La gestion des surfaces d'attaque (ASM) est la découverte, l'analyse, la priorisation, la résolution et le suivi continus des vulnérabilités de cybersécurité et des vecteurs d'attaque potentiels qui composent la surface d'attaque d'une organisation.
Contrairement à d’autres disciplines de cybersécurité, l’ASM est entièrement menée du point de vue du pirate informatique plutôt que du point de vue du défenseur. Il identifie les cibles et évalue les risques en fonction des opportunités qu'ils présentent à un pirate malveillant.
L'ASM s'appuie sur un grand nombre de méthodes et de ressources utilisées par les pirates informatiques. De nombreuses tâches et technologies ASM sont conçues et exécutées par des « pirates éthiques » qui connaissent bien le comportement des cybercriminels et sont capables de reproduire leurs actions.
La gestion de la surface d'attaque externe (EASM), une technologie ASM relativement nouvelle, est parfois utilisée de manière interchangeable avec l'ASM. Cependant, l'EASM se concentre spécifiquement sur les vulnérabilités et les risques présentés par les actifs informatiques externes ou accessibles sur Internet d'une organisation, parfois désignés comme la surface d'attaque numérique de l'organisation.
L'ASM concerne également les vulnérabilités des surfaces d'attaque physiques et d'ingénierie sociale d'une organisation, telles que les initiés malveillants ou une formation inadéquate des utilisateurs finaux contre les tentatives de hameçonnage.
Obtenez des informations pour mieux prendre en charge le risque de violation de données grâce au dernier rapport sur le coût d’une violation de données.
Inscrivez-vous pour obtenir le X-Force Threat Intelligence Index
L'adoption accrue du cloud, la transformation numérique et l'expansion du télétravail ces dernières années ont considérablement agrandi l'empreinte numérique moyenne des entreprises et leur surface d'attaque. Celle-ci est désormais plus distribuée et plus dynamique, avec de nouveaux actifs qui se connectent chaque jour au réseau de l'entreprise.
Les processus traditionnels de découverte des actifs, d'évaluation des risques et de gestion des vulnérabilités, qui ont été développés lorsque les réseaux d'entreprise étaient plus stables et centralisés, sont dépassés par la vitesse à laquelle de nouvelles vulnérabilités et de nouveaux vecteurs d'attaque apparaissent dans les réseaux d'aujourd'hui. Les tests d'intrusion, par exemple, permettent de détecter des vulnérabilités présumées dans des actifs connus, mais ils ne peuvent pas aider les équipes de sécurité à identifier les nouveaux cyberrisques et vulnérabilités qui apparaissent chaque jour.
Mais le flux de travail continu d'ASM et la perspective d'un pirate informatique permettent aux équipes de sécurité et aux centres d'opérations de sécurité (SOC) d'adopter une posture de sécurité proactive face à une surface d'attaque en constante croissance et évolution. Les solutions ASM offrent une visibilité en temps réel sur les vulnérabilités et les vecteurs d'attaque à mesure qu'ils émergent.
Ils peuvent s'appuyer sur les informations provenant des outils et processus traditionnels d'évaluation des risques et de gestion des vulnérabilités pour obtenir un meilleur contexte lors de l'analyse et de la hiérarchisation des vulnérabilités. De plus, ils peuvent s'intégrer aux technologies de détection et de réponse aux menaces, notamment la gestion des informations et des événements de sécurité (SIEM), la détection et réponse des terminaux (EDR) ou la détection et la réponse étendues (XDR), afin d'améliorer l'atténuation des menaces et d'accélérer la réponse aux menaces à l'échelle de l'entreprise.
L’ASM repose sur quatre processus principaux : la découverte, la classification et la priorisation des actifs, la correction et la surveillance. Là encore, en raison de la constante évolution de la taille et de la forme de la surface d'attaque numérique, ces processus sont effectués de manière continue, et les solutions ASM automatisent ces processus chaque fois que c'est possible. L'objectif est d'armer les équipes de sécurité avec un inventaire complet et actuel des actifs exposés, afin d'accélérer la réponse aux vulnérabilités et aux menaces présentant le plus grand risque pour l'organisation.
Découverte d'actifs
La découverte d'actifs recherche et identifie automatiquement et en continu les matériels, logiciels et actifs cloud accessibles sur Internet qui pourraient servir de points d'entrée pour un pirate informatique ou un cybercriminel cherchant à attaquer une organisation. Ces actifs peuvent inclure :
Classification, analyse et hiérarchisation des priorités
Une fois les actifs identifiés, ils sont classés, analysés pour détecter les vulnérabilités et priorisés en fonction de leur « attaquabilité », une mesure objective de la probabilité qu'ils soient ciblés par des pirates.
Les actifs sont inventoriés par identifiant, adresse IP, propriété et connexions aux autres actifs de l'infrastructure informatique. Ils sont analysés en fonction des vulnérabilités qu'ils peuvent présenter, des causes de ces vulnérabilités (par exemple, mauvaises configurations, erreurs de codage, correctifs manquants) et des types d'attaques que les pirates peuvent mener grâce à ces vulnérabilités (par exemple, vol de données sensibles, diffusion de ransomware ou d'autres logiciels malveillants).
Ensuite, les vulnérabilités sont classées par ordre de priorité pour la correction. La hiérarchisation des priorités est un exercice d’évaluation des risques – en règle générale, on attribue à chaque vulnérabilité une note de sécurité ou un score de risque en fonction :
Résolution
En général, les vulnérabilités sont corrigées par ordre de priorité. Cela peut impliquer :
La correction peut également impliquer des mesures plus larges et multi-actifs pour traiter les vulnérabilités, telles que la mise en œuvre du principe du moindre privilège ou de l'authentification multifactorielle (MFA).
Surveillance
Comme les risques de sécurité sur la surface d'attaque de l'organisation changent chaque fois que de nouveaux actifs sont déployés ou que des actifs existants sont déployés de nouvelles manières, les actifs inventoriés du réseau et le réseau lui-même sont continuellement surveillés et analysés à la recherche de vulnérabilités. La surveillance continue permet à l'ASM de détecter et d'évaluer les nouvelles vulnérabilités et les nouveaux vecteurs d'attaque en temps réel, et d'alerter les équipes de sécurité de toute nouvelle vulnérabilité nécessitant une attention immédiate.
Adoptez un programme de gestion des vulnérabilités qui identifie, hiérarchise et gère la correction des failles susceptibles d’exposer vos actifs les plus critiques.
La surface d'attaque d'une organisation est la somme de ses vulnérabilités du point de vue de la cybersécurité.
Les menaces d'initiés se produisent lorsque des utilisateurs ayant un accès autorisé aux actifs d'une entreprise compromettent ces actifs délibérément ou accidentellement.
L’approche Zero Trust exige que tous les utilisateurs, qu’ils soient extérieurs ou internes au réseau, soient identifiés, autorisés et validés en permanence pour obtenir et conserver l’accès aux applications et aux données.
Un logiciel malveillant est un code logiciel écrit pour endommager ou détruire ordinateurs et réseaux, ou encore pour permettre un accès non autorisé aux ordinateurs, aux réseaux et aux données.
Un guide pour vous aider à sécuriser votre environnement de cloud computing et vos workloads.
La sécurité des données est une pratique qui consiste à protéger les informations numériques contre le vol, la corruption et l’accès non autorisé, et ce tout au long de leur cycle de vie.