Qu'est-ce que le cycle de vie de la gestion de la surface d'attaque (ASM) ?

La gestion de la surface d'attaque est le processus systématique d'identification, d'évaluation et de sécurisation des actifs numériques d'une organisation et des points d'entrée susceptibles de faire l'objet de cyberattaques. Contrairement à d'autres approches de cybersécurité, une solution de gestion de la surface d'attaque considère les risques de sécurité de manière proactive et du point de vue de l'attaquant.

Le cycle de vie de la gestion de la surface d'attaque facilite des tactiques plus agressives qui recherchent les vulnérabilités sur la surface d'attaque numérique afin d'améliorer la posture de sécurité globale. Cette approche fondée sur le cycle de vie est cruciale car elle fournit un cadre dynamique pour aider les équipes de sécurité à détecter et à atténuer les cyberrisques de manière proactive.

Les 6 étapes des cyberattaques

Avant d'entrer dans les détails du cycle de vie de la gestion de la surface d'attaque, il convient de comprendre comment les acteurs de la menace évaluent et exploitent la base de risques d'une organisation. La connaissance des six étapes d'une cyberattaque permet de comprendre les quatre étapes du cycle de vie et la manière dont elles peuvent contrecarrer un attaquant à différents moments.

• Reconnaissance - rechercher, identifier et sélectionner des cibles (par exemple, des actifs numériques sur place, un actif faisant face à Internet, des données dans des environnements cloud ou une autre surface d'attaque externe avec des points d'entrée faisant face au public) qui leur permettront d'atteindre leurs objectifs.
• Armement et livraison : Déterminer les méthodes de diffusion des charges utiles malveillantes (par exemple, les ransomwares).
• Exploitation - déployer un programme d'exploitation contre des applications ou des systèmes vulnérables afin d'exploiter les points d'entrée initiaux dans l'organisation.
• Installation : installez des logiciels malveillants pour mener d'autres opérations, telles que le maintien de l'accès, la persistance et l'escalade des privilèges.
• Commande et contrôle - Établir un canal de commande pour communiquer et transmettre des informations entre les dispositifs infectés et leur infrastructure (par exemple, pour partager des informations de surveillance, contrôler des systèmes à distance ou exécuter des violations de données).
• Actions sur l'objectif - agir sur leurs motivations pour atteindre leur objectif.

4 étapes du cycle de vie de la gestion de la surface d'attaque

Le cycle de vie de la gestion de la surface d'attaque comprend quatre étapes ou phases que les équipes de sécurité suivent pour protéger le service d'attaque numérique. Il s'agit d'un processus d'évaluation constante des risques visant à faciliter la gestion des vulnérabilités et à renforcer la cybersécurité de l'organisation.

L'approche proactive du cycle de vie de la gestion de la surface d'attaque aide à identifier l'ensemble de l'inventaire des actifs, en particulier ceux à haut risque et les actifs inconnus, afin de permettre aux équipes de sécurité de remédier aux problèmes et d'améliorer les notes de sécurité.

Étape 1 : Découverte et classification des actifs

Les solutions de gestion de la surface d'attaque identifient et cartographient les systèmes et les applications à l'aide d'outils et de techniques de découverte automatisée des actifs. Il s'agit notamment de ceux qui font partie de bases cloud tierces et tournées vers l'extérieur, des terminaux distants et sur place, et des dispositifs des utilisateurs (c'est-à-dire apportez votre appareil ou BYOD). La gestion spécialisée de la surface d'attaque externe (EASM) est parfois utilisée pour découvrir les actifs numériques de tiers dans les environnements multi-cloud.

Les solutions de gestion de la surface d'attaque permettent de surmonter les difficultés liées à la découverte d'actifs non autorisés ou inconnus. L'ASM utilise souvent les mêmes techniques de reconnaissance avancées qu'un attaquant potentiel. Ces systèmes peuvent constamment rechercher des actifs numériques, en les identifiant fréquemment en temps réel.

Une fois identifiés, les actifs numériques sont répertoriés dans un inventaire détaillé qui comprend le matériel, les logiciels, les applications, les dispositifs de stockage de données et tous les actifs Internet-facing Assets. L'inventaire est classé en fonction de la criticité, de la sensibilité et de l'exposition potentielle aux risques. Un contrôle constant et une mise à jour régulière de l'inventaire sont essentiels pour garantir que le processus de gestion de la surface d'attaque reste efficace.

Étape 2 : Évaluation des risques et gestion de la vulnérabilité

Avec une vue claire de tous les actifs, les organisations peuvent procéder à une évaluation complète des risques pour identifier les vecteurs d'attaque potentiels, tels que les logiciels obsolètes, les configurations erronées ou les terminaux non sécurisés.

Plusieurs méthodes différentes sont utilisées pour analyser et évaluer les vulnérabilités des biens identifiés. Ces méthodes comprennent l'analyse automatisée des vulnérabilités, les tests de pénétration (pen testing), les audits de configuration, l'analyse de la composition des logiciels et l'intégration des renseignements sur les menaces. Les équipes de sécurité ont ainsi une visibilité sur les facteurs de cyberrisque, tels que les failles logicielles, les Configurations erronées et les vulnérabilités connues.

Les solutions de gestion de la surface d'attaque utilisent la modélisation des menaces pour analyser les vecteurs d'attaque afin d'évaluer la probabilité qu'elle soit la cible d'une attaque et l'impact potentiel. La modélisation des menaces aide les équipes de sécurité à réduire la portée des menaces pesant sur un système spécifique et à les classer par ordre de priorité. Il leur fournit des informations qui leur permettent de gagner du temps et de remédier rapidement aux menaces prioritaires.

Les informations fournies par les solutions de gestion des attaques et la hiérarchisation contextuelle améliorent la gestion des vulnérabilités en guidant les équipes de sécurité dans la détermination de la meilleure approche de remédiation.

Les équipes de sécurité peuvent utiliser l'évaluation des risques et les données contextuelles pour planifier la remédiation des cyberrisques en fonction de critères de priorisation, tels que l'exploitabilité, l'impact et les attaques précédentes. C'est important car les vulnérabilités identifiées sont souvent plus nombreuses que les ressources disponibles pour les corriger rapidement.

Étape 3 : Mise en œuvre des mesures d'assainissement

La cartographie et la contextualisation de la surface d'attaque sont utilisées pour orienter les efforts de remédiation. En fonction des priorités, des tactiques automatisées et manuelles de gestion de la surface d'attaque sont utilisées. Les solutions de gestion de la surface d'attaque aident les équipes de sécurité à déterminer un flux de travail pour remédier aux risques et fournissent des outils qui automatisent certains travaux, tels que :

• Mises à jour de la configuration
• Mise en œuvre du cryptage des données
• Installation des correctifs et des mises à jour
• Identification permanente des actifs et évaluation des risques associés
• Contrôles de remédiation
• Retirer les domaines orphelins
• Analyse des risques et des faiblesses des actifs de tiers
• Débogage du système

Plusieurs tactiques manuelles sont utilisées pour la remédiation afin de trouver les problèmes que les outils automatisés peuvent manquer. Ces tactiques sont les suivantes :

• Analyse experte par des équipes de sécurité qualifiées pour creuser les menaces complexes.
• Analyse médico-légale menée par l'homme pour comprendre la nature et l'impact des violations de données
• Audits manuels et examens des systèmes, des politiques et des procédures
• Tests de pénétration manuels réguliers

En outre, la remédiation peut impliquer des mesures plus larges. Il s'agit notamment de la mise en œuvre de l'accès au moindre privilège, de l'authentification multifactorielle (AMF), et de programmes de formation et de sensibilisation renforçant l'importance du respect des pratiques de sécurité.

Les efforts de remédiation de la surface d'attaque numérique sont exécutés par plusieurs équipes différentes, notamment :

• Les équipes de sécurité s'occupent de la gestion des risques et des vulnérabilités.
• Équipes d'exploitation informatique : effectuer les mises à jour des systèmes concernés.
• Les équipes de développement - intègrent des informations sur les vecteurs d'attaque dans leur cycle de développement logiciel (SDLC) lorsqu'elles construisent, mettent à jour et entretiennent des actifs numériques.

Étape 4 : Amélioration constante et adaptation

La gestion de la surface d'attaque est un processus continu. Les étapes détaillées ci-dessus doivent être répétées constamment pour assurer la détection précoce des changements dans l'environnement qui peuvent introduire de nouveaux vecteurs d'attaque et l'évolution des tactiques des attaquants.

Parmi les outils de gestion de la surface d'attaque qui permettent une surveillance continue des nouvelles vulnérabilités et menaces, on peut citer les suivants :

• Outils de gestion de la configuration : ils détectent et rectifient les Configurations erronées des dispositifs et systèmes du réseau conformément aux politiques de sécurité prédéfinies.
• Systèmes de détection des intrusions et de prévention (IDPS)- surveillent constamment les activités suspectes et peuvent automatiquement bloquer ou alerter sur les menaces potentielles.
• Systèmes de gestion des correctifs : ils détectent automatiquement les logiciels obsolètes et appliquent les correctifs et les mises à jour nécessaires pour combler les lacunes en matière de sécurité.
• Les systèmes de gestion des informations et des événements de sécurité (SIEM) - regroupent et analysent les données provenant de diverses sources, automatisant les processus d'alerte et de réponse en fonction des menaces identifiées.
• Les scanners de vulnérabilité : ils analysent les systèmes et les applications à la recherche de vulnérabilités connues et fournissent des mises à jour et des alertes régulières.

La surveillance constante permet à la gestion de la surface d'attaque de détecter et d'évaluer les nouvelles vulnérabilités et les vecteurs d'attaque en temps réel. Ces alertes donnent aux équipes de sécurité les informations dont elles ont besoin pour lancer des mesures correctives immédiates et efficaces. En outre, les environnements peuvent être adaptés pour mieux se préparer à la défense contre les menaces évolutives et de type "zero-day".

Stratégies pour compléter le cycle de vie de l'ASM

Le cycle de vie de la gestion de la surface d'attaque (ASM) est essentiel à une posture de cybersécurité solide. Cependant, il est essentiel de reconnaître que l'ASM seul ne suffit pas à protéger entièrement votre organisation.

Voici quelques stratégies qui peuvent être utilisées pour compléter le cycle de vie de l'ASM et renforcer encore votre sécurité :

Réduction de la surface d'attaque (ASR)

La réduction de la surface d'attaque (ASR) est un élément crucial du processus de gestion de la surface d'attaque qui implique la mise en œuvre de stratégies visant à minimiser le nombre de points d'entrée potentiels pour un attaquant.

Les principales tactiques consistent à exiger plusieurs formes de vérification avant d'accorder l'accès (par exemple, l'authentification multifactorielle), à maintenir les logiciels et les systèmes à jour avec les derniers correctifs (par exemple, la gestion des correctifs) et à limiter les droits d'accès des utilisateurs uniquement à ce qui est strictement nécessaire pour leur rôle (par exemple, le principe du moindre privilège, PoLP).

Gestion de la surface d'attaque cybernétique (CASM)

La gestion de la surface d'attaque cybernétique s'intègre aux sources de données existantes pour fournir aux organisations une vue unifiée et constamment mise à jour de l'ensemble de leur surface d'attaque. Les équipes de sécurité disposent ainsi des éléments nécessaires pour comprendre l'inventaire de leurs actifs et hiérarchiser les mesures correctives en fonction des données contextuelles.

Le CASM s'attaque aux angles morts du système et aux problèmes de conformité grâce à une visibilité complète et à une surveillance et une gestion constantes de ces actifs. Ces capacités garantissent le respect des politiques de sécurité et des normes de conformité.

Gestion de la surface d'attaque externe (EASM)

La gestion de la surface d'attaque externe (EASM) permet d'identifier et de sécuriser les Internet-facing assets d'une organisation, afin de prévenir les cybermenaces provenant de l'extérieur du réseau interne. Ce processus permet d'identifier tous les systèmes, services et terminaux tournés vers le public, y compris les sites web, les applications web, les serveurs et les ressources basées sur le cloud.

L'EASM analyse également ces actifs externes pour y déceler des faiblesses, des Configurations erronées ou des composants obsolètes que les acteurs de la menace pourraient exploiter. Cette surveillance constante de la surface d'attaque orientée vers l'internet permet aux équipes de sécurité de détecter de nouveaux risques émergents.

Services de protection contre les risques numériques (SPRN)

Les services de protection contre les risques numériques sont des solutions de cybersécurité spécialisées qui se concentrent sur l'identification, la surveillance et l'atténuation des risques numériques en dehors du périmètre de sécurité traditionnel. Elle englobe les renseignements sur les menaces, la protection de la marque, la détection des fuites de données, la détection de la fraude et du hameçonnage, et la surveillance de la réputation. Avec DRPS, les équipes de sécurité peuvent étendre leur gestion de la vulnérabilité aux cyber-risques au-delà de leur réseau interne.

Défis que le cycle de vie de l'ASM permet de relever

S'attaquer aux vecteurs d'attaque basés sur le cloud

Le cycle de vie de la gestion de la surface d'attaque permet de relever de nombreux défis, en particulier la gestion des vecteurs d'attaque basés sur le cloud qui couvrent des environnements multi-cloud complexes. Il fournit des outils et des processus pour aider les équipes de sécurité à obtenir une visibilité complète sur les environnements cloud.

Cela permet une identification et une gestion plus approfondies des actifs dans les modèles de services multi-cloud et cloud hybride, notamment SaaS, IaaS et PaaS.

Considérations relatives à l'IoT et au travail à distance.

Les solutions de gestion de la surface d'attaque prennent en compte les considérations liées à l'IoT et au Travail à distance. Le Travail à distance et les dispositifs IoT ont tous deux contribué à l'élargissement des périmètres et des surfaces d'attaque.

Le cycle de vie de la gestion des attaques aide les équipes de sécurité à surveiller ces utilisateurs et appareils distribués. Il facilite également la gestion des mesures de sécurité afin d'en atténuer les risques. Il s'agit notamment de gérer la sécurité des terminaux et de surveiller et mettre à jour constamment les mesures de sécurité dans le paysage tentaculaire de l'IoT et des travailleurs à distance.

Évolution du paysage des menaces

Le respect des étapes du cycle de vie de la gestion de la surface d'attaque accélère la détection des menaces émergentes et en évolution, ainsi que la réponse à ces menaces. La surveillance constante fournit des informations qui permettent d'identifier les vulnérabilités actuelles et d'anticiper les menaces futures. Cela permet une approche proactive de la cybersécurité qui permet aux équipes de sécurité de garder une longueur d'avance sur les menaces.

Ces capacités sont étayées par des renseignements sur les menaces émergentes, les schémas d'attaque et les acteurs de la menace. Elle s'appuie également sur les hackers éthiques, qui apportent un point de vue différent de celui des systèmes automatisés. Leurs simulations de cyberattaques permettent de trouver des vecteurs d'attaque avant que les acteurs de la menace ne puissent les exploiter.

FAQ sur le cycle de vie de la gestion de la surface d'attaque