Le contexte est roi : de la gestion des vulnérabilités à la gestion de l'exposition

La gestion des vulnérabilités reste la pierre angulaire de la cyber-sécurité préventive, mais les entreprises ont encore du mal à contrôler la prolifération des vulnérabilités et les menaces sophistiquées. Exposure Signals, la nouvelle fonctionnalité de Tenable, donne aux équipes de sécurité un contexte complet. Elles peuvent ainsi se concentrer sur l'exposition au lieu des vulnérabilités et prioriser efficacement les expositions à haut risque sur l'intégralité de leur surface d'attaque complexe.

Une vulnérabilité critique a été dévoilée et les attaquants partout dans le monde l'exploitent activement en environnement réel. Votre équipe de gestion des vulnérabilités passe à l'action et détermine que la vulnérabilité est présente dans des centaines d'assets de l'entreprise. Lesquels allez-vous corriger en premier ? Quelle est votre approche pour prioriser les opérations de remédiation ? Quels critères utilisez-vous ? Le temps presse. Les hackers rôdent.

Auparavant, votre équipe de gestion des vulnérabilités s'appuyait sur des scores de sévérité comme le classement VPR (Vulnerability Priority Rating). C'est bien, mais cela ne vous donne qu'un seul indicateur de risque. Pour prioriser les efforts de remédiation avec précision et efficacement, vous devez prendre en compte d'autres critères, comme le type de l'asset vulnérable, son propriétaire et sa fonction, ainsi que le niveau d'accès à l'asset et les privilèges qui lui sont associés, mais aussi les chemins d'attaque critiques dans votre environnement.

Ce type de contexte complet et holistique vous permettra de prioriser ce qui est le plus urgent. Mais pour y parvenir vous devez utiliser une approche différente qui va au-delà de la gestion des vulnérabilités traditionnelle. Cette approche est la gestion de l'exposition. 

Avec la gestion de l'exposition, votre équipe de gestion des vulnérabilités peut se concentrer sur les assets affectés par notre vulnérabilité hypothétique. Par exemple, les assets qui sont accessibles en externe, qui possèdent des privilèges de domaine et qui se trouvent dans un chemin d'attaque critique. Les membres de l'équipe savent alors où réside le risque le plus important et ce qu'ils doivent corriger en premier. Le fait de disposer d'informations précises, d'un contexte et d'une visibilité sur les assets transforme l'équation d'évaluation des risques. Votre équipe de gestion des vulnérabilités peut agir ainsi rapidement, stratégiquement et de façon décisive.

Dans ce blog, nous indiquerons pourquoi il est essentiel que votre équipe de gestion des vulnérabilités adopte une approche centrée sur la gestion de l'exposition et nous expliquerons comment Tenable peut l'aider à y parvenir.

Pour repérer les vulnérabilités les plus risquées, la gestion des vulnérabilités a besoin d'un contexte d'exposition plus large 

Dans le paysage de la cyber-sécurité actuel, la gestion des vulnérabilités demeure essentielle pour que la stratégie de défense d'une entreprise soit efficace et proactive. Cependant, les équipes de sécurité ont toujours du mal à répondre à l'augmentation du niveau des risques posés par l'émergence en permanence de CVE (Common Vulnerabilities and Exposures) et d'autres failles.

De nombreuses équipes de sécurité sont souvent dépassées par le volume des vulnérabilités avec des ressources limitées pour les gérer efficacement. Les attaques sont de plus en plus sophistiquées et rapides. Les attaquants disposent de plus de points d'entrée, utilisent de nouvelles tactiques, techniques et procédures pour accéder à d'autres domaines critiques de l'entreprise, ce qui montre que les attaques ne sont plus linéaires mais multifacettes.

Les équipes de sécurité sont souvent confrontées aux problèmes suivants :

• Prolifération des vulnérabilités - Ce problème qui existe depuis longtemps empire. Il est de plus en plus difficile pour les équipes de sécurité de faire le tri dans la masse des CVE auxquelles elles doivent répondre et d'identifier les domaines présentant le risque le plus élevé.
   
•  Manque de contexte pour prioriser les risques d'exposition - Vos équipes prennent des décisions sans aucun contexte. La threat intelligence et la sévérité de la vulnérabilité sont une bonne base de départ, mais vous y limiter ne vous donnera pas le contexte nécessaire pour procéder efficacement à la priorisation des risques. 
   
• Réponse lente de remédiation - Les équipes de sécurité proactives et réactives consacrent énormément de temps à traiter les vulnérabilités critiques. Les ressources sont limitées, il est donc essentiel que les équipes identifient avec certitude les expositions présentant un risque élevé lorsqu'elles recommandent des mesures de remédiation.

Adopter une approche centrée sur l'exposition et non plus sur les vulnérabilités

Étant donné les difficultés que vous connaissez actuellement, les avantages de la gestion de l'exposition parlent d'eux-mêmes. Le manque du contexte pour traiter correctement les vulnérabilités et les expositions est un problème récurrent. Avec du contexte multidimensionnel vous pouvez comprendre non seulement les vulnérabilités elles-mêmes mais leur impact potentiel sur l'ensemble de la surface d'attaque. Cette approche offre une vue complète de la posture de sécurité d'une entreprise en prenant en compte des facteurs tels que la threat intelligence, la criticité des assets, les identités et l'accès, ainsi que d'autres éléments de contexte. Ces informations supplémentaires vous évitent de perdre du temps à fouiller parmi un grand nombre de vulnérabilités similaires pour vous concentrer sur l'identification des problèmes qui posent des risques d'exposition.

Pour ceux qui n'ont jamais entendu parler de la gestion de l'exposition ou qui la découvre, cette approche comporte de nombreux avantages. Concernant l'approche de Tenable, nous adoptons la même philosophie avec notre plateforme de gestion de l'exposition. L'objectif est simple : avec la gestion de l'exposition, les entreprises peuvent prioriser les actions à entreprendre plus efficacement. Elles disposent d'informations avec lesquelles elles peuvent établir des stratégies pour résoudre non seulement les vulnérabilités elles-mêmes mais aussi empêcher l'émergence d'expositions qui peuvent donner lieu à des violations importantes.

Privilégier l'exposition au lieu des vulnérabilités

Passer de la gestion des vulnérabilités à la gestion de l'exposition nécessite de disposer de contexte pour la surface d'attaque entière. La gestion des vulnérabilités fournit du contexte qui prévoit la probabilité d'une attaque et affiche les facteurs clés, notamment l'âge des vulnérabilités et les sources des menaces. Ces attributs sont utiles, mais nous pouvons aller encore plus loin pour améliorer l'efficacité de la priorisation. Cela nécessite plus de visibilité et d'informations sur la surface d'attaque pour déterminer l'étendue des expositions.

Les équipes de sécurité ont surtout besoin de plus de contexte concernant :

• Contexte des assets - Plusieurs facteurs contribuent à la prise des décisions de remédiation des assets. Il est essentiel de connaître la criticité d'un asset en fonction de son type, de sa fonction, de son propriétaire et de ses relations avec d'autres assets. Le fait même de savoir si un asset est accessible ou non sur Internet aura une incidence sur le niveau de priorisation de sa remédiation.
   
• Identités - Les identités sont la pierre angulaire de la réussite des attaques, il est par conséquent essentiel de les contextualiser pour la gestion de l'exposition. Connaître les niveaux de privilèges des utilisateurs, leurs droits et les informations les concernant peut contribuer à empêcher les attaquants d'obtenir une élévation de privilèges et de se déplacer latéralement. Prioriser les assets vulnérables avec des privilèges de domaine et d'administration est une excellente pratique pour réduire la probabilité d'une violation.
   
• Contexte des menaces - Disposer de différents niveaux de contexte de menace est également important pour prioriser les expositions. Nous savons que les menaces évoluent, par conséquent, utiliser le classement dynamique comme VPR ou le score AES (Asset Exposure Score) peut indiquer le niveau de risque. Nous pouvons également importer du contexte à partir de la modélisation de chemin d'attaque pour prendre des décisions de remédiation en fonction du point de vue de l'attaquant, en connaissant le nombre de chemins d'attaque critiques ou de points d'engorgement dans votre environnement.

Lorsque les analystes de sécurité disposent de ces informations supplémentaires, ils peuvent mieux comprendre l'étendue de l'exposition. C'est sur cette base qu'ils peuvent déterminer les problèmes à prioriser grâce à la gestion de l'exposition.

Présentation d'Exposure Signals

Pour vous aider à adopter plus facilement cette approche fondée sur la gestion de l'exposition, nous avons créé une nouvelle fonctionnalité de priorisation appelée Exposure Signals. Disponible dans Tenable One, la plateforme de gestion de l'exposition de Tenable, Exposure Signals permet aux équipes de sécurité de disposer de plus de contexte dans un endroit centralisé pour une meilleure vue du risque. 

Il y a deux manières d'utiliser la nouvelle fonctionnalité Exposure Signals. La première consiste à accéder à une bibliothèque complète de signaux précréés des risques les plus élevés. Faciles à consulter, ils signalent le risque potentiel dans votre environnement et constituent un bon point de départ pour tirer parti de la gestion de l'exposition. Par exemple, vous pouvez facilement voir ce qui suit : 

• le groupe d'administration de domaine sur les hôtes connectés à Internet avec des vulnérabilités critiques ;
• les appareils connectés à Internet via RDP avec un compte d'identité associé dont le mot de passe est compromis ;
• les assets cloud avec un niveau de sévérité critique et un score d'exposition supérieur à 700.

Exposure Signals vous permet de connaître le nombre de violations qui indiquent des risques élevés dans votre environnement. Consultez cette liste régulièrement pour connaître les changements de tendance qui s'opèrent. Partez à la recherche des assets impactés et consultez les informations contextuelles qui s'y rapportent dans notre module d'inventaire. 

La deuxième manière d'utiliser Exposure Signals est de créer vos propres signaux à l'aide d'un générateur de requêtes ou d'une recherche reposant sur le traitement du langage naturel optimisée par ExposureAI. De cette manière, vous pouvez effectuer une recherche aussi large que précise. Par exemple, supposons qu'une nouvelle vulnérabilité Zero Day, similaire à Log4Shell, se propage. Vous pouvez facilement créer un signal pour cibler les assets impactés par la vulnérabilité, qui sont connectés à Internet et qui requièrent des privilèges d'administrateur de domaine. Ces critères sont alors reliés pour que vous puissiez connaître le risque réel et mieux cibler vos opérations de priorisation.

Pour en savoir plus sur Tenable One et Exposure Signals, consultez notre démonstration interactive :