Qu'est-ce qu'une surface d'attaque et pourquoi vous devriez vous en soucier

Votre surface d'attaque est la somme des opportunités au sein de votre réseau qu'un cybercriminel peut attaquer et exploiter. Pour minimiser le cyber-risque, vous devez comprendre et gérer votre surface d'attaque.

Votre surface d'attaque

La surface d'attaque d'une organisation est souvent décrite comme la somme des façons dont l'organisation pourrait être violée. C'est un point de vue autolimitatif. Il suppose que la collection de vecteurs d'attaque connus est une liste complète des vulnérabilités que les cybercriminels peuvent tenter d'exploiter.

Une meilleure définition est que votre surface d'attaque est la somme de tous les actifs informatiques exposés aux attaquants. Qu'elle ait ou non des vulnérabilités connues, toute entité informatique exposée, des serveurs aux API, doit être considérée comme faisant partie de votre surface d'attaque. Une nouvelle vulnérabilité qui compromet l'un de vos actifs peut être découverte à tout moment.

Tout ce qui est exposé au cyber-risque, qui correspond principalement au monde extérieur, est une cible potentielle. Votre surface d'attaque est la zone cible totale que vous présentez aux cybercriminels. Inutile de dire que plus la zone cible totale est petite, mieux c'est. Mais sans être complètement hors réseau, il est impossible pour une organisation de ne pas avoir une surface d'attaque d'une forme ou d'une autre.

Si vous allez être coincé avec une surface d'attaque, la seule ligne de conduite sensée est de la comprendre, d'essayer de la rationaliser et de la minimiser, et de sécuriser au mieux ce qui reste.

Cartographier votre surface d'attaque

La pandémie de COVID-19 de 2020 a entraîné une migration soudaine du travail de bureau vers le travail à domicile pour de nombreux employés. Appeler cela une « migration », c'est peut-être être gentil. Dans de nombreux cas, ce qui s'est passé ressemblait davantage à l'abandon du navire. Quoi qu'il en soit, il s'agissait d'un exemple de changement imprévu et spectaculaire dans le parc informatique.

Dans des circonstances normales, les changements non triviaux sont, en théorie, planifiés longtemps à l'avance et menés de manière contrôlée et réfléchie. Le passage d'une application métier critique à une autre, ou le passage de l'informatique sur site au cloud computing sont des exemples de ce que l'on entend généralement par « migration ».

Mis à part les différences d'exécution, dans les deux cas, vous avez changé votre surface d'attaque. Les changements planifiés et les changements forcés exposeront différents actifs informatiques à des risques. Mais ils peuvent très bien éliminer ou réduire les risques dans d'autres domaines.

Il n'est pas facile de visualiser tout cela, ni d'apprécier l'impact des changements. Pour les organisations multi-sites, le problème est encore plus difficile. Une façon de le maîtriser consiste à tracer vos actifs informatiques, y compris les logiciels, sur un axe d'un graphique et à tracer les menaces et les vulnérabilités sur l'autre. Pour chaque vulnérabilité qui s'applique à un actif, placez un marqueur à leur intersection. Le tracé résultant est une approximation de votre surface d'attaque.

Des packages logiciels sont disponibles pour vous aider à cartographier votre surface d'attaque. L'automatisation du processus vous permettra de ne pas oublier les systèmes, logiciels ou API hérités semi-dormants qui peuvent facilement être négligés. Ces packages sont particulièrement utiles pour découvrir les initiatives « skunkworks » et d'autres technologies fantômes qui n'ont pas été fournies et déployées par votre équipe informatique. Le logiciel Attack Surface Management (ASM) fournit également des fonctionnalités de surveillance et d'alerte.

L'Open Web Application Security Project (OWASP) a créé un détecteur de surface d'attaque open source conçu pour découvrir les points de terminaison, les paramètres et les types de données de paramètres d'une application Web. Il fonctionne comme un plug-in pour les plates-formes de test de sécurité populaires OWASP ZAP et PortSwigger Burp Suite.

Des outils comme ceux-ci se concentrent sur les aspects numériques de votre surface d'attaque. Ils ne tiennent pas compte de la sécurité physique de vos locaux, ni de la sensibilisation à la cybersécurité de votre personnel. Les mesures de sécurité physique et d'accès contrôlent qui peut entrer dans votre bâtiment et où ils peuvent aller une fois à l'intérieur. La formation de sensibilisation à la cybersécurité permet à votre personnel d'adopter les meilleures pratiques de cybersécurité, de reconnaître les attaques de phishing, les techniques d'ingénierie sociale et les encourage généralement à pécher par excès de prudence.

Que vous les regroupiez avec votre service d'attaque numérique dans une surface d'attaque uber ou non, l'accès physique et la formation à la sensibilisation à la cybersécurité ne peuvent être ni ignorés ni traités comme des citoyens de seconde classe. Ils font tous partie de votre gouvernance globale de la sécurité. Sachez simplement que la plupart des logiciels ASM n'offrent des avantages que lorsque vous considérez votre surface d'attaque numérique.

Rationalisez et surveillez votre surface d'attaque

Armé des informations de votre audit manuel de surface d'attaque ou des rapports de votre logiciel ASM, vous pouvez examiner de manière critique les attributs de votre surface d'attaque. Précisément, qu'est-ce qui fait sa taille et à quel point est-il vulnérable ?

Les actifs doivent être regroupés en fonction de leur criticité et de leur sensibilité. Ils sont critiques s'ils compromettent de manière significative le fonctionnement de votre organisation. s'ils étaient compromis. Ils sont sensibles s'ils traitent des données personnelles ou des informations privées de l'entreprise.

Tous les actifs sont-ils requis dans leur forme actuelle ? Certains peuvent-ils être combinés, augmentant la sécurité et réduisant les coûts ? Les projets informatiques fantômes doivent-ils être fermés ou intégrés au patrimoine de l'entreprise ? La topologie de votre réseau est-elle toujours la disposition optimale pour les besoins actuels de votre organisation, en termes de fonctionnalité, de productivité et de sécurité ? Est-ce que tous les comptes administratifs ou autres comptes privilégiés ont encore une analyse de rentabilisation solide derrière eux ?

Une fois que vous avez posé toutes les questions soulevées par l'audit et convenu des réponses, il y aura presque certainement des travaux de correction nécessaires pour éliminer les vulnérabilités et sécuriser le réseau. Une fois cette opération terminée, analysez à nouveau ou ré-auditez votre réseau pour établir une ligne de base de votre surface d'attaque, puis surveillez les modifications.

Intelligence exploitable

Les systèmes de gestion de surface d'attaque fournissent, à des degrés divers, un tableau de bord indiquant l'état en temps réel des actifs qui composent votre surface d'attaque. Les alertes vous informent des ajouts ou des modifications qui affectent votre surface d'attaque. La criticité et la sensibilité de vos actifs informatiques guideront votre hiérarchisation de ces actifs. Assurez-vous que les actifs hautement prioritaires sont affichés en évidence dans le tableau de bord ou, au moins, que les mécanismes d'alerte les plus complets leur sont appliqués.

Obtenir des informations sur votre surface d'attaque, la rationaliser, la sécuriser et la surveiller sont toutes des étapes importantes, mais elles ne signifient rien si vous n'allez pas réagir aux informations fournies par votre logiciel ASM. Cela peut être aussi simple que d'appliquer des correctifs ou d'enquêter sur des événements inexpliqués.

Vous disposerez déjà d'un processus et d'un calendrier de gestion des correctifs approfondis pour gérer les versions de correctifs planifiées et les correctifs d'urgence extraordinaires. Si votre ASM signale qu'un terminal présentant des vulnérabilités a été connecté au réseau, votre équipe peut décider de le supprimer du réseau ou de le mettre à jour. La gestion des exceptions à votre régime de correctifs habituel facilite grandement le processus d'élimination des valeurs aberrantes.

Évoluer pour survivre

La gestion des surfaces d'attaque devient une priorité pour de nombreuses organisations. Le nombre et le type d'appareils connectés aux réseaux augmentent et changent. Le passage du jour au lendemain au travail à domicile en est un exemple. La croissance explosive des appareils de l'Internet des objets et de l'informatique hybride ou en nuage en sont d'autres.