À l’ère de la numérisation et des besoins commerciaux en constante évolution, l’environnement de production est devenu un organisme vivant. Plusieurs fonctions et équipes au sein d’une organisation peuvent finalement avoir un impact sur la façon dont un attaquant voit les actifs de l’organisation, ou en d’autres termes, la surface d’attaque externe. Cela augmente considérablement la nécessité de définir une stratégie de gestion de l’exposition.
Pour répondre aux besoins de l’entreprise tout en évaluant et en gérant efficacement les risques de cybersécurité, les entreprises doivent prendre en compte deux éléments principaux concernant leur surface d’attaque externe : Taille et son attrait pour les attaquants. Alors que les organisations se concentrent généralement sur la prise en compte de la taille de leur surface d’attaque, son attrait n’est généralement pas une priorité, bien qu’il puisse avoir un impact significatif sur le risque.
Taille de la surface d’attaque
Combien d’actifs sont accessibles depuis le monde extérieur ?
Il existe un équilibre délicat entre les besoins de l’entreprise et la sécurité. Bien qu’il existe de bonnes raisons d’exposer davantage d’actifs à Internet (c’est-à-dire pour l’expérience utilisateur, les intégrations tierces et les exigences d’architecture logicielle), le prix est une surface d’attaque accrue. Une connectivité accrue signifie finalement plus de points de brèche potentiels pour un adversaire.
Plus la surface d’attaque est grande et plus il y a d’actifs disponibles pour le « terrain de jeu » de l’adversaire, plus une organisation devra atténuer le risque d’exposition. Cela nécessite des politiques et des procédures soigneusement élaborées pour surveiller la surface d’attaque et protéger en permanence les actifs exposés. Bien sûr, il existe des mesures de base, telles que la recherche systématique de vulnérabilités logicielles et l’application de correctifs. Cependant, il faut également prendre en compte les problèmes de configuration, le shadow IT, les fuites d’informations d’identification et les aspects de gestion des accès.
Remarque importante : la fréquence des tests et des validations doit au moins s’aligner sur le rythme de changement de la surface d’attaque de l’organisation. Plus une organisation modifie son environnement, plus elle a besoin d’évaluer la surface d’attaque. Cependant, des tests de routine sont toujours nécessaires même pendant les périodes de changement minime.
Attractivité de la surface d’attaque
Alors que la taille de la surface d’attaque externe est un indicateur bien compris du risque de cybersécurité, un autre aspect tout aussi critique – bien que plus insaisissable pour les organisations aujourd’hui – est la façon dont attrayant une surface d’attaque est aux attaquants potentiels.
Lorsque les adversaires recherchent des victimes potentielles, ils recherchent le fruit le plus bas. Qu’il s’agisse du moyen le plus simple de compromettre une organisation ciblée particulière ou des cibles les plus faciles à attaquer pour atteindre leurs objectifs, ils seront attirés par les indicateurs de points faibles de sécurité potentiels dans les actifs externes et hiérarchiseront leurs activités en conséquence.
Quand on parle d’actifs « attractifs », on ne parle pas forcément de cibles attirantes, comme les données personnelles, qui peuvent être revendues sur le marché noir. Les attractions sont les attributs d’un atout qui ont le potentiel d’être abusés par des adversaires. Ceux-ci sont ensuite marqués comme un point de départ potentiel pour propager une attaque.
Les actifs d’une organisation peuvent tous être corrigés avec les logiciels les plus récents et les plus performants. Cependant, ces actifs pourraient encore avoir des propriétés intéressantes. Par exemple, un grand nombre de ports ouverts augmente le nombre de protocoles pouvant être exploités pour propager une attaque. Il est important de souligner que les attaques ne sont pas nécessairement liées à une vulnérabilité mais peuvent être un abus d’un service bien connu. Un bon exemple de cela peut être trouvé dans ce article de blog de Pentera Labs décrivant comment abuser de l’utilitaire PsExec. De plus, certains ports spécifiques peuvent être plus attractifs, par exemple le port 22, qui permet un accès SSH depuis le monde extérieur.
Un autre exemple est un site Web qui permet le téléchargement de fichiers. Pour certaines organisations, il s’agit d’un service essentiel qui permet à l’entreprise, mais pour les attaquants, c’est un moyen pratique de mettre le pied dans la porte. Les organisations sont bien conscientes du risque et peuvent y faire face de différentes manières, mais cela ne change rien à l’attractivité de cet actif et à son potentiel de risque correspondant.
Le principal défi lié à la gestion des attractions est qu’elles sont des cibles mobiles. Les attractions changent à la fois dans leur nombre d’instances et dans leur sévérité par changement de configuration.
Pour évaluer efficacement la sévérité d’une attraction, il est essentiel de comprendre à quel point il est facile pour un adversaire de la détecter lors de la phase d’énumération et, plus important encore, à quel point il est facile de l’exploiter. Par exemple, avoir une connexion VPN est facile à détecter mais difficile à exploiter, et par conséquent, cela peut être une priorité moindre dans le plan de gestion des risques d’une organisation. D’autre part, avoir un formulaire de contact en ligne est facile à détecter et présente des niveaux d’exposition élevés pour les injections SQL et exploite des vulnérabilités comme Log4Shell.
Diminuer le nombre d’attractions réduit le risque d’une organisation, mais ce n’est pas toujours possible. Par conséquent, comprendre le risque sous-jacent et définir un plan pour y faire face devrait être la priorité numéro un de l’organisation pour contrôler les expositions dans la surface d’attaque externe tout en répondant aux besoins de l’entreprise.
Noter: Cet article est rédigé et contribué par un Product Marketing Manager chez Pentera, la société de validation automatisée de la sécurité. Pour en savoir plus, rendez-vous sur pentera.io.