La gestion du périmètre de vulnérabilité (ASM) englobe la détection, l'analyse, la correction et la surveillance continue des vulnérabilités et des vecteurs d'attaque potentiels qui constituent le périmètre de vulnérabilité d'une organisation.
Contrairement à d'autres disciplines de cybersécurité, l'ASM est menée entièrement du point de vue du pirate informatique et non pas du défenseur. Elle identifie les cibles et évalue les risques en fonction des opportunités qu'elles présentent pour un agresseur informatique malveillant. L'ASM exploite pour une grande part les mêmes méthodes et ressources que celles utilisées par les pirates informatiques. De nombreuses tâches et technologies de l'ASM sont conçues et exécutées par des « pirates éthiques » qui connaissent les comportements des cybercriminels et savent reproduire leurs actions.
La gestion du périmètre de vulnérabilité externe (EASM), une technologie relativement nouvelle, est parfois utilisée de manière interchangeable avec l'ASM. Toutefois, l'EASM s'intéresse plus particulièrement aux vulnérabilités et aux risques présentés par les actifs informatiques externes ou connectés à Internet dans une organisation. C'est ce que l'on appelle parfois le périmètre de vulnérabilité numérique d'une organisation. L'ASM résout aussi le problème des vulnérabilités dans le périmètre de l'organisation exposé aux attaques physiques et d'ingénierie sociale, par exemple des attaques lancées par des employés internes malveillants, ou résultant d'une méconnaissance par les utilisateurs finaux des escroqueries par hameçonnage.
L'adoption du cloud, la transformation numérique et l'expansion du télétravail sont autant de facteurs qui ont été accélérés par la pandémie de COVID-19, accroissant l'empreinte numérique et la surface de vulnérabilité moyenne et la rendant plus distribuée et plus dynamique, de nouveaux actifs se connectant quotidiennement au réseau de l'entreprise.
Selon le rapport State of Attack Surface Management 2022 de Randori (lien externe à ibm.com), 67 % des entreprises ont vu leur périmètre de vulnérabilité augmenter au cours des 12 derniers mois, tandis que l'an dernier, 69 % ont été touchées par un actif inconnu ou mal géré connecté à Internet. (Randori est une filiale d'IBM Corp.) Les analystes sectoriels de Gartner (lien externe à ibm.com) ont désigné l'expansion du périmètre de vulnérabilité comme l'une des priorités majeures des responsables de la sécurité des informations en termes de gestion de la sécurité et des risques en 2022.
Les processus traditionnels de reconnaissance des actifs, d'évaluation des risques et de gestion des vulnérabilités, développés lorsque les réseaux d'entreprise étaient plus stables et centralisés, sont dépassés par le rythme des nouvelles vulnérabilités et des nouveaux vecteurs d'attaque dans les réseaux actuels. Les tests de pénétration, par exemple, peuvent tester les vulnérabilités suspectées dans des actifs connus, mais ne peuvent pas aider les équipes de sécurité à identifier les nouveaux cyberrisques et les vulnérabilités qui font chaque jour leur apparition.
En revanche, le workflow continu de l'ASM et l'adoption du point de vue du pirate permettent aux équipes de sécurité et aux centres des opérations de sécurité (SOC) de définir une stratégie de sécurité proactive face à un périmètre de vulnérabilité qui ne cesse d'évoluer et de se métamorphoser. Les solutions d'ASM offrent une visibilité en temps réel des vulnérabilités et des vecteurs d'attaque dès leur apparition. Elles peuvent tirer parti d'informations provenant d'outils et de processus traditionnels d'évaluation des risques et de gestion des vulnérabilités pour disposer d'un contexte plus large lors de l'analyse et de la hiérarchisation des vulnérabilités. Elles peuvent également s'intégrer à des technologies de détection des menaces et de réponse aux menaces : systèmes SIEM (information sur la sécurité et de gestion des événements), EDR (détection des noeuds finaux et réponse) ou XDR (détection et réponse étendues), afin d'atténuer davantage les menaces et d'accélérer la réponse aux menaces dans toute l'entreprise.
L'ASM se compose de quatre processus fondamentaux : découverte des actifs, classification et hiérarchisation, remédiation et surveillance. Là encore, comme la dimension et la forme du périmètre de vulnérabilité changent constamment, les processus sont exécutés en continu et les solutions d'ASM les automatisent chaque fois que cela est possible. L'objectif est de fournir en permanence à l'équipe de sécurité un inventaire complet et à jour des actifs exposés, et d'accélérer la réponse aux vulnérabilités et aux menaces présentant le plus grand risque pour l'organisation.
Reconnaissance des actifs
La reconnaissance des actifs permet de rechercher et d'identifier automatiquement et en continu les matériels, les logiciels et les actifs clouds connectés à Internet susceptibles de constituer des points d'entrée pour un pirate ou un cybercriminel tentant d'attaquer une organisation. Ces actifs peuvent être les suivants
Classification, analyse et hiérarchisation
Une fois les actifs identifiés, ils sont classifiés, analysés pour y rechercher les vulnérabilités et hiérarchisés par ordre de priorité en fonction de leur exposition aux attaques. Il s'agit essentiellement d'une mesure objective qui estime leur risque d'être ciblés par les pirates.
Les actifs sont répertoriés par identité, adresse IP, propriété et connexions aux autres actifs de l'infrastructure informatique. Ils sont analysés en fonction de leurs expositions éventuelles, des causes de ces expositions (par exemple, configuration erronée, erreurs de codage, correctifs manquants) et des types d'attaques que les pirates peuvent mener par le biais de ces expositions (par exemple, vol de données sensibles, diffusion de ransomware ou d'autres logiciels malveillants).
Les vulnérabilités sont ensuite classées par ordre de priorité, afin d'être corrigées. La hiérarchisation est un exercice d'évaluation des risques : en général, chaque vulnérabilité reçoit une note de sécurité ou un score de risque basé sur
Résolution
En général, les vulnérabilités sont corrigées par ordre de priorité. Les opérations suivantes sont effectuées :
La résolution peut également impliquer des mesures plus larges concernant l'ensemble des actifs pour remédier aux vulnérabilités, par exemple, en mettant en place le principe de l'accès le moins privilégié ou l'authentification multifactorielle (MFA).
Surveillance
Étant donné que les risques de sécurité dans le périmètre de vulnérabilité de l'organisation changent chaque fois que de nouveaux actifs sont déployés ou que des actifs existants sont déployés d'une façon nouvelle, les actifs inventoriés dans le réseau et le réseau lui-même sont surveillés et analysés en permanence pour y détecter les vulnérabilités. Cette surveillance continue permet à l'ASM de détecter et d'évaluer les nouvelles vulnérabilités et les nouveaux vecteurs d'attaque en temps réel, et d'alerter les équipes de sécurité des nouvelles vulnérabilités nécessitant une intervention immédiate.
Gérez l'expansion de votre empreinte numérique et atteignez votre objectif avec moins de faux positifs pour améliorer rapidement la cyber-résilience de votre organisation.
Connectez vos outils, automatisez votre centre des opérations de sécurité (SOC), et dégagez du temps pour ce qui compte le plus.
Mettez en place un programme de gestion des vulnérabilités qui identifie, hiérarchise et gère la résolution des failles qui risquent d'exposer vos actifs les plus critiques.
Le périmètre de vulnérabilité d'une organisation correspond à la somme de ses vulnérabilités de cyber-sécurité.
Les menaces internes proviennent d'utilisateurs qui possèdent un accès autorisé aux actifs d'une entreprise et mettent en péril ces actifs délibérément ou accidentellement.
Une approche Zero Trust, ou approche basée sur la confiance zéro, exige que tous les utilisateurs, qu'ils soient externes ou internes au réseau, soient authentifiés, autorisés et validés en permanence, pour obtenir et conserver l'accès aux applications et aux données.
Un logiciel malveillant est un code logiciel créé pour endommager ou détruire des ordinateurs ou des réseaux ou pour accéder sans autorisation à des ordinateurs, des réseaux ou des données.
Un guide pour sécuriser votre environnement cloud et vos charges de travail.
La sécurité des données est la pratique qui consiste à protéger les informations numériques contre le vol, la corruption ou les accès non autorisés tout au long de leur cycle de vie.