Qu'est-ce que la gestion de la surface d'attaque (ASM) ? 

Reconnu Leader par le rapport Forrester Wave : Solutions de gestion des risques liés à la surface d'attaque, 3e T 2024.

Définition de la gestion de la surface d'attaque 

La gestion de la surface d'attaque (ASM) est une approche et une technologie qui renforce la sécurité en identifiant la surface d'attaque (zone cible d'attaque) d'une organisation du point de vue d'un attaquant, puis en s'efforçant de réduire le risque de cyberattaques. En intégrant la gestion des risques liés à la surface d'attaque (ASRM), qui identifie, évalue et atténue en continu les risques pour la surface d'attaque, la survenue d'incidents qui menacent la continuité des activités d'une organisation peut être réduite. 

Pour comprendre la gestion de la surface d'attaque (ASM), il est d'abord nécessaire de savoir ce que l'on entend par « surface d'attaque ». 

Comme défini par le NIST (National Institute of Standards and Technology) des États-Unis, la surface d'attaque fait référence aux actifs numériques, aux services et aux environnements qui pourraient être soumis à des cyberattaques du point de vue de l'attaquant. Cela inclut notamment les appareils réseau tels que les terminaux clients, les terminaux mobiles, les appareils IoT, les serveurs et les appareils VPN, ainsi que les logiciels, les services cloud et les services qui composent la chaîne d’approvisionnement. 

La surface d'attaque est parfois classée dans la surface d'attaque externe, qui fait référence aux actifs numériques accessibles au public, et la surface d'attaque interne, qui fait référence aux actifs numériques qui existent au sein du réseau de l'organisation. 

Par le passé, les mesures conventionnelles avaient tendance à se concentrer uniquement sur la surface d'attaque qui était accessible au public du point de vue des itinéraires/défenses d'intrusion au point d'entrée. Cependant, comme nous le verrons ci-dessous, en raison des changements dans l'environnement commercial et de la sophistication croissante des cyberattaques, il est désormais courant de prendre des mesures basées sur le postulat que les attaquants auront accès à une organisation. Pour cette raison, il est nécessaire de traiter la surface d'attaque comme incluant non seulement des actifs numériques accessibles au public, mais également tous les actifs numériques internes qui pourraient être utilisés à mauvais escient par les attaquants. 

image

Pourquoi l'ASM est-il important ? 

Il existe deux raisons principales pour lesquelles la gestion de la surface d'attaque est nécessaire : 

L'environnement IT des organisations doit être protégé 

La numérisation de tous les types de travail progresse rapidement ces dernières années en raison des changements dans l’environnement commercial causés par la promotion de la transformation numérique et des changements dans notre façon de travailler, comme le télétravail. Par conséquent, l'environnement IT devient plus complexe que jamais en raison de l'introduction de nouvelles technologies telles que l'utilisation d'appareils VPN et de services cloud, et l'utilisation d'appareils IoT. 

D'autre part, de nombreuses organisations ne sont pas en mesure de suivre les changements rapides et la complexité croissante de leurs propres environnements IT et des risques qu'ils posent, et des mesures de sécurité sont mises en attente. Par conséquent, du point de vue des cybercriminels, le nombre de cibles pour les attaques augmente.

La sophistication des méthodes de cyberattaque 

Les méthodes utilisées dans les cyberattaques et autres crimes sont de plus en plus sophistiquées pour augmenter le taux de réussite des attaques. Par le passé, le principal type de cyberattaque était le type de « diffusion et collecte », dans lequel des programmes malveillants étaient envoyés à un grand nombre de destinataires non spécifiés par e-mail ou par d'autres moyens. Cependant, les cyberattaques modernes deviennent de plus en plus sophistiquées, avec un nombre croissant d'« attaques ciblées » qui exploitent les vulnérabilités des VPN et des RDP, ainsi que les informations d'authentification volées, pour infiltrer le réseau de l'organisation cible, puis effectuer des activités internes telles que l'escalade des privilèges, le mouvement latéral et le vol d'informations. 

Par conséquent, les organisations doivent prendre en compte non seulement les actifs numériques qui sont publiquement disponibles, mais également les actifs numériques au sein de l’organisation elle-même, et mettre en œuvre des mesures de sécurité en conséquence. 

En raison des environnements IT de plus en plus complexes du côté de la défense et des méthodes d'attaque de plus en plus sophistiquées du côté de l'attaque, les organisations doivent surveiller en permanence l'état de leur surface d'attaque pour s'assurer que les cyberattaques n'entraînent pas d'arrêts d'activité, et prendre des mesures pour réduire la possibilité d'attaques et l'impact sur l'activité en cas d'attaque. En d'autres termes, plutôt que d'attendre qu'un incident se produise, les organisations doivent prendre des mesures pour contrôler le risque à l'avance. 

D'autre part, de nombreuses organisations ont du mal à comprendre la surface d'attaque et à gérer en continu ce risque, principalement en raison des trois problèmes suivants. Il existe donc un besoin de technologie pour prendre en charge la gestion de la surface d'attaque. 

  • Il est difficile de quantifier le risque de la surface d'attaque 
  • Il n'y a pas assez de ressources pour le gérer de manière continue 
  • La visibilité de la surface d'attaque et des risques est limitée 
image

Principales caractéristiques de l'ASM 

La gestion de la surface d'attaque est une initiative visant à renforcer la sécurité en visualisant les actifs numériques qui doivent être protégés au sein d'une organisation, puis en les surveillant de manière continue pour comprendre comment la surface d'attaque évolue au fil du temps. D'autre part, il n'est pas réaliste de gérer manuellement la surface d'attaque d'une organisation, qui change chaque jour, car cela demande du temps et des efforts. Par conséquent, afin d'obtenir une gestion durable de la surface d'attaque, il est important d'utiliser une technologie qui prend en charge l'ensemble du processus grâce à l'automatisation. 

La technologie qui prend en charge la gestion de la surface d'attaque fournit les fonctions suivantes. 

  • Visualisation de la surface d'attaque 
  • En surveillant les actifs numériques qui pourraient être des cibles d'attaque au sein d'une organisation, les dernières informations sur le nombre et les types d'actifs (appareils, comptes, services cloud, etc.) et les informations connexes (versions du système d'exploitation, noms d'hôte, etc.) sont collectées et visualisées en continu. 
  • Comprendre les facteurs qui composent la surface d'attaque 
  • Les facteurs qui pourraient faire des actifs numériques des cibles d'attaque, tels que les vulnérabilités qui existent dans les actifs numériques, les paramètres de sécurité inadéquats, et s'ils sont exposés au monde extérieur, sont détectés et visualisés. 

En outre, la gestion de la surface d'attaque pour les actifs numériques accessibles au public est parfois appelée gestion de la surface d'attaque externe (EASM), et certaines organisations traitent la gestion de la surface d'attaque comme EASM. 

Principales fonctions de l'ASM 

En plus des fonctions de gestion de la surface d'attaque mentionnées ci-dessus, la gestion des risques de la surface d'attaque fournit des fonctions pour « identifier », « évaluer » et « atténuer » les risques. 

  • L'identification des risques sur la surface d'attaque, en plus du nombre et des types d'actifs numériques qui pourraient être attaqués (appareils, comptes, services cloud, etc.) et des informations connexes (version du système d'exploitation, nom d'hôte, etc.), des informations qui pourraient être un facteur de risque, telles que les fuites d'informations de compte et d'autres informations d'authentification, les vulnérabilités, les comportements suspects et les traces d'attaques, est recueillie. 
  • En évaluant le risque sur la surface d'attaque en fonction des informations collectées qui sont un facteur dans le risque sur chaque surface d'attaque, la gravité du risque est évaluée en calculant quantitativement un score de risque basé sur la « probabilité » qu'une attaque se produise et l'« impact » qu'une attaque se produise. Par exemple, lors de l’évaluation du risque d’un dispositif, s’il existe une vulnérabilité avec un score CVSS (Common Vulnerability Scoring System) élevé et que les paramètres de sécurité tels que la surveillance comportementale et l’apprentissage automatique ne sont pas activés, le risque est calculé comme élevé. 
  • En réduisant les risques sur la surface d'attaque pour réduire le niveau de risque sur la surface d'attaque à un niveau acceptable pour l'organisation, des mesures d'atténuation des risques telles que l'isolation des endpoints et le blocage des destinations de communication suspectes sont mises en œuvre. 

Le National Institute of Standards and Technology (NIST) a publié le « Guide for Conducting Risk Assessments » du NIST SP800-30, qui résume systématiquement les méthodes d’évaluation des risques. 

image

Lors de la mise en œuvre de la gestion des risques de surface d'attaque dans une organisation, il est important de pouvoir collecter de manière exhaustive des informations de référence qui peuvent être utilisées comme facteur dans le risque de surface d'attaque, d'évaluer quantitativement les risques à l'aide de méthodes établies et d'adopter une technologie qui peut continuellement réaliser un cycle de mise en œuvre de mesures pour atténuer les risques. 

Types de gestion de la surface d'attaque 

La gestion de la surface d'attaque (ASM) est classée en différents types qui traitent différentes facettes de l'environnement numérique d'une organisation. Il s'agit notamment de l'ASM externe, de l'ASM interne, de l'ASM de cyberactifs et de l'ASM open source. Chaque type joue un rôle crucial dans la surveillance et l'atténuation des risques, en fournissant aux organisations une approche complète de la protection de leurs actifs numériques. 

Gestion de la surface d'attaque externe 

L'ASM externe se concentre sur les actifs commerciaux internes exposés à l'Internet public, tels que les applications Web, les ressources basées sur le cloud, les adresses IP et les noms de domaine qui pourraient être exploités par les attaquants. Ces services publics sont souvent ciblés par des attaquants qui cherchent à exploiter des vulnérabilités ou des erreurs de configuration. L'ASM externe identifie et surveille ces actifs en continu pour détecter les faiblesses qui pourraient servir de points d'entrée pour un attaquant. En maintenant la visibilité sur les actifs accessibles au public, l'ASM externe réduit l'exposition d'une organisation aux attaques potentielles. 

Gestion de la surface d'attaque interne 

L'ASM interne traite les risques au sein du réseau privé d'une organisation, y compris les appareils, applications et systèmes qui ne sont pas accessibles au public, mais qui pourraient être exploités si les attaquants y accèdent. Il est particulièrement pertinent pour combattre les menaces persistantes avancées (APT) et les menaces internes, qui impliquent souvent un mouvement latéral et une remontée des privilèges au sein du réseau. Les systèmes existants ou les serveurs internes mal sécurisés peuvent servir de vulnérabilités exploitées par les attaquants une fois à l'intérieur du réseau. L'ASM interne permet aux organisations de détecter et d'atténuer ces risques en appliquant des contrôles d'accès, en surveillant les endpoints et en mettant en œuvre la segmentation du réseau, ce qui contribue à réduire le risque de menaces internes.  

Gestion de la surface d'attaque des cyberactifs 

Cyber Asset ASM se concentre sur la gestion et la sécurisation des actifs individuels dans une organisation, y compris les endpoints, les comptes utilisateurs, les instances cloud et les appareils mobiles. Cela est particulièrement essentiel dans les environnements de travail hybrides d’aujourd’hui, où les actifs sont répartis entre les infrastructures sur site et basées sur le cloud. Les organisations opérant dans des environnements multi-cloud possèdent souvent des actifs diversifiés, tels que des conteneurs, des machines virtuelles et des API. Cyber Asset ASM fournit une visibilité détaillée sur ces actifs en surveillant en continu les configurations des actifs et en évaluant leurs profils de risque, ce qui permet aux organisations de garder un contrôle étroit sur leurs écosystèmes en expansion et d’atténuer de manière proactive les vulnérabilités potentielles. 

Gestion de la surface d'attaque open source 

L’ASM open source se concentre sur la gestion des risques associés aux technologies open source et aux informations accessibles au public. Bien que les logiciels open source soient largement utilisés, ils introduisent des vulnérabilités en raison de leur transparence et de leur dépendance aux contributions de la communauté. De plus, les attaquants exploitent souvent les données exposées, telles que les informations d'identification divulguées, les clés API ou les fichiers de configuration sensibles trouvés dans des référentiels ouverts tels que Github. Par exemple, une organisation peut publier par inadvertance des informations sensibles dans un référentiel de code public, que les outils ASM Open Source peuvent rapidement détecter et signaler. En identifiant et en traitant ces risques, les organisations peuvent sécuriser leurs composants open source et éviter l'exploitation provenant de données accessibles au public. 

Catégories de surfaces d'attaque 

Comprendre les catégories de surfaces d'attaque est essentiel pour une gestion efficace de la surface d'attaque (ASM). Ces points d'entrée peuvent être classés en trois types :  

La surface d'attaque physique 

La surface d'attaque physique fait référence aux composants tangibles de l'infrastructure IT d'une organisation qui peuvent être exploités par les attaquants. Il s'agit notamment de tout matériel, dispositif ou emplacement physique pouvant fournir un accès non autorisé à des données ou systèmes sensibles. 

  • Matériel éliminé : Les dispositifs tels que les disques durs, les clés USB ou les imprimantes qui peuvent toujours contenir des données sensibles s’ils ne sont pas éliminés correctement. 
  • Périphériques de point de terminaison : Ordinateurs de bureau, ordinateurs portables, smartphones et autres appareils portables qui pourraient être volés ou falsifiés. 
  • Infrastructure réseau : Des composants tels que des routeurs, des commutateurs, des câbles réseau et des data centers, qui peuvent être physiquement consultés ou falsifiés. 
  • Ports ou périphériques non sécurisés : Ports USB ou connexions de stockage externes pouvant être utilisés pour introduire des dispositifs ou des logiciels malveillants. 
  • Violations physiques : Personnel non autorisé accédant à des zones sécurisées ou à des informations sensibles, souvent en raison de mécanismes de contrôle d’accès médiocres. 

La surface d'attaque numérique 

La surface d'attaque numérique englobe tous les actifs numériques qui pourraient être ciblés par des cybercriminels, y compris les systèmes externes, les réseaux internes et les logiciels ou services cloud utilisés.  

  • Applications Web : Vulnérabilités dans des sites Web ou applications accessibles au public qui peuvent être exploitées pour un accès non autorisé. 
  • Services cloud : Stockage cloud, API ou machines virtuelles mal configurés, exposés à Internet. 
  • Appareils IoT : Appareils connectés à Internet tels que des caméras, des capteurs ou des appareils intelligents qui manquent souvent de contrôles de sécurité solides. 
  • Logiciel obsolète : Applications ou systèmes d'exploitation avec des vulnérabilités non corrigées que les attaquants peuvent exploiter. 
  • Informations d'identification de l'utilisateur : Mots de passe faibles ou volés qui permettent aux attaquants d'infiltrer les systèmes ou réseaux internes. 

La surface d'attaque de l'ingénierie sociale 

La surface d’attaque de l’ingénierie sociale se concentre sur l’élément humain, en exploitant la confiance et la sensibilité aux manipulations des employés ou des utilisateurs. Les attaquants utilisent souvent des tactiques psychologiques pour inciter les individus à révéler des informations sensibles ou à effectuer des actions qui compromettent la sécurité. 

  • E-mails de phishing : Messages frauduleux conçus pour inciter les destinataires à cliquer sur des liens malveillants ou à fournir des identifiants. 
  • Prétexte : Scénarios dans lesquels les attaquants se font passer pour des individus ou des organisations de confiance pour obtenir des informations ou y accéder. 
  • Appât : Proposer quelque chose d’attirant, comme une fausse offre d’emploi ou une récompense promotionnelle, pour attirer les victimes dans un piège. 
  • Usurpation d’identité : Se faire passer pour un collègue, fournisseur ou cadre de confiance pour exploiter la confiance de la cible. 
  • Adaptation : Obtenir un accès physique aux zones sécurisées en suivant le personnel autorisé sans identifiants appropriés. 

Relation entre ASM et XDR 

La gestion de la surface d'attaque réduit la possibilité de cyberattaques et d'intrusions pendant les heures normales, ce qui limite la survenue d'incidents graves qui pourraient affecter la continuité des activités. D'autre part, en raison de la sophistication récente des cyberattaques, des contre-mesures basées sur l'hypothèse d'intrusion sont recommandées, et des technologies telles que XDR (Extended Detection and Response) prennent en charge la détection et la réponse aux menaces. La gestion des risques de surface d'attaque est une contre-mesure proactive avant qu'un incident ne se produise, tandis que XDR est positionné comme une contre-mesure réactive après un incident, mais les deux technologies doivent travailler en étroite collaboration. 

Par exemple, en surveillant les risques grâce à la gestion des risques liés à la surface d'attaque pendant les heures normales, le nombre d'incidents peut être réduit, ce qui réduit le fardeau de la réponse réactive aux incidents à l'aide de XDR. De plus, les informations sur les traces d'attaques détectées par XDR peuvent être partagées avec la gestion des risques de surface d'attaque comme cible pour l'évaluation des risques à des moments normaux, ce qui contribue à un calcul plus précis du score de risque. 

De cette manière, bien que la gestion des risques liés à la surface d'attaque et le XDR soient des technologies différentes, ils se complètent en partageant des informations, ce qui a un effet synergique sur la réduction du nombre d'incidents et du fardeau de la réponse. Par conséquent, il est important d'avoir une plateforme qui permette aux deux technologies de se compléter mutuellement. 

Solution ASM de Trend Micro 

Cliquez ici pour surpasser les adversaires avec une visibilité complète, une hiérarchisation intelligente et une atténuation automatisée. 

Attack Surface Management (ASM)

Articles connexes