Le périmètre de vulnérabilité d'une organisation est la somme des vulnérabilités, voies ou méthodes - parfois appelé vecteurs d'attaque - que les pirates peuvent utiliser pour avoir un accès non autorisé au réseau ou à des données sensibles, ou pour mener une cyberattaque.
Comme les organisations adoptent de plus en plus des services cloud et des modèles de travail hybrides (sur site / travail à domicile), leurs réseaux et les surfaces d'attaque associés deviennent plus grands et plus complexes de jour en jour. D'après Randori L'état de la gestion des surfaces d'attaque 2022 (le lien réside à l'extérieur ibm.com ( secondaire est une filiale d'IBM Corp.), 67 pourcentage des organisations ont vu leurs périmètres de vulnérabilité augmenter au cours des deux dernières années. Gartner analyste de l'industrie, a nommé le « périmètre de vulnérabilité développement » N°1 sécurité et gestion des risques tendance 2022 (le lien réside en dehors d'ibm.com).
Les experts en sécurité divisent le périmètre de vulnérabilité en trois sous-surfaces : le périmètre de vulnérabilité numérique, le périmètre de vulnérabilité physique et le périmètre de vulnérabilité d'ingénierie sociale.
Le périmètre de vulnérabilité numérique expose potentiellement l'infrastructure du cloud et de la location de l'organisation à tout pirate avec une connexion Internet. Les vecteurs d'attaque courants dans le périmètre de vulnérabilité numérique d'une organisation comprennent :
Mots de passe faibles : mots de passe qui sont faciles à deviner - ou faciles à casser via des attaques par force brute - augmentent le risque que les cybercriminels puissent compromettre les comptes d'utilisateurs pour accéder au réseau, voler des informations sensibles, répartir les logiciels malveillants et autrement endommager l'infrastructure. Selon le coût d'IBM d'un rapport de violation de données 2021, les informations d'identification compromises étaient le vecteur d'attaque initial le plus souvent exploité en 2021.
Mauvaise configuration : Des ports réseau, des canaux, des points d' accès sans fil, des pare-feux ou des protocoles mal configurés servent de points d' entrée pour les pirates. Les attaques d'homme dans le milieu, par exemple, profitent des protocoles de chiffrement faibles sur les canaux de transfert de messages pour intercepter les communications entre les systèmes.
Les logiciels, le système d'exploitation (OS) et les vulnérabilités du micrologiciel : les pirates et les cybercriminels peuvent profiter des erreurs de codage ou de mise en œuvre dans des applications tierces, OSS et autres logiciels ou firmware pour infiltrer les réseaux, avoir accès aux répertoires d'utilisateurs ou planter des logiciels malveillants. Par exemple, en 2021, les cybercriminels ont profité d'une faille dans la plate-forme VSA (Virtual Storage Appliance) de Kaseya (Link réside à l'extérieur ibm.com pour distribuer des ransomwares, déguisés en mise à jour logicielle, aux clients de Kaseya.
Actifs accessibles Internet : Les applications Web, les serveurs Web et les autre ressources qui font face à l'Internet public sont intrinsèquement vulnérables aux attaques. Par exemple, les pirates peuvent injecter un code malveillant dans les interfaces de programmation d'applications non sécurisées (API), ce qui les oblige à divulguer ou même à détruire les informations sensibles dans les bases de données associées.
Bases de données et répertoires partagés : les pirates peuvent exploiter les bases de données et les répertoires partagés entre les systèmes et les appareils pour obtenir un accès non autorisé aux ressources sensibles ou lancer des attaques de ransomwares. En 2016, la propagation du ransomware de Virlock (Link réside à l'extérieur de IBM.com) en infectant les dossiers de fichiers collaboratifs accessibles par plusieurs appareils.
Appareils, données ou applications obsolètes : Le fait de ne pas valider systématiquement les mises à jour et les correctifs crée des risques liés à la sécurité. Un exemple notable est le ransomware Wannacry, qui s'est répandu en exploitant une vulnérabilité du système d'exploitation Microsoft Windows (Link réside à l'extérieur de IBM.com) pour lequel un correctif était disponible. De même, lorsque des points de terminaison obsolètes, des ensembles de données, des comptes d'utilisateurs et des applications ne sont pas correctement désinstallés, supprimés ou rejetés, ils créent des vulnérabilités sans surveillance que les cybercriminels peuvent facilement exploiter.
Shadow It : "Shadow It" est un logiciel, un matériel ou des appareils - des applications gratuites ou populaires, des périphériques de stockage portables, un appareil mobile personnel non garanti - que les employés utilisent à l'insu ou avec l'approbation du service informatique. Parce qu'elle n'est pas surveillée par les équipes informatiques ou de sécurité, l'IT cachée peut introduire de graves vulnérabilités que les pirates peuvent exploiter.
Le périmètre de vulnérabilité physique expose les actifs et informations généralement accessibles uniquement aux utilisateurs autorisé à accéder au bureau physique ou aux appareils de noeud final de l'organisation (serveurs, ordinateurs, ordinateurs portables, appareils mobiles, appareils IdO, matériel opérationnel).
Initiés malveillants : Des employés mécontents ou autre ou d'autres utilisateurs ayant des intentions malveillantes peuvent utiliser leurs accéder d'accès pour voler données sensibles , désactiver appareils, logiciel malveillant usine défectueux ou pire.
Vol de dispositifs : les criminels peuvent voler des appareils de point final ou y accéder en pénétrant dans les locaux d'une organisation. Une fois en possession du matériel, les pirates peuvent accéder aux données et aux processus stockés sur ces appareils. Ils peuvent également utiliser l'identité et les autorisations de l'appareil pour accéder à d'autres ressources réseau. Les noeuds finaux utilisés par les travailleurs à distance, les appareils personnels des employés et les appareils mal jetés sont des cibles typiques du vol.
Appâtage : L'appâtage est une attaque dans laquelle les pirates quittent des lecteurs USB infectés par les logiciels malveillants dans des lieux publics, espérant inciter les utilisateurs à brancher les appareils sur leurs ordinateurs et à télécharger involontairement le malware.
L'ingénierie sociale manipule les personnes en les incitant à effectuer différentes actions : partager des informations qu'elles ne devraient pas divulguer, télécharger des logiciels dangereux ou non autorisés, visiter des sites Web déconseillés, envoyer de l'argent à des criminels ou commettre d'autres erreurs qui compromettent leur sécurité ou leurs actifs personnels ou organisationnels.
Parce qu'elle exploite les faiblesses humaines plutôt que les vulnérabilités techniques ou des systèmes numériques, l'ingénierie sociale est parfois appelée « piratage humain ».
En savoir plus sur l'ingénierie sociale
La surface des attaques d'ingénierie sociale d'une organisation équivaut essentiellement au nombre d'utilisateurs autorisés qui ne sont pas préparés ou non vulnérables aux attaques d'ingénierie sociale.
Le hameçonnage est le vecteur d'attaque d'ingénierie sociale le plus connu et le plus prévalent. Dans une attaque de phishing, les escrocs envoient des e-mails, des messages texte ou des messages vocaux qui tentent de manipuler les destinataires dans le partage d'informations sensibles, le téléchargement de logiciels malveillants, le transfert de l'argent ou des actifs vers les mauvaises personnes ou de prendre une autre action dommageable. Les escrocs élaborent des messages de phishing pour ressembler ou sembler provenir d'une organisation de confiance ou crédible ou d'une personne - un détaillant populaire, une organisation gouvernementale, ou parfois même un individu que le bénéficiaire connaît personnellement.
Selon le rapport du coût d'IBM des violations de données 2021, l'ingénierie sociale est la deuxième cause de violations de données.
La gestion de la surface d'attaque (ASM) fait référence aux processus et aux technologies qui adoptent la vision et l'approche d'un pirate de la surface d'attaque d'une organisation - dépassant et surveillant en continu les actifs et les vulnérabilités que les pirates voient et tentent d'exploiter lors du ciblage de l'organisation. L'ASM implique généralement :
Découverte continue, stock et surveillance des actifs potentiellement vulnérables. Toute initiative ASM commence par un inventaire complet et continuellement mis à jour des actifs informatiques d'une organisation connectés à Internet, y compris les actifs sur site et dans le cloud. L'approche d'un pirate garantit la découverte non seulement des actifs connus, mais également de l'IT cachée (voir ci-dessus), des applications ou des appareils qui ont été abandonnés mais non supprimés ou désactivés (informatique orpheline), des actifs implantés par des pirates ou des logiciels malveillants (IT malveillante) et plus, essentiellement tout actif pouvant être exploité par un pirate informatique ou une cybermenace.
Une fois découverts, les actifs sont surveillés en continu, en temps réel, pour détecter les changements qui augmentent leur risque en tant que vecteur d'attaque potentiel.
Analyse de la surface d'attaque, évaluation des risques et hiérarchisation. Les technologies ASM évaluent les actifs en fonction de leurs vulnérabilités et des risques de sécurité qu'ils présentent, et les hiérarchisent pour la réponse aux menaces ou la correction.
Réduction et résolution du périmètre de vulnérabilité. Les équipes de sécurité peuvent valider leurs conclusions à partir de l' analyse du périmètre de vulnérabilité et du groupage rouge pour prendre une variété d'actions à court terme afin de réduire le périmètre de vulnérabilité. Celles-ci peuvent inclure l'application de mots de passe plus forts, la désactivation des applications et des terminaux qui ne sont plus utilisés, l'application de correctifs d'application et de système d'exploitation, la formation des utilisateurs à reconnaître les escroqueries par hameçonnage, la mise en place de contrôles d'accès biométriques pour l'entrée au bureau ou la révision des contrôles et des politiques de sécurité concernant les téléchargements de logiciels et les supports amovibles.
Les organisations peuvent également prendre des mesures de sécurité plus structurelles ou à plus long terme pour réduire leur périmètre de vulnérabilité, dans le cadre ou indépendamment d'une initiative de gestion de périmètre de vulnérabilité. Par exemple, la mise en œuvre de l' authentification à deux facteurs (2fa) ou de l'authentification multifacteur peut réduire ou éliminer les vulnérabilités potentielles associées à des mots de passe faibles ou à une mauvaise hygiène des mots de passe.
À plus grande échelle, une approche de sécurité Zero Trust peut réduire considérablement le périmètre de vulnérabilité d'une organisation. Une approche basée sur la confiance zéro exige que tous les utilisateurs, qu'ils soient externes ou inclus dans le réseau, soient authentifiés, autorisés et validés en permanence afin d'obtenir et de conserver l'accès aux applications et aux données. Les principes et technologies de confiance zéro ( confirmation continue, accès au moindre privilège, contrôle continu, accéder du réseau) peuvent réduire ou éliminer de nombreux vecteurs d' attaque et fournir des données précieuses pour l' analyse continue des périmètre de vulnérabilité.