Je n’aime pas créer de nouveaux termes pour des choses qui existent déjà dans la cybersécurité, donc je suis dans une impasse avec ce titre. Mais écoutez-moi.
La gestion de la surface d’attaque (ASM) avait du sens pour moi. « Vous ne pouvez pas gérer les menaces » est l’un des principes que les entreprises et organisations de cybersécurité ont oublié. Bien que nous ne puissions pas gérer les menaces, nous pouvons certainement gérer la façon dont nous les percevons et y répondons et structurer notre technologie et notre sécurité. ASM est souvent divisé en interface externe ou Internet Gestion de la surface d’attaque externe (EASM) et actifs internes ou dérivés Gestion de la surface d’attaque des cyberactifs (CAASM). Je pense que ce sont des distinctions intéressantes non pas parce que la technologie entre elles est différente, mais cela laisse entendre que le but de la surface signifie la différenciation.
ASM nous fait tourner la caméra en nous concentrant sur les méchants pour nous regarder nous-mêmes. C’est excitant car cela rend le travail de l’attaquant plus difficile et le rend détectable plus tôt. La solution la plus faible d’ASM était exécutable, en particulier dans toute méthode automatisée de confiance. Accrochez-vous à cette idée et parlons sécurité un instant.
État de sécurité et ASM
Parallèlement à l’ASM depuis environ deux ans, des évaluations de la situation de sécurité en temps réel et exploitables ont été développées. La posture de sécurité prend des informations sur les entités et produit une évaluation (c’est-à-dire pas seulement des données) et souvent un score sur le degré de confiance que l’on peut accorder à cette entité.
Les exemples incluent des évaluations telles que « Bien que cette identité soit valide, ne lui faites pas confiance car le compte de messagerie qui lui est associé propage des logiciels malveillants », « Cet appareil est un peu en retard sur les correctifs mais a communiqué avec d’autres appareils de manière atypique », ou « Aucun de ces 15 indicateurs n’est suspect à lui seul, mais combinés, ils ont une probabilité très élevée en ce sens qu’ils sont un indicateur précoce d’une attaque XYZ. »
J’aime particulièrement le terme posture de sécurité car de nombreux outils de notation des risques sont mauvais et donnent une mauvaise réputation à la gestion des risques. Mais l’attitude sécuritaire n’est pas synonyme de gestion des risques. La bonne nouvelle est que, puisqu’il est axé presque sur le temps réel et qu’il utilise le SOC, il a été développé en pensant à l’automatisation.
Quelle est la relation entre l’ASM et les entreprises ?
Mis à part la faible faisabilité de l’ASM seul, il semble souvent qu’un élément de qualité manque dans l’ASM : quel est le lien avec notre entreprise ? Cela a été insaisissable car la classification et la sécurité des données ont été fortement pondérées par les labels de conformité, et l’inflation des données cloud et la gestion des données se sont accélérées plus rapidement que la capacité de la cybersécurité à comprendre le contexte de sécurité et à le rendre exploitable.
Nous avons peut-être mieux performé qu’avant, mais franchement, c’était faible. apprentissage automatique Le ML a suffisamment avancé pour que la classification de la sécurité des données avec un haut niveau de granularité soit désormais très performante : comprendre ce que ces données signifient pour votre autre entreprise simplement en utilisant des limites dérivées manuellement d’évaluations de conformité floues.
Prenons un exemple. Le point de terminaison est vérifié. C’est un vieux patch. De nombreux points de vue sur le risque s’arrêteront là et fixeront une valeur. D’un point de vue commercial, il doit y avoir plus de contexte avant que les risques puissent être évalués de manière significative :
1. Quelles actions ont été observées par télémétrie depuis la mise à disposition du dernier patch ? A-t-il été utilisé pour distribuer des e-mails qui pourraient être du phishing interne, ou pour créer des IOC compatibles avec des groupes d’attaque connus qui ont été observés exploitant une vulnérabilité ?
2. Quel est le rôle de l’utilisateur ? S’agit-il de quelqu’un qui aurait autrement utilisé des données précieuses ou sensibles, même si la télémétrie indiquait que les données sensibles ne semblaient pas avoir été compromises ? Quelle est la véritable signification des données consultées ?
3. Quel est le statut ou la validité des identités des utilisateurs ? Même s’ils n’ont pas été révoqués, les informations d’identification étaient-elles associées à une activité quelque peu inhabituelle – une activité qui n’est pas à un niveau d’alerte grave mais qui est incompatible avec un comportement normal ?
4. À quelles activités réseau l’utilisateur a-t-il été associé, y compris l’activité sur les terminaux et autres appareils ? Quelle était la nature de ces communications et impliquaient-elles d’autres utilisateurs ou appareils avec des niveaux croissants de sensibilité et donc de risque ?
Ainsi, si nous combinons l’ASM avec la classification de la sécurité des données et la posture de sécurité et le rendons aussi exploitable que possible, nous pouvons à nouveau faire de belles choses : la gestion de la surface d’attaque de l’entreprise. En d’autres termes, comprendre à quel point les choses et les données sont importantes pour notre entreprise, et qu’être attaqué signifie de véritables Évaluer risques de notre activité. Et puis en rendant cette évaluation exploitable, en particulier de manière automatisée, nous aimons avoir un risque réel Administration Ou gérez une surface d’attaque commerciale.
prochaines étapes
Pour plus d’informations sur la surface d’attaque et la gestion des cyber-risques, consultez les ressources suivantes :
