La gestion de la surface d'attaque (ASM) s'impose rapidement comme un élément essentiel de toute stratégie de sécurité numérique. Dans le cadre de l'ASM, une technique appelée "Attribution" est fondamentale car elle permet de détecter automatiquement des parties de la surface d'attaque externe d'une organisation dont elle ne soupçonnait même pas l'existence. Et lorsque l'attribution est automatisée et efficace, elle peut s'adapter aux changements qui surviennent naturellement dans toute organisation active. Mais avant de nous plonger dans l'attribution, parlons de la surface d'attaque elle-même.
Comprendre les menaces en déterminant votre surface d'attaque
La première tâche dans la défense de tout paysage, numérique ou autre, est d'établir un périmètre, et une surface d'attaque est exactement comme un périmètre. Vous devez comprendre où se trouvent vos responsabilités et où les menaces pourraient s'implanter. À partir de là, vous pouvez vous efforcer de comprendre votre niveau d'exposition, l'importance des risques associés et la manière de hiérarchiser les mesures à prendre pour vous protéger. Mais sans un périmètre précis comme point de départ, vous risquez de passer du temps sur les mauvaises choses et de laisser des actifs importants vulnérables.
La réalité pour la plupart des organisations modernes est que leur périmètre Internet, leur surface d'attaque externe, n'est pas facile à délimiter et qu'une fois établi, il est difficile à maintenir. En voici quelques raisons :
- La transformation numérique se traduit par un plus grand nombre de fonctionnalités orientées vers l'internet dans l'ensemble de l'organisation.
- L'essor du travail à distance a exigé une plus grande flexibilité dans l'accès et la disponibilité des systèmes de l'entreprise.
- La sophistication croissante des fournisseurs et des outils IaaS en nuage facilite plus que jamais la mise en ligne des données et des services.
Pour les responsables de la sécurité des systèmes, tous ces éléments n'ont fait que compliquer l'obtention et le maintien d'un sentiment de visibilité et de contrôle. Un programme de sécurité efficace doit disposer d'une vue précise et actualisée de tous les actifs connectés à l'internet.
Qu'est-ce que l'attribution dans l'ASM ?
L'attribution est le processus automatisé permettant de trouver le périmètre Internet d'une organisation. L'attribution part de certains faits connus sur une organisation, tels que les noms de domaine enregistrés, et en déduit ce qui appartient à cette même organisation. L'efficacité de l'attribution repose sur trois conditions essentielles :
- Obtenir une vue d'ensemble de ce qui se passe sur le marché
- Faire des déductions intelligentes
- Rester à l'affût des changements
1. Obtenir une vue d'ensemble.
Pour aider les gens à trouver ce qu'ils ne savaient même pas leur appartenir, il faut avoir une vue d'ensemble de ce qui existe, avec autant de détails que possible pour aider à établir les connexions. Il y a beaucoup de choses à prendre en compte - blocs IP, noms de domaine, certificats, systèmes autonomes, infrastructure en nuage - et c'est donc un défi de taille que de rester au fait de ce qui existe. Mais sans un atlas complet de l'ensemble du paysage, vous n'avez aucune chance de vous protéger contre les acteurs de la menace.
2. Faire des déductions intelligentes.
Il existe des moyens simples d'attribuer un bien donné à une organisation. Par exemple, en se connectant à un site utilisant le protocole TLS (HTTPS) et en consultant les domaines figurant sur son certificat, une organisation donnée peut être répertoriée comme propriétaire. Mais certaines déductions ne sont pas aussi simples. Avec un peu d'ingéniosité et en travaillant avec un ensemble complet de données de référence, vous pouvez avoir la certitude de couvrir beaucoup de terrain lorsqu'il s'agit d'attribuer des actifs à des organisations.
3. Rester à l'affût des changements.
Les organisations ne restent pas inactives. Pour maintenir la visibilité et le contrôle, il est essentiel de pouvoir rafraîchir rapidement la vue de ce qui existe et de la façon dont cela se connecte à vous. En interne, il y a toujours de nouveaux projets et initiatives qui peuvent modifier une surface d'attaque. En externe, il peut y avoir des cibles d'acquisition tierces ou d'autres raisons d'évaluer les surfaces qui ont un impact sur vous. Dans tous les cas, la capacité à se renouveler et à s'adapter à un environnement changeant est vitale, et non facultative.
Acquérir la confiance nécessaire à la connaissance de votre surface d'attaque
Comment établissez-vous votre périmètre ? Êtes-vous sûr qu'il est complet ? À quelle fréquence est-il actualisé ? La gestion de la surface d'attaque signifie que ces éléments sont corrects afin que vous puissiez passer en toute confiance à l'évaluation des risques et à la remédiation. Sur Censys, nous cherchons toujours à innover et à prendre les devants sur tous les éléments d'une bonne Attribution. Après tout, si l'on ne connaît pas l'ensemble du périmètre, on ne peut espérer le défendre.
Notre algorithme d'attribution permet aux clients de découvrir jusqu'à 80 % de leur surface d'attaque inconnue.
Démonstration de l'ASM aujourd'hui