Comment effectuer une analyse de la surface d'attaque en 2022
Un surface d'attaque cela ressemble beaucoup à une vulnérabilité du système. Ainsi, effectuer une analyse de la surface d’attaque est similaire à une analyse de vulnérabilité
Il existe cependant une différence essentielle entre les deux termes. Alors que l'analyse des vulnérabilités se concentre davantage sur les paramètres de votre équipement physique, une analyse de la surface d'attaque examine les logiciel que votre entreprise utilise et comment les pirates peuvent l'exploiter.
L’attrait le plus tentant pour tout pirate informatique réside dans les données détenues par votre entreprise. Perte de données serait un gros problème pour notre entreprise, qu'elle soit intentionnellement détruite ou volée. Il existe de nombreux points d’entrée que les pirates peuvent exploiter. Cependant, la principale voie d’accès aux données passe par un logiciel. Par conséquent, vous devez protéger l'accès aux logiciels qui mène à des magasins de données importants.
La surface d'attaque
Le point de départ de l’analyse de la surface d’attaque est de déterminer précisément ce que votre surface d'attaque est. Comme cela a déjà été expliqué,une surface d'attaque concerne le logiciel que vous exécutez et spécifiquement le logiciel qui donne accès aux magasins de données.
La capacité des progiciels à échanger des données et la diffusion des droits d'accès dans des régimes tels que authentification unique signifie que potentiellement votre surface d’attaque pourrait s’étendre très largement. Le point de départ pour identifier une surface d’attaque est le logiciel qui accède directement aux données . Vous devez donc examiner vos bases de données et vos magasins de fichiers ainsi que les logiciels qui les gèrent. Après cela, répercutez tous les logiciels liés à ces magasins de données. Vous envisagez donc des ERP, des logiciels de productivité et des systèmes de gestion des journaux.
Les progiciels qui accèdent directement au stockage de données constituent le cœur de votre surface d'attaque, et ils sont facile à trouver . Par exemple, le progiciel que vous utilisez pour émettre des factures dispose d'une connexion directe via un magasin de données, tout comme votre système CRM.
Les applications Web et les applications mobiles compliquent la détection de la surface d'attaque. Les sites Web et les applications mobiles sont construits avec Apis , qui fournissent un large éventail de fonctions prêtes à l'emploi et évitent aux programmeurs d'écrire du code. Cependant, ces API sont souvent hébergé , ce qui signifie qu’une partie de votre logiciel est exécutée sur le serveur de quelqu’un d’autre.
Vous n'avez aucun contrôle sur la manière dont ces systèmes externes sont protégés et vous ne savez pas quelles données de votre système sont transférées vers ces serveurs pendant le traitement. Pour un exemple, considérons l’application de panier d’achat intégrée aux sites Web de commerce électronique. Celui-ci ne s’exécute pas sur le serveur qui héberge le site Web et traite les détails des produits et les transactions d’achat.
Une autre extension de votre surface d'attaque vient de plug-ins et intégrations . Encore une fois, cela implique que des données soient envoyées de votre système logiciel principal vers des programmes secondaires sans savoir exactement quelles informations sont échangées, où elles sont traitées ou comment elles sont protégées. Des exemples de ce scénario sont progiciels de surveillance qui obtiennent l’autorisation d’accéder directement à vos logiciels ou même à vos bases de données.
Un autre problème qui élargit votre surface d’attaque réside dans les applications mobiles et appareils appartenant à l'utilisateur (BYOD). Vous n’avez aucun contrôle sur les autres applications que les utilisateurs de votre système installent sur leurs appareils ni sur l’accès de ces applications au système d’exploitation de l’appareil, à partir duquel ils pourraient lancer des processus pour récolter les données des applications d’entreprise installées sur l’appareil.
En s'étendant plus loin des logiciels d'accès aux données, vous atteignez le systèmes d'exploitation de tous vos équipements. À ce stade, votre surface d'attaque se heurte à gestion des vulnérabilités . Les micrologiciels et les systèmes d’exploitation relèvent du domaine des scanners de vulnérabilités, c’est donc la limite de votre surface d’attaque.
Des questions telles que l'utilisation potentielle de navigateurs pour l'infection par des logiciels malveillants ou le vol de données et la manipulation éventuelle de services, tels que PowerShell, sont du ressort des systèmes antimalware.
Ainsi, votre surface d’attaque s’inscrit dans un paysage plus large de stratégies de détection des menaces . Les limites précises entre les trois domaines principaux que sont les logiciels, les services et les systèmes d'exploitation peuvent se chevaucher.
Stratégies d'analyse de la surface d'attaque
Quelques termes s'appliquent à la surface d'attaque. L'un est ' surface d'attaque numérique ,' ou ' empreinte numérique .» Un autre terme est « surface d'attaque externe .» Cela montre deux perspectives pour l'analyse de la surface d'attaque – les mêmes que les méthodes utilisées pour l'analyse des vulnérabilités – interne et externe .
Lorsque vous effectuez une analyse de la surface d'attaque, vous pouvez choisir d'examiner comment un pirate informatique installé dans un endroit éloigné peut accéder à vos magasins de données via votre logiciel, ce qui correspond à une approche externe. Le processus interne examine comment un compte utilisateur peut accéder à vos données.
Analyse de la surface d'attaque interne vise à bloquer les menaces internes et les comptes piratés. Une menace interne pourrait provenir d’un employé mécontent ou d’un travailleur qui a été trompé dans des actions par phishing. De même, le phishing peut permettre à un pirate informatique d’obtenir les informations de connexion d’un utilisateur autorisé.
Le but de analyse de la surface d'attaque externe est de limiter les possibilités de fuite de données, telles que l'utilisation de données d'entreprise par des systèmes externes – cela impliquerait des API ou des services gérés qui traitent vos données. L'analyse de la surface d'attaque interne se concentre sur gestion des droits d'accès .
Le but de l’analyse de la surface d’attaque
L’objectif principal de l’analyse de la surface d’attaque est d’identifier les moyens de mieux contrôler les faiblesses du système et la probabilité d’une attaque. Réduire votre surface d'attaque est l’une des meilleures stratégies pour atteindre cet objectif.
Une analyse de la surface d’attaque interne doit se concentrer sur gestion des comptes utilisateurs . Vous devez examiner les groupes d'utilisateurs que vous avez configurés dans votre gestion des identités et des accès système et trouver comment mieux les définir. Ensuite, vous devez vérifier quels comptes d’utilisateurs appartiennent à chaque groupe.
Comptes back-end pour processus automatisés sont problématiques. Ceux-ci étendent votre surface d’attaque et vous ne pouvez pas y faire grand-chose. Bloquer l’accès à ces packages d’accès aux données secondaires les empêcherait de fonctionner efficacement. Cependant, vous avez probablement une bonne raison d’acheter et d’installer ces packages, vous devez donc leur permettre de fonctionner.
La réponse à accès secondaire est d'assurer également des contrôles d'accès stricts pour ces packages. Supposons que ces progiciels ne soient pas directement accessibles par les utilisateurs mais envoient des données ailleurs via des processus automatisés. Dans ce cas, vous disposez d’une extension supplémentaire de votre surface d’attaque à gérer. Cela pourrait également se répercuter sur analyse de la surface d'attaque externe .
Une analyse de la surface d'attaque externe examine tous les points d'accès potentiels pour les pirates informatiques qui mentent. en dehors de votre réseau domestique . Cela inclut les services cloud et les API. L'analyse doit d'abord identifier toutes ces fonctions et services externes, puis étudier les types de données chacun gère.
L'analyse doit rechercher des informations sur les processus de sécurité mis en place par le fournisseurs de ces services externes. Les détails de la protection incluraient des systèmes de cryptage des données tant pour les transferts que pour le stockage. Les contrôles d'accès des utilisateurs sur le système distant doivent également être pris en compte.
Évaluation des risques par des tiers les systèmes peuvent aider à l’analyse de la surface d’attaque externe. Dans une certaine mesure, vous devez vous fier à l’honnêteté et à la réputation des prestataires de services tiers. Suivi des systèmes d'évaluation des risques par des tiers événements de fuite de données sur une liste de fournisseurs de services, ce qui permet de déterminer plus facilement si ces services cloud représentent une faille de sécurité.
L’évolution de l’analyse des surfaces d’attaque
Les changements récents dans les pratiques de travail ont rendu l’analyse de la surface d’attaque externe plus critique. Le passage au travail à domicile en réponse à COVID Les mesures de limitation signifient que les progiciels qui n'étaient auparavant accessibles qu'au sein du réseau domestique doivent désormais être fournis dans des endroits éloignés pour servir les télétravailleurs.
Les plateformes de vente en ligne sont devenues plus critiques à mesure qu’elles remplacent les magasins et les points de service client physiques. En réponse aux interdictions d'ouverture de magasins, de nombreuses entreprises ont adapté leurs interfaces de service client directement accessible par le grand public plutôt que par les employés des magasins. Ainsi, ces systèmes ont pénétré dans la surface d’attaque externe.
Une autre conséquence de la ruée vers les systèmes de libre-service pour permettre aux entreprises de fonctionner sans contact personnel a accru l'utilisation de hors de l'étagère Solutions Web. Cela complique le suivi du logiciel hébergé dans la surface d’attaque externe.
Mise en œuvre d'une analyse de surface d'attaque
L’analyse de la surface d’attaque nécessite des compétences spécialisées. Les testeurs d’intrusion l’effectuent traditionnellement. Un testeur d’intrusion, ou « bon testeur, » agit comme un hacker et utilise tous les moyens disponibles pour pénétrer dans un système, tout comme le ferait un hacker. Les administrateurs système et les internes de l'entreprise sont généralement réticents à aller aussi loin qu'un pirate informatique le ferait, car ils sont réticents à casser le système ou à compromettre complètement leur sécurité.
Commencez par un Découverte électronique processus pour identifier chaque magasin de données et classer par catégories la sensibilité qui s'y trouve. Cela entraînera plusieurs classifications de sensibilité différentes dans chaque emplacement. Isolez d’abord les données les mieux notées, puis suivez tous les points d’accès à ces données. Enchaînez tous les logiciels qui accèdent à ces données jusqu'au logiciel qui interagit avec ce cercle de logiciels de première ligne. Garder enchaîner jusqu'à ce qu'il n'y ait plus de partage de données.
Répétez cette fonction pour chaque classification de données dans chaque magasin de données. Dans chaque flux de données, marquez le frontière entre les systèmes internes et externes.
Gérer les résultats de l'analyse de la surface d'attaque
Quand tu as ton plein plan d'accès aux données , vous pouvez commencer à chercher des moyens de réduire cette surface d’attaque. Comme expliqué ci-dessus, gérez la surface d'attaque interne grâce à la gestion des droits d'accès et à l'analyse des risques tiers pour la surface d'attaque externe.
En étant initié, vous avez un avantage sur les hackers. Un hacker gardera sondage une gamme de points d’entrée potentiels dans votre système via des exploits matériels et des faiblesses de sécurité logicielle. Cette constante essai et erreur , travailler à l'aveugle peut prendre beaucoup de temps. En enchaînant de l’intérieur vers la frontière, vous pourrez mieux arriver à ces points d’entrée potentiels. Vous constaterez qu'il est presque impossible d'interrompre les échanges de données entre votre cercle de logiciels de première ligne et les échanges de données. Par exemple, si vous arrêtez les transmissions EDI, l’ensemble de votre système de paiement deviendra inutilisable.
Protéger le frontière de votre système contre les attaques, puis ajustez les droits d'accès au sein de votre entreprise. Éduquer les utilisateurs pour réduire les dangers de la divulgation des informations d'identification du compte et surveiller toutes les sorties de données via les e-mails et les périphériques USB afin d'empêcher les données sensibles de sortir de votre système.
Vous constaterez que l’analyse de la surface d’attaque est un processus très complexe, grâce aux méthodes externes étendues que la plupart des systèmes d'entreprise déploient désormais. En plus de ce problème, vous avez le casse-tête d’empêcher la perte de données une fois que ces points d’accès au système ont été identifiés.
La complexité totale du système actuel signifie qu’il est impossible d’effectuer manuellement une analyse de la surface d’attaque.. Vous avez besoin outils de surveillance de la surface d'attaque pour bien définir votre surface d’attaque puis surveiller l’activité à ses points d’entrée. Vous devrez également utiliser des outils automatisés systèmes de prévention des pertes de données pour protéger les données sensibles de votre système contre la fuite ou le vol.
