Je n’aime pas créer de nouveaux termes pour des choses en cybersécurité qui existent déjà, donc je suis sur une glace mince avec ce titre. Mais écoutez-moi.
La gestion de la surface d’attaque (ASM) a fait sens pour moi. “Vous ne pouvez pas gérer les menaces” est l’un des fondements de la cybersécurité que les entreprises et les organisations ont oublié. Bien que nous ne puissions pas gérer les menaces, nous pouvons certainement gérer la façon dont nous les surveillons, y répondre et structurer notre technologie et notre sécurité. ASM est souvent subdivisé en externe ou en accès Internet Gestion de la surface d’attaque externe (EASM) et internes ou dérivés d’actifs Gestion de la surface d’attaque des cyberactifs (CAASM). Je pense que ce sont des distinctions intéressantes non pas parce que la technologie entre elles est différente, mais cela laisse entendre que le but de la surface signifie la différenciation.
L’ASM nous fait tourner la caméra en nous concentrant sur les méchants pour nous regarder nous-mêmes. C’est excitant car cela rend le travail de l’attaquant plus difficile et le rend plus détectable plus tôt. Le maillon le plus faible de l’ASM a été l’actionnabilité, en particulier de toute manière automatisée et fiable. Maintenez cette pensée et parlons un instant de la posture de sécurité.
Posture de sécurité et ASM
Parallèlement à l’ASM, au cours des deux dernières années environ, il y a eu le développement d’évaluations de la posture de sécurité en temps réel et exploitables. La posture de sécurité a pris des informations sur les entités et produit une évaluation (c’est-à-dire pas seulement des données) et souvent un score sur le degré de confiance que l’on peut accorder à cette entité.
Les exemples incluent des évaluations telles que “même si cette identité est valide, ne lui faites pas confiance car le compte de messagerie qui lui est associé a craché des logiciels malveillants”, “cette machine est un peu en retard dans les correctifs mais a contacté d’autres machines de manière atypique », ou « aucun de ces 15 indicateurs n’est suspect à lui seul, mais combinés, ils ont une très forte probabilité de signifier qu’il s’agit d’un indicateur précoce d’attaque XYZ ».
J’aime particulièrement le terme posture de sécurité car de nombreux outils de notation des risques sont mauvais et donnent une mauvaise réputation à la gestion des risques. Mais la posture de sécurité équivaut à la gestion des risques. La bonne nouvelle est que, parce qu’il est axé sur le temps quasi réel et utilisé par le SOC, il a été développé avec l’automatisation à l’esprit.
Comment l’ASM se rapporte aux entreprises
En plus d’avoir une faible capacité d’action avec l’ASM en soi, on a souvent l’impression qu’il manque un élément de qualité dans l’ASM : quel est le rapport avec notre entreprise ? Cela a été insaisissable car la catégorisation et la sécurité des données ont été fortement pondérées par les étiquettes de conformité, et le gonflement des données cloud et de la gestion des données a progressé plus rapidement que la capacité de la cybersécurité à comprendre le contexte de sécurité et à le rendre exploitable.
Nous avons peut-être fait mieux sur ce dernier que sur le premier, mais c’est franchement faible. Apprentissage automatique (ML) a suffisamment avancé pour que la catégorisation de la sécurité des données avec un haut niveau de fidélité soit désormais tout à fait faisable : comprendre ce que ces données signifient pour votre entreprise ou simplement utiliser les limites dérivées manuellement des classifications grossières de conformité.
Prenons un exemple. Un point final est examiné. C’est un patch périmé. De nombreux points de vue sur le risque s’arrêteraient là et attribueraient une valeur. D’un point de vue commercial, il doit y avoir plus de contexte avant que le risque puisse être évalué de manière significative :
1. Quelles actions cela a-t-il été observé par télémétrie depuis que le dernier patch est disponible ? A-t-il été utilisé pour distribuer des e-mails qui pourraient être du phishing interne, ou pour générer des IOC compatibles avec des groupes d’attaque connus qui ont été observés exploitant une vulnérabilité ?
2. Quel est le rôle de l’utilisateur ? est-ce quelqu’un qui, autrement, aurait accès à des données précieuses ou sensibles, même si la télémétrie indique que les données sensibles ne semblent pas encore compromises ? Quelle est la véritable signification des données consultées ?
3. Quelle est la posture ou la santé de ces identités d’utilisateur ? Même si elles ne sont pas révoquées, les informations d’identification ont-elles été associées à une activité quelque peu inhabituelle ? Une activité qui n’est pas au niveau d’une alerte grave mais qui n’est pas conforme à un comportement normal ?
4. À quelles activités réseau l’utilisateur a-t-il été associé, y compris l’activité sur d’autres terminaux et appareils ? Quelle est la nature de ces communications et a-t-elle impliqué d’autres utilisateurs ou appareils avec des niveaux croissants de sensibilité et donc de risque ?
Donc, si nous combinons l’ASM avec la catégorisation de la sécurité des données et la posture de sécurité et le rendons aussi exploitable que possible, nous pouvons à nouveau avoir de belles choses : la gestion de la surface d’attaque de l’entreprise. En d’autres termes, comprendre à quel point les choses et les données sont importantes pour notre entreprise, et leur vulnérabilité aux attaques signifie une réelle évaluation de notre risque commercial. Ensuite, en rendant cette évaluation exploitable, en particulier de manière aussi automatisée que nous le souhaiterions, nous courons un risque réel le management ou, la gestion de la surface d’attaque des entreprises.
Prochaines étapes
Pour plus d’informations sur la surface d’attaque et la gestion des cyberrisques, consultez les ressources suivantes :