Ce qui distingue une bonne solution ASM

Jun 13, 2023

Dans cette interview Help Net Security, Patrice Auffret, CTO chez Onyphe, explique comment la vision traditionnelle de la sécurité basée sur le périmètre devient obsolète. Il suggère aux organisations de redéfinir leur concept de surface d'attaque et discute des mesures proactives qu'elles peuvent prendre pour renforcer leur solution de gestion de surface d'attaque (ASM).

Tout d’abord, définissons ASM. Le terme a été inventé par Gartner quelque part en 2020. Il s’agit d’un nouvel outil dans l’arsenal défensif de cybersécurité des organisations. L'ASM devrait aider les organisations à avoir une meilleure vue de leurs actifs exposés sur Internet, ainsi qu'à identifier ceux qui sont inconnus. De nombreuses solutions sont apparues depuis dans la catégorie ASM, mais elles ne se valent pas toutes. Une bonne solution ASM doit intégrer Attack Surface Discovery (ASD), qui est la capacité de trouver des actifs inconnus. Nous sommes actifs dans les catégories ASD et ASM depuis maintenant 6 ans, avant même que ces termes n'existent.

En 2023, les organisations ne pourront pas tout mettre à jour rapidement et à tout moment. L'ASM doit permettre aux équipes informatiques de se concentrer sur les menaces les plus importantes : celles exploitées par les cybercriminels pour pénétrer dans les réseaux et déployer des ransomwares. Nous savons, grâce aux rapports de renseignements sur les menaces, que la grande majorité des intrusions se produisent en raison de services RDP (Remote Desktop Protocol) exposés sur Internet, d'appliances VPN et de vulnérabilités critiques (CVE). Un rapport de Palo Alto Unit 42 de 2022 souligne que ces trois vecteurs d'accès initiaux représentent 46 % des intrusions sur les réseaux Internet.

Du point de vue de la gestion des surfaces d’attaque externes, les entreprises devraient au minimum se concentrer sur ces 3 vecteurs.

La surface d'attaque d'une organisation peut inclure toute la technologie qui sous-tend ses processus métier et ses données, y compris l'infrastructure et les applications externalisées. C'est pourquoi l'ASD est si essentielle et constitue une condition préalable à une ASM efficace. En outre, nous affirmons que, pour de nombreuses organisations, l’ASM est la partie la plus facile et que le défi consiste à disposer d’un inventaire complet de leurs actifs exposés. C'est là qu'intervient une solution ASD.

Un autre avantage clé d'ASD est qu'il peut alimenter un scanner de vulnérabilités traditionnel avec une liste d'adresses IP ou de noms de domaine complets (FQDN) en complément des solutions ASM.

En outre, l’approche obsolète de l’inventaire des actifs basée sur la propriété intellectuelle devrait être interdite. Aujourd’hui, vous devez adopter une approche basée sur le domaine pour l’inventaire des actifs. Pourquoi ? Tout simplement parce qu’avec une infrastructure cloud éphémère, les adresses IP sont susceptibles de changer, alors que les noms de domaine doivent rester cohérents dans le temps, avec de nouveaux domaines constamment ajoutés. Comment suivre les changements et les nouveaux domaines ? Une bonne solution ASD doit collecter des données provenant de plusieurs sources, telles que le DNS, les journaux de transparence des certificats (CTL), l'analyse IP sur Internet et, plus important encore, l'analyse basée sur les URL. Cette dernière est cruciale car de plus en plus d’entreprises protègent leurs sites Web avec des solutions CDN, comme Cloudflare. Si vous analysez uniquement les adresses IP de Clouflare, vous ne pourrez pas obtenir de visibilité sur vos hébergeurs Web réels, ce qui peut présenter des problèmes de sécurité cachés.

En exploitant toutes ces sources d'informations, une organisation peut partir d'un seul nom de domaine, s'appuyer sur des mots-clés et des fournisseurs de services connus, puis itérer pour créer un inventaire de tous les actifs exposés. Ensuite, vous devez utiliser les bons outils pour trouver les adresses IP liées à tous vos domaines et autres pivots, comme le champ d'organisation dans les certificats TLS ou les trackers HTTP, comme Google Analytics & Meta Pixels, que l'on trouve sur les sites Web. Cette liste de modèles devient votre inventaire d'actifs et vous devez la mettre à jour régulièrement pour trouver de nouveaux actifs exposés.

Une bonne solution ASM doit être indépendante de l'IP tout en étant capable de rechercher par blocs de réseau les organisations avec leurs plages IP ou leurs centres de données.

L'ASM interne est plus simple : vous devriez déjà avoir la liste de vos adresses IP ou blocs réseau. L'analyse de vos gammes doit être effectuée régulièrement, ce qui se fait depuis des décennies.