Une autre année, une autre Black Hat ! Cela fait plusieurs années que j'assiste à la conférence Black Hat. Cette année, j'ai réfléchi à ce qui rendait cet événement unique pour les ingénieurs et les cadres, et aux possibilités de collaboration entre ces deux groupes.
Les ingénieurs présents sur notre stand ont notamment indiqué qu'ils utilisaient Censys pour des cas d'utilisation simples de localisation/protocole, ainsi que pour des recherches plus exotiques à l'aide de caractères génériques de 4 octets qui mettent en évidence des protocoles propriétaires que les attaquants utilisent pour échapper à la détection. Les praticiens qui ont assisté aux sessions de certification (c'est-à-dire la formation de deux jours sur le piratage de l'infrastructure en nuage) ont également mentionné l'utilisation de Censys pour effectuer des recherches sur les sous-domaines dans le cadre de leurs cours. L'une des questions les plus intéressantes que j'ai entendues la semaine dernière concernait Greg Lesnewich, chercheur principal en menaces chez Proofpoint, qui a montré comment l'entreprise exploite Censys pour lutter contre les campagnes d'hameçonnage.
Risque v. Risques
Une conversation en particulier m'a cependant marqué. Je discutais avec l'un des "white hats" de mon réseau (ne demandez pas son passé), et il a glissé dans la conversation qu'il faisait tourner Windows NT sur une Nintendo Wii. Lorsque je lui ai dit que j'espérais qu'elle n'était pas orientée vers l'internet, il a souri et m'a dit : "Les exploits PowerPC pour NT n'ont jamais été généralisés". Il semblait ne pas avoir envisagé la possibilité d'un piratage à son encontre ou les problèmes qui en découleraient si un attaquant parvenait à accéder à son réseau.
Dans cette perspective, j'ai commencé à réfléchir à la manière dont notre communauté envisage les risques (au pluriel) par rapport aux appétits de risque (au singulier).
Pour ceux qui travaillent dans le domaine de la cybersécurité, les risques (au pluriel) ont des significations différentes selon la couleur de leur chapeau. Les bonnes personnes considèrent les risques comme des responsabilités, tandis que les acteurs de la menace les considèrent comme une monnaie d'échange et une opportunité. Les "chapeaux gris" considèrent les risques comme des expériences amusantes qui peuvent avoir une valeur potentielle. Cependant, à un niveau plus élevé, le risque devient un problème de direction avec une urgence et une visibilité importantes.
Obtenir des informations exploitables sur les risques
C'est la raison pour laquelle Censys est une proposition si convaincante à mes yeux. Son ensemble de données, utilisé par des centaines de milliers de chasseurs de menaces et de chercheurs, constitue l'enregistrement le plus complet de l'internet. Cependant, Censys External Attack Surface Management (EASM) va au-delà des données - il remplit des fonctions de risque (singulières). L'internet est le substrat qui vous permet de faire des affaires, mais c'est aussi la voie d'accès directe à votre réseau pour les acteurs malveillants. Censys L'EASM présente ces données sous la forme d'informations exploitables et exploitables sur les risques. Imaginez que vous puissiez visualiser votre infrastructure comme un risque quantifiable, ce qui vous permettrait de suivre l'évolution de votre profil de risque au fil du temps. Ces informations sont cruciales pour les rapports de continuité des activités, les fonctions de risque et les discussions de direction.
J'en ai parlé avec de nombreuses personnes à Black Hat, et il était intéressant de voir leur accord. Un dirigeant a même souligné l'importance de donner la priorité à la remédiation pour les actifs en contact avec l'internet, mais il a exprimé des inquiétudes quant à la visibilité de ces dispositifs.
Les limites des outils informatiques traditionnels
À cette fin, notre directeur de l'ingénierie des solutions, Tony Wenzel, s'est exprimé à Black Hat sur les "limites des outils informatiques traditionnels", en particulier les limites de nos technologies actuelles pour découvrir les risques dans l'informatique parallèle ou les comptes inconnus dans le nuage. Les outils autonomes actuels tels que la gestion des vulnérabilités, la gestion de la posture de sécurité dans le nuage, la gestion des actifs cybernétiques et les systèmes d'évaluation de la sécurité ne peuvent en aucun cas fournir la visibilité requise. Ce n'est que lorsque ces outils sont intégrés à une solution EASM telle que Censys que vous pouvez réellement exploiter la portée complète de la découverte et de la hiérarchisation des risques.
En fin de compte, lorsque les risques sont intégrés dans le concept global de "risque", nous créons un pont plus efficace entre les fonctions techniques et exécutives. Cette intégration est essentielle, et tout le monde devrait s'y atteler.
Si vous avez manqué l'une des sessions de Black Hat Europe, des enregistrements sont actuellement disponibles à la demande sur leur site web.