée. Ce n'est pas seulement un chemin pour les attaquants, mais plus souvent un environnement pour vos clients et partenaires commerciaux. Ces dernières années, les organisations ont connu de grands changements dans la manière dont elles accomplissent leur mission.
Nous avons d'abord entamé notre migration vers l'informatique dématérialisée. Le cloud permet aux entreprises de lancer facilement des applications hautement évolutives à l'échelle mondiale pour créer de nouvelles sources de revenus à la demande avec des coûts initiaux plus faibles. Il favorise l'innovation en introduisant de nouveaux types de calcul, comme le sans serveur ou les conteneurs, et il nous donne la capacité sans précédent de traiter et de stocker des données, l'apprentissage automatique, l'intelligence artificielle et un certain nombre d'autres services gérés qui offrent la possibilité de transformer nos entreprises.
Ensuite, une pandémie mondiale a bouleversé le paradigme du travail. La pandémie a forcé les organisations à réagir à un changement rapide vers une main-d'œuvre à distance pour permettre à l'entreprise de fonctionner tout en protégeant la santé des employés. En particulier celles qui ont dû passer brusquement d'une main-d'œuvre traditionnellement présente dans les bureaux à une main-d'œuvre travaillant à domicile. Cette évolution a entraîné une nouvelle complexité du réseau du jour au lendemain. Désormais, davantage de connexions externes et de nouvelles configurations étaient nécessaires pour permettre aux travailleurs de mener à bien leurs missions. Aussi rapide qu'ait été la transition vers le travail à distance, elle a exposé certaines entreprises à de nouveaux types de risques pour lesquels elles ne disposent pas de contrôles d'atténuation.
Enfin, Shadow IT sera toujours là. Les professionnels de la sécurité ont beau essayer, il n'y a aucun moyen de contrôler complètement ce que les employés font avec la technologie. Avec l'introduction de l'informatique en nuage, les organisations ont atteint un niveau de complexité sans précédent dans ce qu'elles doivent défendre.
Les risques inhérents à une surface d'attaque qui ne cesse de croître
Les architectures complexes et les technologies innovantes ont laissé des angles morts que les adversaires peuvent exploiter. Le rapport 2020 Year-End Data Breach Report de Risk Based Security fait état d'une baisse de 48 % des violations signalées, mais d'une augmentation de 141 % du nombre d'enregistrements confirmés compromis. Cela indique une augmentation de l'efficacité des attaques. La dernière violation de T-Mobile, qui a exposé les informations personnelles de 40 millions d'utilisateurs, en est la preuve flagrante. Selon le Wall Street Journal, c'est un Américain de 21 ans qui est à l'origine de l'attaque. Si le nombre de brèches signalées est en baisse, les attaques, elles, se multiplient :
"Les cyberattaques mondiales ont augmenté de 29 %, les pirates informatiques continuant à exploiter la pandémie de COVID-19 et à se tourner vers le travail à distance. Les attaques par ransomware ont augmenté de 93 % au cours des six derniers mois, alimentées par l'innovation d'une technique d'attaque appelée triple extorsion." - Tendances des cyberattaques en 2021
L'augmentation de la quantité et de la qualité des attaques a éliminé la possibilité d'être confiant en matière de sécurité. Le vieil adage dit que les experts en sécurité doivent boucher tous les trous et que les attaquants n'ont qu'à trouver celui que vous avez manqué.
Oubliez la "réduction", concentrez-vous sur la "gestion continue" de votre surface d'attaque.
Et nous revenons à ce mot délicat, "réduire". Pour les raisons énumérées ci-dessus et d'autres encore, il est peu probable que votre surface d'attaque puisse être réduite de sitôt. Mais il existe une très bonne méthode pour résoudre ces problèmes : la gestion continue de votre surface d'attaque.
La première étape consiste à utiliser une solution de gestion de la surface d'attaque, comme Censys'. Censys L'ASM permet aux équipes de sécurité de résoudre les problèmes avant qu'ils ne surviennent en permettant aux organisations de connaître toutes les portes d'entrée dans leur périmètre qu'un attaquant peut trouver. En outre, elle permet aux équipes de sécurité de s'élever au-dessus du bruit et de se concentrer sur les risques les plus importants que les attaquants sont les plus susceptibles d'exploiter.
En plus de commencer à gérer les surfaces d'attaque avec une excellente solution, les dirigeants d'entreprise doivent également dissiper l'idée fausse selon laquelle la sécurité est un obstacle. Les responsables de la sécurité ont du mal à migrer vers le cloud et à faire face à l'adoption rapide d'innovations difficiles à sécuriser. Cela conduit à des conversations difficiles avec les partenaires commerciaux, où la sécurité est souvent considérée comme le groupe difficile.
Se concentrer sur la réduction de la surface d'attaque conduit à une amplification de ce problème. Cela crée des situations où les contrôles de sécurité étouffent l'innovation au sein d'une organisation. Steve Zalewski, directeur adjoint de la sécurité de l'information chez Levi Strauss, a expliqué le changement auquel il s'est engagé dans le cadre de la migration vers le cloud, afin de permettre à l'entreprise d'évoluer rapidement mais en toute sécurité :
"Dès le premier jour, une partie de la négociation a consisté à faire comprendre aux deux parties que la nouvelle relation devait être forgée du point de vue de la cybersécurité et que, si nous n'y parvenions pas, cela me mettrait dans une position où je ne pourrais pas atteindre mon objectif principal, qui est de protéger l'entreprise".
Pour les organisations qui sont sur le chemin de la transformation numérique, qu'elles le veuillent ou non, il est important de construire un partenariat avec votre équipe de sécurité. En présentant la sécurité comme un partenaire, nous réduisons les risques, améliorons la visibilité et gagnons des alliés. La lutte est réelle, car si vous encouragez involontairement les utilisateurs finaux, comme les développeurs ou les opérations, à prendre des raccourcis, ils finiront par échapper accidentellement aux contrôles de sécurité, parce que c'est trop difficile.
Adopter une approche "outside-in" pour canaliser les efforts vers la gestion de votre surface d'attaque au lieu de la réduire. Donnez à votre organisation les moyens de passer de la réduction de votre surface d'attaque à sa gestion continue en toute confiance.
Vous voulez essayer un outil de gestion de la surface d'attaque qui fonctionne ? Faites une démonstration de Censys ASM dès aujourd'hui.
Planifiez votre démo