Évaluation de la surface d'attaque – Guide 101

Avec l'évolution et l'expansion de l'empreinte numérique de toute organisation grâce à l'hébergement de solutions de travail à distance, de services basés sur le cloud ou de systèmes interconnectés, les points d'entrée pour des attaques potentielles augmentent également. Le nombre croissant de points d'accès potentiels crée une surface d'attaque, qui correspond à la somme totale de tous les points possibles par lesquels un utilisateur non autorisé peut pénétrer dans un environnement pour accéder à des données ou extraire des données d'un environnement.

Pour les organisations qui cherchent à sécuriser leurs actifs numériques, l'évaluation de la surface d'attaque (ASA) est une pratique essentielle. Les équipes de sécurité peuvent contribuer à réduire le temps moyen nécessaire pour détecter une attaque en maîtrisant parfaitement la surface d'attaque et en ayant une visibilité complète sur tous ses aspects, y compris sa gestion des vulnérabilités . Cela permet aux organisations de passer d'une réponse réactive à une prévention via une hiérarchisation stratégique des priorités en matière de sécurité et une allocation des ressources.

Dans cet article, nous aborderons l'évaluation de la surface d'attaque, son importance, ses avantages et ses défis. Nous explorerons également les processus qui peuvent aider une organisation à défendre ses actifs informatiques contre un paysage de menaces plus sophistiqué.

Qu'est-ce que l'évaluation de la surface d'attaque ?

L'évaluation de la surface d'attaque est une approche méthodique visant à découvrir, identifier et analyser tous les points (visibles publiquement) de l'infrastructure informatique d'une organisation (y compris le matériel, les logiciels et les solutions numériques) où un acteur malveillant potentiel peut accéder à l'organisation à des fins malveillantes. Cela comprend l'énumération de tous les points d'accès à un système donné, tels que les ports réseau, les interfaces d'application, les portails utilisateurs, les API et les points d'accès physiques. Le résultat final est une vue d'ensemble des points faibles d'une organisation qui pourraient être vulnérables à une attaque.

Une évaluation de la surface d'attaque consiste à évaluer les composants techniques et non techniques de l'environnement. Cela englobe les périphériques matériels, les applications logicielles, les services réseau, les protocoles et les comptes utilisateurs. La partie non technique concerne l'aspect humain, les processus organisationnels et la sécurité physique. Ensemble, ils fournissent une image complète de la posture de sécurité d'une organisation et identifient les domaines cibles à corriger.

Pourquoi effectuer des évaluations de la surface d'attaque ?

Les organisations ne peuvent pas protéger ce dont elles n'ont pas conscience. Les failles de sécurité se produisent sur des systèmes abandonnés, sur des actifs inconnus ou via des points d'accès hors champ que les équipes de sécurité n'avaient jamais pensé à inclure dans leurs plans de protection.

Une fois que les organisations savent comment un attaquant peut s'introduire, elles peuvent identifier les points faibles, qu'il s'agisse de logiciels obsolètes, de correctifs manquants, de mécanismes d'authentification inefficaces ou d'interfaces mal protégées. Cela donne aux équipes de sécurité la possibilité de corriger ces vulnérabilités avant qu'un attaquant ne puisse les exploiter.

La plupart des organisations travaillent dans une boucle sans fin lorsqu'elles répondent aux alertes et aux incidents de sécurité. Les équipes sont épuisées et les organisations sont exposées. Ce schéma est modifié par les évaluations de la surface d'attaque, car les équipes peuvent découvrir et résoudre les vulnérabilités avant qu'elles ne soient exploitées.

Méthodologies d'évaluation courantes pour l'ASA

Les équipes de sécurité utilisent différentes méthodologies pour évaluer et gérer efficacement leur surface d'attaque. L'approche choisie par une organisation dépend généralement de ses besoins en matière de sécurité, des ressources disponibles et de la complexité de l'environnement numérique.

Techniques de découverte automatisées

Les techniques de découverte automatisées constituent la base de la plupart des programmes d'évaluation de la surface d'attaque. Ces outils utilisent l'analyse des réseaux, des systèmes et des applications pour détecter à la fois les actifs et les vulnérabilités avec un minimum d'effort humain. Les scanners de ports cartographient les services réseau ouverts, les outils d'énumération des sous-domaines trouvent les propriétés web inactives et les analyseurs de configuration recherchent les configurations non sécurisées.

Processus de vérification manuels

L'automatisation apporte de l'ampleur, tandis que les processus de vérification manuels apportent de la profondeur aux évaluations de la surface d'attaque. Cela implique un examen manuel des systèmes critiques, des tests de contrôle d'accès et une évaluation de l'architecture de sécurité afin d'identifier les problèmes qu'un outil automatisé ne pourrait pas détecter, tels que les failles logiques des processus métier, les techniques de contournement de l'authentification et l'examen des autorisations d'accès par des professionnels de la sécurité.

Évaluation continue ou ponctuelle

Lorsqu'elles conçoivent leurs programmes de sécurité, les organisations doivent choisir entre une surveillance continue et des évaluations ponctuelles. Les évaluations de sécurité instantanées, appelées évaluations ponctuelles, sont souvent réalisées tous les trimestres ou tous les ans. Ces évaluations sont généralement des analyses approfondies, mais elles peuvent passer à côté de nouvelles vulnérabilités apparues pendant les cycles d'évaluation. En revanche, la surveillance continue vérifie en permanence les nouveaux actifs, les changements de configuration ou les vulnérabilités.

Cadres de hiérarchisation basés sur les risques

Les cadres de hiérarchisation basés sur les risques permettent aux équipes de sécurité de donner la priorité aux éléments les plus critiques. Ces cadres prennent en compte l'impact potentiel d'une violation, la probabilité d'exploitation et la valeur commerciale des actifs concernés. Une approche basée sur les risques permet aux équipes de sécurité de traiter en premier lieu les vulnérabilités les plus importantes, plutôt que celles qui sont les plus nombreuses ou les plus récemment divulguées.

Applications de la perspective de la sécurité offensive

Cette approche offensive de la sécurité pour l'évaluation de la surface d'attaque permet de mieux comprendre les chemins d'attaque réels. Dans le cadre de cette approche, les équipes de sécurité se mettent à la place d'un attaquant et testent les systèmes comme le ferait un attaquant. Cela comprend la cartographie des chemins d'attaque, la cartographie des chaînes de vulnérabilités menant à une violation majeure et l'émulation des adversaires, où les équipes émulent la technologie utilisée par des groupes de menaces particuliers.

Comment effectuer une évaluation de la surface d'attaque ?

Une évaluation efficace de la surface d'attaque doit être systématique et combiner à la fois des outils techniques et une capacité logique stratégique. Voici le processus qui décrit les étapes de base que les organisations doivent suivre afin d'évaluer leur posture de sécurité et d'identifier leurs points faibles.

Définition initiale du périmètre et des objectifs

Toute bonne évaluation de la surface d'attaque doit avoir des objectifs et un périmètre. Au cours de cette phase, les équipes de sécurité précisent les systèmes qui seront examinés, le type de failles de sécurité recherchées et ce qui constitue une évaluation réussie. Cette phase de planification permettra de déterminer si l'évaluation porte sur des actifs critiques spécifiques, des systèmes nouvellement déployés ou l'ensemble de l'organisation.

Phase d'énumération et de découverte des actifs

Cette phase consiste principalement à identifier et à enregistrer tous les systèmes, applications et services qui composent la présence numérique de l'entreprise. Le processus de découverte commence par des méthodes passives et actives. Ces méthodes passives peuvent inclure la lecture de toute la documentation existante, l'analyse des schémas de réseau, la vérification des enregistrements DNS et la recherche dans les bases de données publiques des actifs perçus de l'organisation.

Cartographie des vecteurs d'attaque externes

Après avoir identifié les actifs, les équipes de sécurité s'attachent à déterminer comment les cybercriminels pourraient accéder à ces systèmes depuis l'extérieur. Cette étape consiste à analyser les multiples voies qu'un attaquant peut emprunter pour obtenir un accès initial. La cartographie des vecteurs d'attaque externes consiste à établir une cartographie détaillée de tous les points de connexion vers le monde extérieur à partir des systèmes internes. Cela englobe tous les services exposés sur Internet, les points d'accès VPN, les passerelles de messagerie électronique et les connexions tierces.

Identification des services et applications exposés à Internet

Tout système disposant d'une connexion directe ou indirecte (configurée via un tunnel VPN, etc.) à Internet est, de par sa nature, la cible numéro un et nécessite une attention particulière lors de l'évaluation. Au cours de cette étape, tous les services auxquels on peut accéder directement via l'Internet public doivent être examinés de manière approfondie. Les équipes analysent toutes les plages d'adresses IP et tous les domaines publiés à la recherche de ports ouverts et de services en cours d'exécution.

Évaluation des systèmes d'authentification et de contrôle d'accès

Une défaillance des contrôles d'accès qui empêchent les utilisateurs non autorisés d'accéder au système permettra à n'importe quel utilisateur d'y accéder, même sur des systèmes bien protégés. Cette partie permet de déterminer comment les utilisateurs valident leur identité et quels utilisateurs ont accès aux ressources. L'évaluation de l'authentification comprend la vérification des politiques en matière de mots de passe, l'authentification à deux facteurs, la gestion des sessions et le stockage des identifiants.

Documentation des résultats et création de profils de risque

La dernière étape consiste à convertir les résultats techniques en informations de sécurité exploitables en documentant les vulnérabilités et en évaluant leur impact sur l'entreprise. La planification des mesures correctives et l'amélioration globale de la sécurité s'appuieront sur cette documentation. Les équipes rédigent une description technique de chaque vulnérabilité, soulignent son impact potentiel et expliquent à quel point elle pourrait être facilement exploitée.

Avantages de l'évaluation de la surface d'attaque

Les évaluations de la surface d'attaque apportent aux organisations une valeur ajoutée considérable, au-delà de l'identification des vulnérabilités. Le cadre systématique de l'analyse de sécurité offre plusieurs avantages qui contribuent à la résilience et à l'efficacité opérationnelle de la posture de sécurité d'une entreprise.

Visibilité améliorée

Des évaluations régulières de la surface d'attaque améliorent la visibilité dans les environnements complexes. À mesure que les organisations évoluent, il leur est de plus en plus difficile d'avoir et de conserver une compréhension précise des actifs informatiques qu'elles possèdent. Le Shadow IT, les systèmes hérités et les applications non autorisées créent des angles morts où les risques de sécurité peuvent passer inaperçus. Les équipes de sécurité peuvent alors voir et sécuriser l'ensemble de leur environnement.

Réduire les coûts liés à la réponse aux incidents

La détection précoce des vulnérabilités permet de réduire considérablement les coûts liés à la réponse aux incidents grâce à l'évaluation des surfaces d'attaque. Plus les pirates informatiques restent longtemps indétectables, plus les incidents de sécurité deviennent coûteux. En identifiant les vulnérabilités de manière proactive grâce à une évaluation des vulnérabilités, il est possible de les détecter avant les attaquants, ce qui permet de les corriger avant que la réponse à la violation, la notification des clients, la restauration du système et les amendes réglementaires ne deviennent un problème.

Allocation stratégique des ressources

Ces évaluations aident également les organisations à concentrer leurs dépenses de sécurité là où elles sont nécessaires, ce qui permet une allocation plus stratégique des ressources. De nos jours, les équipes de sécurité sont soumises à une pression croissante pour protéger un nombre toujours plus important de systèmes avec des ressources limitées. Les informations fournies par les évaluations de la surface d'attaque sont essentielles pour les décideurs, car elles identifient précisément les systèmes les plus exposés et les vulnérabilités qui, si elles étaient exploitées, pourraient causer les dommages les plus importants.

Facilité d'expansion commerciale

L'analyse de sécurité préalable au déploiement renforce la sécurité de l'expansion commerciale. Lorsque les organisations innovent avec de nouveaux produits, s'étendent à de nouveaux marchés ou introduisent de nouvelles technologies, elles offrent également de nouveaux vecteurs d'attaque. Avant ces expansions, la réalisation d'évaluations de la surface d'attaque permet de traiter les menaces de sécurité de manière proactive, car celles-ci sont généralement plus faciles et moins coûteuses à résoudre à un stade précoce du processus.

Défis liés à l'évaluation de la surface d'attaque

Les résultats de l'évaluation de la surface d'attaque sont sans aucun doute précieux pour les équipes de sécurité, mais la mise en œuvre et la maintenance d'un programme d'évaluation de la surface d'attaque posent également un certain nombre de défis particulièrement importants. Lorsque les organisations prennent conscience de ces défis, elles peuvent mieux réfléchir aux évaluations et redéfinir leurs objectifs.

Environnements informatiques dynamiques et en constante évolution

Pour les équipes de sécurité, il est difficile de suivre le rythme des changements constants, en particulier dans les organisations qui disposent d'équipes de développement actives et procèdent à des mises à jour fréquentes. Il existe un écart entre la nature fluide des infrastructures modernes et les outils/processus conçus pour les observer. Les nouveaux déploiements apportent des vecteurs d'attaque potentiels supplémentaires, et les systèmes mis hors service laissent souvent des ressources abandonnées encore accessibles.

Complexité des infrastructures cloud et conteneurisées

Les outils d'évaluation conçus pour les infrastructures sur site classiques ont tendance à offrir peu de visibilité sur les risques liés au cloud, tels que les compartiments de stockage mal configurés, les autorisations IAM excessives ou les fonctions sans serveur non sécurisées. Les applications conteneurisées ajoutent un niveau de complexité supplémentaire avec leurs systèmes d'orchestration ambiante à plusieurs niveaux et leurs aspects de sécurité des registres.

Maintenir un inventaire précis des actifs

Les outils de découverte des actifs négligent souvent certains systèmes ou ne fournissent pas d'informations complètes à leur sujet. Les ressources informatiques parallèles déployées à l'insu de l'équipe de sécurité deviennent des angles morts de la couverture de sécurité. Les systèmes hérités sont rarement documentés, ce qui signifie que leur fonction et leurs relations ne sont pas toujours évidentes.

Contraintes en matière de ressources et hiérarchisation des priorités

Les outils, l'expertise et le temps nécessaires posent problème et entraînent des défis en matière de ressources. La plupart des équipes ne disposent pas de l'expertise avancée requise pour évaluer les environnements cloud, les appareils IoT ou les applications spécialisées. Les outils d'évaluation ont un coût élevé, qui peut dépasser le budget alloué à cet effet. Les unités commerciales exercent souvent une pression en termes de délais, ce qui conduit à des évaluations raccourcies qui peuvent passer à côté de vulnérabilités critiques.

Gestion des faux positifs

Pour obtenir des informations pertinentes, les équipes de sécurité doivent examiner et valider manuellement les résultats, ce qui, selon l'ampleur de l'évaluation, peut prendre des heures, voire des jours. Les fausses alertes fréquentes peuvent facilement désensibiliser les analystes, qui risquent alors de passer à côté de menaces réelles cachées parmi elles. En l'absence de processus de triage et de validation des résultats, les équipes se retrouvent submergées par une avalanche d'informations.

Meilleures pratiques pour l'évaluation de la surface d'attaque

De nombreuses organisations doivent comprendre les meilleures pratiques pour une évaluation réussie de la surface d'attaque afin d'éviter les pièges courants et d'obtenir une sécurité maximale.

Établir un inventaire complet des actifs

Un inventaire complet et précis des actifs est la base d'une gestion efficace de la surface d'attaque. Pour sécuriser leurs actifs, les organisations doivent d'abord savoir ce dont elles disposent. Les organisations de premier plan tiennent à jour des inventaires de tous leurs actifs matériels, logiciels, ressources cloud et services numériques.

Mise en œuvre d'une surveillance continue

Dans toute l'infrastructure, déployez des capteurs pour capturer les données télémétriques de sécurité, notamment les données sur les vulnérabilités, les changements de configuration et les activités suspectes. Vérifiez automatiquement que l'état actuel correspond aux références attendues et signalez les écarts à l'aide d'outils d'orchestration, tout en effectuant une analyse continue des vulnérabilités sans calendrier fixe.

Contextualisation des résultats à l'aide de renseignements sur les menaces

Les équipes de sécurité doivent s'abonner à des flux d'informations sur les menaces pour obtenir des détails sur les vulnérabilités activement exploitées, les techniques émergentes et les sujets liés aux menaces spécifiques à leur secteur. Corrélez les découvertes relatives à la surface d'attaque de l'organisation avec ces renseignements afin d'identifier les vulnérabilités les plus susceptibles d'être exploitées dans un avenir proche. Surveillez les campagnes des acteurs malveillants qui pourraient cibler le secteur ou les entreprises présentant des profils organisationnels similaires afin de comprendre les voies d'attaque probables.

Hiérarchisation des mesures correctives en fonction des risques

Créez un classement des problèmes basé sur un système de notation qui tient compte de la gravité de la vulnérabilité, de la criticité des actifs, de l'exploitabilité et de la sensibilité des données. Concentrez-vous sur les vulnérabilités faciles à exploiter et qui permettent à un attaquant d'accéder à des systèmes ou des données sensibles. Élaborez différents calendriers de remédiation en fonction de la valeur commerciale à risque, par exemple en veillant à ce que les problèmes critiques soient résolus en quelques jours et que les artefacts à faible risque soient pris en compte dans les cycles de maintenance/correctifs réguliers.

Communication et rapports aux parties prenantes

Rédigez des rapports de direction qui résument les conclusions techniques en termes de risques commerciaux, en couvrant les impacts opérationnels, financiers et réputationnels potentiels. Créez des rapports techniques spécifiques à l'informatique qui contiennent les mesures correctives à prendre ainsi que des informations sur les points de contrôle permettant de les confirmer.

Exemples concrets d'exposition à des surfaces d'attaque

La violation de données subie par Equifax en 2017 est l'un des exemples les plus importants d'exposition à des surfaces d'attaque ayant eu des conséquences dévastatrices. Les pirates ont exploité une vulnérabilité non corrigée dans Apache Struts, un framework d'applications web, pour pirater les systèmes d'Equifax. Bien que cette vulnérabilité était déjà connue et qu'un correctif était disponible, Equifax ne l'avait pas appliqué à l'ensemble de son environnement. C'est cette négligence qui a permis aux pirates d'accéder aux données sensibles relatives au crédit de près de 147 millions de personnes.

En 2019, la violation de Capital One s'est produite lorsqu'un ancien employé d'AWS a exploité un WAF mal configuré dans l'environnement AWS de Capital One. Cette mauvaise configuration a permis à un pirate d'exécuter des commandes sur le service de métadonnées et de récupérer des identifiants pour accéder aux données du compartiment S3. Le piratage a compromis environ 100 millions d'Américains et environ 6 millions de Canadiens. C'est un bon exemple de la complexité trompeuse de la sécurité des environnements cloud et de l'importance de la gestion de la configuration cloud.

Conclusion

Dans un contexte de menaces modernes et en constante évolution, les organisations doivent adopter diverses stratégies pour protéger leurs actifs numériques, d'où l'importance de l'évaluation de la surface d'attaque. En procédant à une identification, une analyse et une correction structurées des points d'entrée potentiels, les équipes de sécurité peuvent réduire considérablement le risque de cyberattaque. Des évaluations fréquentes permettent de corriger les problèmes avant que les attaquants ne les trouvent et ne les exploitent. Cette mesure proactive renforce la sécurité, mais facilite également le processus de conformité et l'allocation des ressources, et contribue à la compréhension de la stratégie de sécurité.