Exposure Management Is the Future of Proactive Security

Tous les lundis, Tenable Exposure Management Academy vous donne des conseils pratiques et concrets pour passer de la gestion des vulnérabilités à la gestion de l'exposition au cyber-risque. Dans cet article, Jorge Orchilles, Senior Director of Readiness and Proactive Security chez Verizon, explique en détail les raisons qui l'ont poussé à se tourner vers la gestion de l'exposition. Vous pouvez retrouver les articles Exposure Management Academy ici.

Tout en orientant sa stratégie de sécurité vers une gestion proactivede l'exposition, Verizon consolide ses outils et équipes pour se concentrer sur les risques réels et exploitables. En alignant nos fonctions de sécurité offensives dans le cadre d'une stratégie unifiée, en priorisant les menaces exploitables et en encourageant la collaboration, nous passons d'une remédiation basée sur la conformité à une remédiation basée sur le risque.

Vous connaissez le refrain : pour ceux d'entre nous qui travaillent dans le domaine de la cyber-sécurité, c'est comme si nous jouions tous les jours au chat et à la souris, mais avec pour enjeu la vie d'une entreprise. Nous passons notre temps à traquer les vulnérabilités et à émettre (ou à répondre à) des injonctions comme « Appliquez un correctif dans les 30 jours » ou « Alerte rouge, corrigez immédiatement ! »

Mais cette approche réactive est devenue inadéquate à mesure que les surfaces d'attaque s'étendent et que les attaquants se montrent plus intelligents. 

Chez Verizon, nous avons compris qu'avec un paysage aussi hétérogène qui doit répondre aux divers besoins des entreprises, des commerçants, des techniciens mobiles sur le terrain et bien d'autres professionnels, la meilleure solution ne se trouvait pas dans une énième collection de technologies disparates. Nous avions besoin d'une plateforme de gestion de l'exposition unique et consolidée qui puisse couvrir tous les aspects de notre entreprise. Cette nouvelle stratégie nous a permis d'éliminer les silos et de passer d'une approche centrée sur la conformité à une approche basée sur le risque. 

Avant même d'envisager une nouvelle technologie, nous devions rassembler plusieurs équipes, chacune avec ses propres outils et priorités, autour d'une stratégie commune.

Réunir plusieurs outils en un

Les équipes de sécurité ont toujours jonglé avec une multitude d'outils : des outils pour la gestion de la surface d'attaque, des outils pour la visibilité des assets, des outils pour les scans de vulnérabilités, des outils pour l'exposition des identités et des outils pour la sécurité du cloud. Dans la plupart des entreprises, ce sont différentes équipes qui gèrent ces solutions et chacune dispose de son propre ensemble de compétences. L'idée à l'origine de ces cloisonnements était de s'assurer que les personnes possédant les bonnes compétences étaient celles qui remédiaient aux problèmes liés à leur domaine d'expertise. 

Mais cette approche en silo ralentit les temps de réponse et crée des angles morts qui peuvent laisser des vulnérabilités critiques dans un environnement, simplement parce qu'elles ne relèvent pas du domaine d'expertise d'une équipe. Il n'est pas possible d'effectuer une analyse du chemin d'attaque dans des silos !

Et pour ma part, je ne veux pas me contenter de simplement cocher des cases. 

Nous devions mettre en place un programme de sécurité ciblant en priorité les risques réels plutôt que chaque vulnérabilité individuelle. Dans cette optique, il nous est apparu plus avantageux d'adopter une approche intégrée plutôt que d'utiliser des fonctionnalités ponctuelles de niche.

Pour relever ces défis, nous avons donc opté pour la consolidation dans une plateforme unique : Tenable One.

La clé de la gestion du changement : l'influence de Dale Carnegie 

S'il est très important de choisir la bonne plateforme, à savoir une solution avant tout adaptée à vos besoins, l'implémentation de la gestion de l'exposition ne s'aborde pas seulement d'un point de vue technique. C'est aussi une question organisationnelle. La mise en œuvre d'un programme de gestion de l'exposition implique de transférer la responsabilité de fonctions de sécurité importantes jusqu'alors cloisonnées, ce qui peut forcer certaines équipes à collaborer ensemble, parfois pour la première fois.

Par exemple, chez Verizon, la gestion de la surface d'attaque était auparavant assurée par une équipe dédiée. Aujourd'hui, ces personnes font partie de mon groupe. En revanche, l'équipe Active Directory, qui utilise des outils d'exposition des identités tels que Bloodhound, reste indépendante. Cependant nous avons une excellente collaboration avec cette team, qui considère nos informations de sécurité comme utiles plutôt que contraignantes. 

Les spécialistes de la sécurité de l'Internet des objets (IoT) et des technologies opérationnelles (OT), qui utilisaient auparavant des outils disparates, travaillent aujourd'hui tous avec le même cadre.

Quant aux équipes de sécurité habituées à travailler de manière cloisonnée, elles doivent désormais partager leurs données et leurs décisions, ce qui requiert un temps d'adaptation. J'ai découvert que la clé pour surmonter ce problème réside dans la transparence et le partenariat. 

En réalité, dans notre métier, je pense qu'il est tout aussi important de (re)lire les ouvrages de Dale Carnegie que les articles de Brian Krebs. 

Sa philosophie nous a inspirés pour faciliter la transition. Plutôt que d'imposer des ordres de manière verticale, nous nous sommes concentrés sur l'alignement des équipes en proposant des objectifs communs, en communiquant de manière claire et en démontrant la valeur dès le début du processus. En impliquant très tôt les parties prenantes dans des domaines comme la sécurité des identités, les opérations IT et la sécurité du cloud, nous nous assurons que le changement ne leur est pas imposé, mais qu'elles y contribuent et le soutiennent activement.

Je tiens à souligner que rien de tout cela ne s'est produit du jour au lendemain. 

Cela a nécessité l'adhésion de la direction ainsi qu'une planification minutieuse. Nous ne demandions pas seulement aux équipes d'utiliser un nouvel outil, nous leur demandions de changer leur méthode de travail. La seule façon de réussir cette transition est de montrer à toutes les parties prenantes comment cette approche contribuera à faciliter leur mission, et non pas à la rendre plus difficile.

Arrêtez de vouloir tout corriger

L'un des plus grands changements de paradigme dans la gestion de l'exposition est de reconnaître que toutes les vulnérabilités ne doivent pas être corrigées immédiatement. Il est vrai qu'il peut être difficile de s'y retrouver. Mais lorsque tout est critique, alors rien ne l'est vraiment. Avec cette mentalité, on ne peut qu'engendrer de l'épuisement, de l'inefficacité et davantage d'expositions. 

Chez Verizon, nous nous concentrons plutôt sur les vulnérabilités qui sont réellement exploitables et qui font partie d'un chemin d'attaque réel.

Prenons l'exemple d'une application qui présente une vulnérabilité critique mais à laquelle il n'existe aucun moyen pour un attaquant d'y accéder. Est-il dans ce cas véritablement pertinent d'accorder une priorité absolue à la remédiation de cette vulnérabilité ? En revanche, si une vulnérabilité permet d'accéder directement à l'un de vos assets les plus précieux, ne faut-il pas remédier à cette situation immédiatement ? 

L'essentiel est donc d'établir des priorités fondées sur des scénarios d'attaque réels, et non pas basées sur des scores de sévérité arbitraires.

Travaillez avec votre comité de direction

Un autre avantage majeur de la gestion de l'exposition réside dans la façon dont elle fait évoluer les discussions en matière de sécurité au niveau de la direction. Au lieu de fournir de longues listes de vulnérabilités qui ne signifient pas grand-chose pour les dirigeants non techniques, nous pouvons présenter un aperçu clair de notre posture de sécurité avec des points clés :

• Où se situe notre risque ?
• Comment un attaquant pourrait-il s'introduire ?
• Quelles sont les priorités les plus urgentes à corriger ?

Et lorsqu'une vulnérabilité majeure se présente, nous pouvons rapidement savoir si celle-ci nous concerne ou non. Nous avons les données à portée de main. C'est là que se trouve tout l'intérêt de la gestion de l'exposition : rapidité, clarté et capacité à agir avant les attaquants.

L'avenir de la cyber-sécurité passe par une gestion proactive de l'exposition

Au fond, la gestion de l'exposition consiste à passer de la sécurité réactive à la sécurité proactive. Il ne s'agit plus seulement de corriger les vulnérabilités. Il s'agit de comprendre le risque dans le contexte de l'entreprise. 

Au fur et à mesure que de plus en plus d'entreprises s'engagent dans cette voie, la gestion de l'exposition continuera d'évoluer. 

La consolidation des fournisseurs est en cours, les équipes se restructurent et les responsables de la sécurité se rendent compte qu'il est impossible d'apporter des correctifs à tout et partout en même temps. 

Ainsi, comme nous l'avons fait chez Verizon, les professionnels doivent se concentrer sur ce qui compte vraiment : prévenir les attaques susceptibles d'entraîner une compromission.

Pour mes collègues, mes pairs et moi-même qui sommes à l'avant-garde de cette transition, il est temps de mettre de côté l'approche réactive et de commencer à gérer l'exposition comme le risque stratégique qu'elle représente réellement.

Jorge vous explique quelle devrait être votre prochaine priorité

Pour en savoir plus

• Lisez le Guide du responsable sécurité pour une stratégie de gestion de l'exposition, qui vous apporte une approche éprouvée et pragmatique pour mettre en œuvre un programme de gestion de l'exposition, ainsi que des conseils pour en délimiter la portée, impliquer les parties prenantes et obtenir leur adhésion.

Whac-a-Mole is a registered trademark of Mattel Inc.