La gestion de la surface d'attaque externe (EASM) devient une priorité absolue pour les responsables de la sécurité en 2022. Pourquoi ? Les transformations numériques et l'adoption rapide du cloud ont remis en question de nombreuses conceptions traditionnelles de la cybersécurité. Les effectifs et les opérations commerciales se sont rapidement décentralisés, élargissant les écarts de protection et bouleversant la gestion des risques d'une organisation. Les équipes de sécurité, qui manquaient déjà de ressources au départ, s'efforcent de suivre le rythme des changements rapides au sein de leur entreprise.
L'EASM aide les clients à trouver rapidement les actifs exposés dans le nuage et sur Internet, en donnant la priorité aux risques les plus critiques pour l'organisation. Mais toutes les solutions ne se valent pas. La capacité à détecter automatiquement de nouvelles expositions permet à l'équipe de sécurité de gagner du temps pour comprendre l'ensemble de la surface d'attaque, tandis qu'un ensemble hiérarchisé de risques précis associé à des conseils pratiques pour une remédiation rapide permet à l'équipe de se concentrer sur la résolution des problèmes qui vont réellement entraîner une intrusion.
Êtes-vous à la recherche d'une solution de gestion de la surface d'attaque externe ? Ce blog vous aidera à faire la part des choses et à vous concentrer sur ce qui est le plus important lorsqu'il s'agit de gérer votre surface d'attaque externe.
Quels sont les éléments les plus importants à prendre en compte lorsqu'une équipe de sécurité recherche une solution EASM ?
Analyse de l'Internet et attribution
Si votre équipe de sécurité est à la recherche d'une solution EASM, vous vous demandez peut-être comment trouver un outil qui vous convienne. Lorsque vous entendez parler d'analyse et d'attribution, vous devez réfléchir : à quelle fréquence cela se produit-il ? Quelle est l'ampleur du phénomène ? Et quelle est la fraîcheur des données ? L'objectif premier de toute technologie EASM est de découvrir tout ce que vous possédez sur l'internet, vous avez donc besoin d'un outil qui connaît l'ensemble de l'internet. Il est donc indispensable de disposer de données fraîches et actualisées sur les hôtes, les services, les certificats, les logiciels, etc.
Créé à l'origine à l'Université du Michigan en 2013 pour découvrir les vulnérabilités de l'Internet, Censys fournit actuellement des services de données à certaines des entreprises, des agences gouvernementales et des sociétés de sécurité les plus sophistiquées au monde. Nous sommes la référence en matière de qualité et de précision des données car nous fournissons la meilleure couverture avec la perspective la plus large et la plus fréquente de l'Internet, y compris les instances en nuage.
Le fait de scanner à partir de 5 perspectives mondiales sur plus de 3 500 ports en utilisant la détection automatique de protocole signifie que nous sommes en mesure de voir près de 99 % de l'espace IPv4 (nous trouvons plus de 63 % de services en plus que notre concurrent le plus proche). Et cette cadence s'accélère dans le nuage où nous scannons toutes les instances du nuage en contact avec le public toutes les 12 heures.
Toutes les données du monde ne servent à rien si vous ne pouvez pas déterminer avec précision ce qui vous appartient, c'est pourquoi un processus d'attribution intelligent et transparent est tout aussi important que les données elles-mêmes. Censys attribution est entièrement automatisé, et dans des comparaisons directes avec d'autres fournisseurs EASM, nous avons produit environ 10 % de faux positifs en moins.
Cela signifie que vous ne perdez pas de temps à rechercher des problèmes qui n'existent plus ou qui n'ont tout simplement jamais appartenu à votre organisation. Et l'attribution se fait quotidiennement. La facilité d'accès aux services en nuage signifie que votre surface d'attaque peut croître en quelques minutes avec peu de surveillance ou de considérations de sécurité. Votre compréhension de ce qui relève désormais de votre responsabilité doit donc être rafraîchie et mise à jour tout aussi rapidement. En termes plus simples, toute attribution autre que quotidienne signifie que vous travaillez avec des données périmées.
Risques et perspectives
Tout comme l'attribution quotidienne est importante pour la précision, le suivi quotidien des risques et de l'exposition est nécessaire pour déterminer ce qu'il faut prioriser en premier.
Notre cadre de risque met en évidence les risques les plus pertinents et les plus critiques qui peuvent être observés sur l'ensemble de votre surface d'attaque. Cela va des mauvaises configurations du cloud, comme les buckets de stockage exposés ou les métadonnées EC2, aux services risqués qui sont ouverts par inadvertance à l'Internet, en passant par les vulnérabilités logicielles. Alors que le paysage des menaces continue d'évoluer, Censys identifiera et évaluera en permanence la gravité de chaque risque en fonction de son impact, de son exploitabilité et de sa probabilité. Cela est dû en grande partie à nos équipes de réponse rapide et de recherche qui suivent activement les nouveaux Zero-Days pour les intégrer rapidement à notre plateforme (ex. Nous avons créé 27 nouveaux risques uniques 3 jours après l'annonce de Log4j).
Toutes ces informations sont immédiatement exploitables grâce à des conseils de remédiation et à des intégrations de flux de travail communs qui permettent de réduire, d'atténuer ou de redéfinir les priorités et d'accepter les risques (toutes les alertes ne nécessitent pas une action immédiate). Et que faites-vous une fois que vous avez mis à jour ce Nginx en fin de vie, ou fermé le RDP fonctionnant sur un port obscur ? Notre plateforme de gestion de la surface d'attaque externe peut analyser n'importe quel actif à la demande pour valider immédiatement que le travail que vous faites améliore votre position de risque.
Quelle est la flexibilité d'une solution ASM ?
Aucune équipe de sécurité ne veut être contrainte d'utiliser un outil rigide pour définir sa posture de sécurité - elle veut que l'outil s'adapte à sa façon de travailler.
À l'adresse Censys, nous constatons que les utilisateurs souhaitent avoir la possibilité de modifier la façon dont ils perçoivent la surface d'attaque de leur entreprise. Vous voudrez peut-être décomposer les différentes unités commerciales ou les acquisitions récentes pour comprendre le risque individuel qu'elles présentent. Vous voudrez peut-être aussi pouvoir effectuer des recherches dans toutes vos données de manière intelligente et intuitive, ou avoir la possibilité de modifier un risque pour un actif particulier si vous savez que l'entreprise a besoin de flexibilité, par exemple en exécutant un logiciel en fin de vie sur un hôte. Enfin, vous devez avoir la possibilité d'ajouter ou de supprimer des domaines entiers ou certaines adresses IP en fonction de l'évolution de votre activité. Un outil EASM ne doit en aucun cas nécessiter une assistance extérieure pour que vous puissiez l'adapter à votre environnement.
Comment la gestion de la surface d'attaque externe enrichit-elle ma pile technologique actuelle en matière de sécurité ?
Pour les équipes qui disposent déjà d'un SIEM, d'un SOAR, d'un CASB ou de tout autre outil faisant partie d'une pile de sécurité classique, les informations et conseils précieux recueillis par l'EASM doivent enrichir leurs tâches quotidiennes. Cela implique des intégrations. Censys s'intègre aux plateformes de sécurité existantes telles qu'un SIEM pour capturer tous les événements qui modifient quotidiennement votre surface d'attaque, une solution de gestion des vulnérabilités pour s'assurer que les actifs nouvellement découverts et précédemment inconnus font partie d'une cadence d'analyse de routine, et des systèmes de ticketing pour commencer le travail de remédiation dès que des problèmes sont détectés.
Censys offre également des intégrations natives aux trois principaux fournisseurs de services de cloud public (Azure, GCP et AWS), ce qui vous permettra d'obtenir des informations internes et externes à des fins de comparaison. Nos clients découvrent 20 à 30 % d'actifs en plus dans le nuage qu'ils ne le pensaient, même s'ils pensent que leur expansion dans le nuage est limitée à quelques fournisseurs ou comptes. Les connecteurs cloud vous permettent d'identifier rapidement toutes les instances cloud non gérées dans Azure, GCP et AWS.
En quoi cela permettra-t-il à mon équipe de gagner du temps ou de l'argent ?
Une grande partie de ce travail est déjà effectuée : gestion d'un inventaire sur plusieurs feuilles de calcul, analyse ad hoc pour découvrir de nouveaux actifs, et tentative de faire la part des choses entre ce qui est réel et ce qui ne l'est pas. Et tout cela avant de commencer à résoudre les problèmes de sécurité qui se posent. Nos clients ont estimé gagner 45 heures par mois (soit une semaine de travail supplémentaire) parce que Censys gère tout cela plus rapidement, plus précisément et automatiquement.
Vous serez pleinement opérationnel avant qu'un achat ne soit effectué, et le service informatique n'aura pas à mettre en place de longues démonstrations et de longs tests. Notre processus d'intégration automatisé créera et maintiendra votre surface d'attaque même si vous changez de forme à la suite d'une acquisition, d'une fusion, d'une cession ou de tout autre événement. Vous disposerez également d'une équipe dédiée à la réussite des clients qui vous aidera à tirer parti des meilleures pratiques et à soutenir les analystes ou ingénieurs débutants qui verront peut-être votre surface externe pour la première fois.
Prêt à explorer une solution de gestion de la surface d'attaque externe ? Prenez contact avec nous et nous vous proposerons la solution qui permet de trouver plus d'actifs exposés que n'importe quelle autre solution sur le marché.
