Gestion de l'exposition : notre vision pour sécuriser la surface d'attaque moderne

La sécurisation des environnements IT modernes, à la fois complexes et dynamiques, nécessite de réunir la gestion des vulnérabilités, la sécurité des applications web, la sécurité du cloud, la sécurité de l'identité, l'analyse du chemin d'attaque et la gestion de la surface d'attaque externe, pour comprendre l'étendue et la profondeur des expositions.

Mon rôle en tant que directeur de la technologie chez Tenable me place aux premières loges des défis très concrets auxquels sont confrontés les professionnels de la cyber-sécurité partout dans le monde, dans leurs efforts pour réduire le cyber-risque et améliorer leur posture de cyber-sécurité. Les commentaires de nos clients guident chacune des décisions technologiques que nous prenons. Nous nous en inspirons pour imaginer un avenir où la gestion des vulnérabilités et d'autres outils de cyber-sécurité préventive s'associent dans un nouveau paradigme que nous appelons la gestion de l'exposition.

La sécurisation de la surface d'attaque moderne dépend de la compréhension de toutes les conditions importantes dans les environnements complexes et dynamiques d'aujourd'hui. Un programme de gestion de l'exposition réunit des technologies comme la gestion des vulnérabilités, la sécurité des applications web, la sécurité du cloud, la sécurité de l'identité, l'analyse du chemin d'attaque et la gestion de la surface d'attaque externe pour aider votre entreprise à comprendre l'ensemble de ses expositions, et à prendre les mesures nécessaires pour les réduire à l'aide de workflows de remédiation et de réponse aux incidents.

Pourquoi la gestion de l'exposition est-elle si importante ? Parce que lorsqu'un attaquant s'intéresse à votre surface d'attaque, il ne raisonne pas en termes d'environnements organisationnels cloisonnés. Il recherche la bonne combinaison de vulnérabilités, mauvaises configurations et identités qui lui donnera l'accès dont il a besoin pour atteindre ses objectifs.

Voici la question que vous devez vous poser : si votre surface d'attaque n'est pas cloisonnée, pourquoi votre programme de sécurité est-il configuré comme si c'était le cas ? C'est en partie parce que le secteur de la sécurité dans son ensemble s'est concentré sur la création de solutions ponctuelles adaptées à des aspects très spécifiques de la cyber-sécurité. Résultat ? Un fatras de technologies qui remplissent toutes une fonction sur mesure, mais qui ne permet pas aux entreprises d'appréhender l'ensemble de leur cyber-risque.

Un programme de gestion de l'exposition efficace nécessite de démanteler les silos. La plateforme de gestion de l'exposition Tenable One, lancée au début du mois, est conçue pour vous fournir une vision globale de votre surface d'attaque afin que vous puissiez voir exactement ce que voit un attaquant. Dans cet article de blog, nous aborderons les fonctionnalités actuelles de Tenable One ainsi que la raison pour laquelle nous sommes convaincus qu'une approche de la gestion de l'exposition basée sur une plateforme peut changer la manière dont les entreprises pratiquent la cyber-sécurité préventive.

Tenable One : gestion de l'exposition pour la surface d'attaque moderne

Historiquement, des produits ont déjà été créés pour tenter de relier toutes les technologies disparates utilisées dans l'environnement de cyber-sécurité. La détection et réponse étendue (Extended detection and response, XDR) en est un exemple : elle exploite des données de produits disparates dans le but d'identifier les attaques au moment où elles se produisent. Si cette approche est excellente pour une sécurité axée sur les activités, elle ne se prête pas à la pratique de la cyber-sécurité préventive. Se concentrer uniquement sur les données d'activité ne permettra pas non plus aux entreprises d'obtenir une vue d'ensemble de leur posture de sécurité.

Je constate que beaucoup d'entreprises essaient aujourd'hui de quantifier le risque en mesurant uniquement comment leurs équipes du centre des opérations de sécurité (SOC) répondent aux données axées sur l'activité. Pour disposer d'une vision complète de votre exposition, vous avez besoin d'un moyen d'évaluer aussi l'efficacité de vos programmes préventifs, soit tout le contraire de la XDR.

Il ne fait aucun doute que les données générées par les outils de sécurité préventive sont de loin les meilleures pour essayer de mesurer l'exposition. Le problème a toujours été que les outils de sécurité préventive fournissent des tonnes d'informations attirant l'attention sur tout ce qui ne va pas dans le silo qu'ils évaluent. Pour votre entreprise, cela fait trop d'informations à traiter. Parce que ces outils divers génèrent un grand nombre de données, vous n'avez généralement d'autre choix que de les déverser dans des feuilles de calcul, ce qui confirme la vieille blague selon laquelle Excel est l'outil de sécurité le plus utilisé au monde.

Ces dernières années, plusieurs outils ont émergé afin de regrouper des données et d'aider à la priorisation des mesures de sécurité. Ont-ils permis aux entreprises de réduire activement les risques ? Pas vraiment. La raison principale à cela, c'est que ces outils ne permettent pas de voir l'ensemble du problème, mais seulement une partie limitée. Par exemple, ils peuvent se contenter de regrouper des données de vulnérabilités logicielles issues de quelques outils différents, sans aucun contexte, et proposer une formule indiquant quels logiciels doivent être corrigés en premier. Bien que l'identification et la correction des vulnérabilités logicielles soient essentielles pour assurer une bonne cyber-hygiène, elles ne peuvent pas suffire à mesurer et à remédier aux risques.

Il est impossible de mesurer efficacement la posture de sécurité sans tenir compte du contexte. Il serait malhonnête de notre part, ou de la part de n'importe quel fournisseur, de suggérer qu'il est possible de baser un programme de gestion de l'exposition sur un ensemble limité de données. Un tel programme requiert de collecter toutes les données possibles, et issues d'une large gamme d'outils, pour pouvoir appliquer la profondeur d'analyse nécessaire à l'environnement entier d'une entreprise.

La vérité, c'est qu'il ne suffit pas de vous pencher sur vos vulnérabilités logicielles pour obtenir une vision complète de votre cyber-risque. Tout comme pour votre surface d'attaque, vous ne pouvez pas vous contenter d'avoir une vision limitée de vos vulnérabilités, vos mauvaises configurations ou autres problèmes. Le contexte compte. Vous devez avoir une vision holistique de l'ensemble de votre surface d'attaque. Vous devez pouvoir observer toutes les vulnérabilités logicielles, connaître toutes les mauvaises configurations, savoir qui utilise quels systèmes et avec quel niveau d'accès, le tout corrélé ensemble, que cela concerne un ordinateur portable, un conteneur, une application ou un contrôleur logique programmable.

Imaginons que vous identifiez dans votre entreprise la présence de deux ordinateurs portables avec les pires vulnérabilités possible. En observant la situation avec des outils cloisonnés dans des silos, vous pourriez légitimement supposer que les deux appareils sont aussi dangereux pour l'entreprise l'un que l'autre et qu'il faut les corriger au plus vite.

Dans cet exemple, comment savoir si votre entreprise est réellement en danger et quel ordinateur doit être corrigé en premier ? Et si vous pouviez voir qu'un de ces ordinateurs est celui de l'administratrice Salesforce de l'entreprise, et qu'elle n'utilise pas l'authentification multifactorielle ? Tandis que l'autre ordinateur est utilisé par l'agent d'accueil qui vérifie les identités et n'a aucun autre accès. Avec ce contexte supplémentaire, vous pouvez prendre des décisions informées sur la remédiation à prioriser.

Ce n'est qu'un exemple très simple de la différence entre la gestion de l'exposition et la gestion des vulnérabilités, qui sert à montrer ce qui est possible quand votre entreprise peut réunir, corréler, mesurer et prioriser les données des outils de sécurité préventive.

La gestion de l'exposition : un changement de paradigme dans votre stratégie de sécurité

Si vous observez la surface d'attaque massive et complexe qui est la vôtre, et les milliers de problèmes et d'alertes qui vous parviennent chaque jour, vous obligeant à prendre en permanence des décisions de priorisation, il apparaît clairement que ce dont vous avez besoin pour pouvoir optimiser vos performances, ce sont des données concises et utiles, qui changent la donne. Des données qui vous présentent l'étendue de votre surface d'attaque avec toute la profondeur d'analyse.

Pour comprendre toute l'étendue de la surface d'attaque, il est nécessaire de disposer d'une visibilité et d'informations exploitables sur :

• Les assets traditionnels derrière l'infrastructure IT, y compris les technologies opérationnelles (OT) 
• La manière dont vos ressources cloud sont configurées et sécurisées
• La situation de vos systèmes et sites web connectés à Internet 

Pour comprendre toute la profondeur de la surface d'attaque, il est nécessaire de disposer d'une visibilité et d'informations exploitables sur :

• Les utilisateurs et leurs privilèges d'accès
• Les chemins d'attaque potentiels dans l'entreprise

Tous ces éléments ont été pris en compte avant chaque acquisition effectuée par Tenable jusqu'à présent, et nous sommes convaincus que c'est cette approche qui finira par transformer la manière dont les entreprises de toutes tailles envisagent la cyber-sécurité. Mais la surface d'attaque n'est pas tout, et pour gérer efficacement l'exposition, vous devez être en mesure d'ingérer des données provenant d'autres solutions de sécurité. L'équipe de Tenable le sait, et nous nous réjouissons d'avoir cette opportunité de travailler avec d'autres fournisseurs pour faire de cette vision une réalité.

La plateforme de gestion de l'exposition Tenable One représente l'évolution naturelle de la vision de Tenable. C'est une approche stratégique et durable de la cyber-sécurité qui est sur le point de transformer la façon dont toutes les entreprises à travers le monde gèrent le risque.

Pour en savoir plus

• Téléchargez le livre blanc 3 défis réels auxquels sont confrontées les entreprises de cyber-sécurité : les solutions concrètes d'une plateforme de gestion de l'exposition
• Lisez le blog, Gestion de l'exposition : réduire le risque sur la surface d'attaque moderne
• Visionnez le webinaire Table ronde pour les analystes : Comment la gestion de l'exposition vous aide à gagner en visibilité, à prévenir les attaques et à communiquer le risque pour prendre de meilleures décisions