Avec tout le bruit qui règne sur le marché de la gestion de la surface d'attaque (ASM), nous remarquons une grande confusion sur ce qui constitue les solutions de cette catégorie. Cette série mettra en lumière les caractéristiques d'une solution ASM afin que vous puissiez mieux évaluer les outils disponibles sur le marché.
Comme pour toute catégorie de solutions émergente sur le marché - cybersécurité ou autre - il y a des produits légitimes qui définissent la catégorie, et d'autres qui ne sont pas à la hauteur. D'autres possèdent certaines des caractéristiques, mais aucune de celles qui définissent la catégorie. D'autres encore sont répertoriés comme tels pour attirer les clients, mais, dans la pratique, ils n'offrent pas tout ce que la catégorie exige.
Lors de nos récentes visites chez RSA et Gartner, nous avons notamment entendu dire que la définition d'une solution ASM était, au mieux, obscure. En fait, certains des fournisseurs qui se placent dans la catégorie ASM donnent involontairement une mauvaise réputation aux solutions ASM. Leur incapacité à fournir des informations claires sur les actifs découverts et la quantité de faux positifs ou de bruit que ces "solutions" génèrent en font un outil inefficace que, franchement, nous ne voudrions pas utiliser non plus.
Cette série passe en revue les éléments constitutifs d'une solution de gestion de la surface d'attaque, en commençant par la fréquence à laquelle votre solution ASM doit analyser l'internet.
La définition d'une solution de gestion de la surface d'attaque
Mais tout d'abord, définissons la gestion de la surface d'attaque.
Votre surface d'attaque est constituée des actifs que votre organisation possède et qui sont également accessibles depuis l'internet. Il peut s'agir de n'importe quel espace de stockage en nuage de vos nombreux fournisseurs de services en nuage, de différents types de VPN, de serveurs, de fournisseurs d'hébergement et de bien d'autres choses encore, c'est-à-dire de tout ce qui est accessible au public sur l'internet. S'il est visible par n'importe qui sur l'internet, il est certainement visible par les acteurs de la menace.
Dans un rapport récent, Forrester a défini la gestion de la surface d'attaque comme "le processus de découverte, d'identification, d'inventaire et d'évaluation en continu des risques liés aux actifs informatiques d'une entité".
La plupart des organisations disposent d'outils de gestion des vulnérabilités et effectuent des tests d'intrusion. Cependant, ces outils permettent encore des lacunes dans la visibilité, en particulier lorsqu'il s'agit d'actifs exposés.
Votre solution ASM doit analyser fréquemment l'internet
Étant donné que les activités commerciales se déroulent principalement en ligne de nos jours, votre surface d'attaque s'étend et change - elle est en constante évolution. Une solution ASM appropriée doit pouvoir suivre cette activité en effectuant des analyses fréquentes.
En outre, les conteneurs et les environnements sans serveur ont rendu le paysage particulièrement éphémère, de sorte qu'une solution ASM doit fonctionner à la vitesse du cloud. Si quelque chose se trouve sur l'internet public, il y a de fortes chances que quelqu'un, quelque part, soit au courant avant vous de l'existence d'un hôte nouvellement exposé, et vous devez garder une longueur d'avance. CensysLes recherches menées par l'Institut de recherche sur les technologies de l'information montrent que les attaquants commencent à scanner l'ensemble de l'internet à la recherche de systèmes vulnérables dans les heures qui suivent la divulgation d'une vulnérabilité publique. Si la dernière et la plus importante vulnérabilité fait la une des journaux, vous devez savoir où se trouvent tous vos actifs vulnérables et exposés aujourd'hui, et non pas ce qui a été exposé il y a une semaine ou un mois.
À quelle fréquence Censys ASM analyse-t-il l'Internet ?
Censys a plusieurs calendriers de découverte basés sur notre expérience de l'analyse de l'internet :
- Analyse globale des ports les plus utilisés. Chaque jour, nous analysons l'ensemble de l'espace IPv4 sur 137 ports avec des services attribués par l'IANA.
- Analyses des fournisseurs de services en nuage. Étant donné que de nombreux hôtes en nuage sont éphémères, nous analysons chaque jour les 1 440 ports les plus populaires sur les hôtes Amazon, Google et Azure.
- Analyse globale des ports les moins populaires. Nous analysons régulièrement l'ensemble de l'espace IPv4 sur 3 455 ports supplémentaires, en effectuant un balayage tous les 10 jours.
- Analyse globale d'un numéro de port sur deux. Nous analysons l'ensemble de l'espace d'adressage IPv4 sur TOUS les ports (65535) à un faible taux de fond.
Une fois qu'un service a été découvert, Censys donne la priorité à l'actualisation des informations sur ce service afin de s'assurer qu'elles sont exactes et à jour.
Une fois par jour, l'âge de chacun des ~2,1 milliards de services de notre ensemble de données est vérifié. Tout service (sans nom) dont l'horodatage de l'observation est supérieur à 24 heures est réanalysé. Grâce à ce processus, l'âge moyen des données de service de grande valeur est d'environ 16 heures.
Un nombre stupéfiant d'organisations (69 % ) ont subi un type de cyberattaque dans lequel l'attaque elle-même a commencé par l'exploitation d'un actif inconnu ou non géré faisant face à l'Internet. Pour de telles raisons, il est essentiel que les équipes recherchent une solution ASM qui donne la priorité à l'analyse fréquente pour garantir la fraîcheur des données.
Explorez la surface d'attaque de votre organisation avec Censys ASM.
Découvrez votre surface d'attaque dès aujourd'hui
