Bienvenue dans la deuxième partie de notre série de blogs sur la confiance zéro. Si vous n'avez pas encore eu l'occasion de lire la première partie sur les origines de la confiance zéro, vous pouvez la consulter ici.
Pourquoi ai-je consacré tous ces mots dans mon premier article à l'histoire d'un cadre apparemment sans rapport avec la confiance zéro ? Je suis heureux que vous ayez posé la question. Pour y parvenir, nous devons nous pencher sur ce qui a précipité le besoin de gestion de la surface d'attaque en premier lieu.
Bien qu'elle soit probablement antérieure à cette ressource, la première mention que j'ai pu trouver du terme "surface d'attaque" figure dans un document intitulé "Attack Surface Analysis Cheat Sheet" datant de juillet 2013. Cet article précise que "l'accent est mis ici sur la protection d'une application contre les attaques externes" et poursuit en mentionnant que "le but de l'analyse de la surface d'attaque est de comprendre les zones à risque d'une application... et de remarquer quand et comment la surface d'attaque change et ce que cela signifie du point de vue du risque". Il n'est pas surprenant que cela recoupe une grande partie du contenu émanant de la communauté de l'Open Web Application Security Project (OWASP) à cette époque et depuis lors. La version actuelle de ce document est disponible ici.
Sans reprendre tout le contenu de l'antisèche de 2013, ce premier modèle conceptuel de la surface d'attaque se concentre strictement sur les applications tout en restant suffisamment large pour englober d'autres points par lesquels un attaquant pourrait pénétrer dans un système. Les auteurs précisent que "l'analyse de la surface d'attaque est généralement effectuée par les architectes de la sécurité et les testeurs de crayons". Quel est l'objectif ? Les testeurs s'attaquent à tous les actifs qu'ils peuvent localiser lorsqu'ils sondent le périmètre de sécurité d'une organisation (dans les limites de leur champ d'action). Les serveurs hébergent des applications en cours d'exécution, et le fait de savoir a.) que ces serveurs sont en cours d'exécution, et b.) ce qui s'exécute sur ces serveurs est largement considéré comme l'une des premières étapes de la sécurisation d'une organisation. Pourtant, comme cela a été prouvé à maintes reprises, les organisations ne savent pas toujours ce qui fonctionne sur leurs périmètres qui ne cessent de s'étendre et de s'évaporer.
Les nombreuses interprétations de la gestion de la surface d'attaque
Comme pour de nombreux outils de sécurité, quelqu'un a vu une opportunité d'automatiser et de construire des solutions pour résoudre le défi de maintenir un inventaire matériel et logiciel complexe. Certaines entreprises ont élargi leur offre (RiskIQ) et d'autres, comme CyCognito (2017), ont été fondées pour commencer à se concentrer plus spécifiquement sur la mise en évidence de ce que les attaquants exécutant des reconnaissances sur les organisations à partir de l'internet ouvert verraient. Malgré cela, de juillet 2017 à décembre 2018, cet article a été rédigé et publié dans l'Information and Software Technology Journal Volume 104, analysant 644 travaux antérieurs qui utilisaient le terme "surface d'attaque" et notant : "71 % des articles ont utilisé l'expression sans la définir ou citer un autre article. En outre, nous avons trouvé six thèmes de définitions pour l'expression "surface d'attaque"". Leur conclusion est que les praticiens devraient "choisir une définition de la surface d'attaque adaptée à leur domaine".
Selon les chercheurs susmentionnés, les six thèmes qui se sont développés sous l'égide de la surface d'attaque à la fin de l'année 2018 étaient les suivants : Méthodes, Adversaires, Flux, Caractéristiques, Barrières et Vulnérabilités atteignables. Pour un terme intentionnellement inventé pour englober de nombreux aspects des vulnérabilités, il n'est pas surprenant que de nombreuses solutions développent des points de vue nuancés sur la façon de s'attaquer au problème. Pour ajouter au défi, chaque fois qu'une catégorie émergente s'impose sur un marché, il y a inévitablement beaucoup de confusion. Les entreprises se battent à couteaux tirés pour obtenir la moindre parcelle d'attention - et s'il y a la moindre chance que le dernier hashtag en vogue s'applique à ce que leur produit peut faire, il est "banalisé" sous tous les angles possibles. Ainsi, lorsque les termes "surface d'attaque" et "gestion de la surface d'attaque" ont commencé à devenir plus populaires, de plus en plus d'entreprises ont commencé à se rattacher à la catégorie ASM dans une certaine mesure. C'est ce qui s'est produit (et se produit encore dans une certaine mesure) dans le monde de la confiance zéro, et c'est ce qui se produit aujourd'hui dans la catégorie de la gestion de la surface d'attaque.
En cherchant sur Google "qu'est-ce que la gestion de la surface d'attaque", on obtient aujourd'hui une réponse généralement cohérente qui s'est consolidée autour de l'article original "Cheat Sheet" référencé ci-dessus. Les thèmes abordés sont l'analyse des actifs connus, la découverte d'actifs inconnus, l'analyse et/ou la découverte d'actifs internes ou externes, et la surveillance continue de ces actifs, tout en mettant l'accent sur les vulnérabilités exploitables.
Les parallèles avec la confiance zéro émergent
Cependant, bien qu'il y ait un large consensus, c'est au niveau des détails que la confusion s'installe et que le parallèle avec la confiance zéro commence à émerger. La gestion des vulnérabilités est-elle légitimement liée à la gestion de la surface d'attaque ? D'après ce qui précède, oui. Toutefois, il s'agit d'un aspect de la gestion de la surface d'attaque qui se concentre entièrement sur ce qui est connu. Les autres aspects de la gestion de la surface d'attaque sont les suivants La gestion de la posture de sécurité dans le nuage (CSPM), la gestion de la sécurité des applications dans le nuage (CASM), la gestion de la surface d'attaque dans le nuage (également CASM), la gestion de la surface d'attaque des biens cybernétiques (CAASM), et un certain nombre d'autres.
De manière générale, la gestion de la surface d'attaque ne doit pas se limiter à l'analyse des actifs connus une fois par semaine ou par mois. Les erreurs de configuration se produisent et sont exploitées exponentiellement plus rapidement qu'auparavant - en 7 minutes seulement d'après un récent événement de réponse à un incident dont j'ai eu connaissance. La gestion de la surface d'attaque doit être dynamique et proactive, en s'appuyant sur des données exhaustives glanées sur l'ensemble d'Internet pour conduire les défenseurs vers les contrevenants les plus flagrants et les plus difficiles à localiser sur leur réseau, et ce en un temps record et de manière continue.
Il est temps d'envisager différemment la gestion de la surface d'attaque
Tout comme la confiance zéro est un cadre et un parcours, il devient évident que la gestion de la surface d'attaque l'est également. De plus, la gestion de la surface d'attaque étant intimement liée à la découverte et à la correction des vulnérabilités, elle s'aligne parfaitement sur le mantra "Ne faites confiance à rien" de la confiance zéro. Ainsi, la gestion de la surface d'attaque est un ajout essentiel au cadre de la confiance zéro et constitue le complément parfait de la sécurité de l'entreprise. Nous reviendrons sur ce sujet dans le prochain article.
