Agence web » Actualités du digital » Qu’est-ce qu’une surface d’attaque et pourquoi vous devriez vous en soucier –

Qu’est-ce qu’une surface d’attaque et pourquoi vous devriez vous en soucier –

Wright Studio/Shutterstock

Votre surface d’attaque est la somme des opportunités au sein de votre réseau qu’un cybercriminel peut attaquer et exploiter. Pour minimiser les cyber-risques, vous devez comprendre et gérer votre surface d’attaque.

Votre surface d’attaque

La surface d’attaque d’une organisation est souvent décrite comme la somme des manières dont l’organisation pourrait être violée. C’est un point de vue auto-limitatif. Il suppose que la collection de vecteurs d’attaque connus est une liste complète des vulnérabilités que les cybercriminels peuvent essayer d’exploiter.

Une meilleure définition est que votre surface d’attaque est la somme de tous les actifs informatiques exposés aux attaquants. Qu’elles aient ou non des vulnérabilités connues, toute entité informatique exposée, des serveurs aux API, doit être considérée comme faisant partie de votre surface d’attaque. Une nouvelle vulnérabilité qui compromet l’un de vos actifs peut être découverte à tout moment.

Tout ce qui est exposé au cyber-risque, qui correspond principalement au monde extérieur, est une cible potentielle. Votre surface d’attaque est la zone cible totale que vous présentez aux cybercriminels. Inutile de dire que plus la zone cible totale est petite, mieux c’est. Mais sans être complètement hors de la grille, il est impossible pour une organisation de ne pas avoir une surface d’attaque sous une forme ou une autre.

Si vous allez être coincé avec une surface d’attaque, la seule action sensée est de la comprendre, d’essayer de la rationaliser et de la minimiser, et de sécuriser ce qui reste le mieux possible.

Cartographier votre surface d’attaque

La pandémie de COVID-19 de 2020 a entraîné une migration soudaine du travail de bureau vers le travail à domicile pour de nombreux employés. Appeler cela une « migration », c’est peut-être être gentil. Dans de nombreux cas, ce qui s’est passé ressemblait plus à un abandon de navire. Quoi qu’il en soit, il s’agissait d’un exemple de changement imprévu et spectaculaire dans le parc informatique.

Dans des circonstances normales, les changements non négligeables sont, en théorie, planifiés bien à l’avance et menés de manière contrôlée et réfléchie. Le passage d’une application métier critique à une autre, ou le passage de l’informatique sur site au cloud computing sont des exemples de ce que l’on entend généralement par « migration ».

Mis à part les différences d’exécution, dans les deux cas, vous avez modifié votre surface d’attaque. Les changements planifiés et les changements forcés exposeront différents actifs informatiques à des risques. Mais ils peuvent très bien supprimer ou réduire les risques dans d’autres domaines.

Il n’est pas facile de visualiser tout cela, ni d’apprécier l’impact des changements. Pour les organisations multi-sites, le problème est encore plus difficile. Une façon de le maîtriser est de tracer vos actifs informatiques, y compris les logiciels, sur un axe d’un graphique et de tracer les menaces et les vulnérabilités sur l’autre. Pour chaque vulnérabilité qui s’applique à un actif, placez un marqueur à leur intersection. Le tracé résultant est une approximation de votre surface d’attaque.

Des packages logiciels sont disponibles pour vous aider à cartographier votre surface d’attaque. L’automatisation du processus vous permettra de ne pas oublier les systèmes, logiciels ou API hérités semi-dormants qui peuvent facilement être négligés. Ces packages sont particulièrement utiles pour découvrir les initiatives de « skunkworks » et autres shadow IT qui n’ont pas été fournies et déployées par votre équipe informatique. Le logiciel Attack Surface Management (ASM) fournit également des fonctionnalités de surveillance et d’alerte.

L’Open Web Application Security Project (OWASP) a créé un détecteur de surface d’attaque open source conçu pour découvrir les points de terminaison, les paramètres et les types de données de paramètres d’une application Web. Il fonctionne comme un plug-in pour les plates-formes de test de sécurité OWASP ZAP et PortSwigger Burp Suite.

Des outils comme ceux-ci se concentrent sur les aspects numériques de votre surface d’attaque. Ils ne tiennent pas compte de la sécurité physique de vos locaux, ni de la sensibilisation à la cybersécurité de votre personnel. Les mesures de sécurité physique et d’accès contrôlent qui peut entrer dans votre bâtiment et où ils peuvent aller une fois à l’intérieur. La formation de sensibilisation à la cybersécurité permet à votre personnel d’adopter les meilleures pratiques de cybersécurité, de reconnaître les attaques de phishing, les techniques d’ingénierie sociale et les encourage généralement à pécher par excès de prudence.

Que vous les regroupiez avec votre service d’attaque numérique en un seul uber-surface d’attaque ou non, l’accès physique et la formation à la sensibilisation à la cybersécurité ne peuvent être ni ignorés ni traités comme des citoyens de seconde zone. Ils font tous partie de votre gouvernance globale de la sécurité. Sachez simplement que la plupart des logiciels ASM n’offrent des avantages que si vous considérez votre surface d’attaque numérique.

Rationalisez et surveillez votre surface d’attaque

Armé des informations de votre audit manuel de la surface d’attaque ou des rapports de votre logiciel ASM, vous pouvez examiner de manière critique les attributs de votre surface d’attaque. Précisément, qu’est-ce qui en fait sa taille et à quel point est-il vulnérable ?

Les actifs doivent être regroupés en fonction de leur criticité et de leur sensibilité. Ils sont essentiels s’ils nuisent considérablement au fonctionnement de votre organisation. s’ils étaient compromis. Ils sont sensibles s’ils traitent des données personnelles ou des informations privées de l’entreprise.

Tous les actifs sont-ils requis dans leur forme actuelle ? Certains peuvent-ils être combinés, augmentant la sécurité et réduisant les coûts ? Les projets informatiques fantômes doivent-ils être fermés ou intégrés au patrimoine de l’entreprise ? Votre topologie de réseau est-elle toujours la disposition optimale pour les besoins de votre organisation aujourd’hui, en termes de fonctionnalité, de productivité et de sécurité ? Tous les comptes administratifs ou autres comptes privilégiés ont-ils encore une analyse de rentabilisation solide derrière eux ?

Une fois que vous aurez posé toutes les questions soulevées par l’audit et que vous vous serez mis d’accord sur les réponses, il sera presque certainement nécessaire de remédier aux problèmes pour éliminer les vulnérabilités et sécuriser le réseau. Une fois cette opération terminée, analysez à nouveau ou ré-auditez votre réseau pour établir une base de référence de votre surface d’attaque, puis surveillez les changements.

Intelligence exploitable

Les systèmes de gestion de la surface d’attaque fournissent, à des degrés divers, un tableau de bord indiquant l’état en temps réel des actifs qui composent votre surface d’attaque. Les alertes vous informent des ajouts ou des changements qui affectent votre surface d’attaque. La criticité et la sensibilité de vos actifs informatiques guideront votre priorisation de ces actifs. Assurez-vous que les actifs hautement prioritaires sont affichés bien en vue dans le tableau de bord ou, au moins, que les mécanismes d’alerte les plus complets leur sont appliqués.

Obtenir des informations sur votre surface d’attaque, la rationaliser, la sécuriser et la surveiller sont toutes des étapes importantes, mais elles ne signifient rien si vous ne réagissez pas aux informations fournies par votre logiciel ASM. Cela peut être aussi simple que d’appliquer des correctifs ou d’enquêter sur des événements inexpliqués.

Vous disposez déjà d’un processus et d’un calendrier de gestion des correctifs approfondis pour gérer les versions de correctifs programmées et les correctifs d’urgence extraordinaires. Si votre ASM signale qu’un point de terminaison présentant des vulnérabilités a été connecté au réseau, votre équipe peut décider de le supprimer du réseau ou de le mettre à jour. La gestion des exceptions à votre régime de correctifs habituel facilite grandement le processus de sélection des valeurs aberrantes.

Évoluer pour survivre

La gestion de la surface d’attaque devient une priorité pour de nombreuses organisations. Le nombre et le type d’appareils connectés aux réseaux augmentent et changent. Le passage de nuit au travail à domicile en est un exemple. La croissance explosive des appareils de l’Internet des objets et l’informatique hybride ou cloud en sont d’autres.

La surface d’attaque évolue plus rapidement que jamais. C’est pourquoi une gestion et une surveillance proactives sont indispensables.