Les outils de gestion de la surface d’attaque (ASM) promettent une réduction des risques. Ce qu'ils fournissent généralement, c'est plus d'informations.
Les équipes de sécurité déploient ASM, les inventaires d'actifs augmentent, les alertes commencent à affluer et les tableaux de bord se remplissent. Il y a une activité visible et des résultats mesurables. Mais lorsque les dirigeants posent une question simple : «Est-ce que cela réduit les incidents ?“La réponse n'est souvent pas claire.
Cet écart entre l’effort et le résultat constitue le problème central du retour sur investissement dans la gestion des surfaces d’attaque, en particulier lorsque le retour sur investissement est principalement mesuré par le nombre d’actifs plutôt que par la réduction des risques.
La promesse contre la preuve
La plupart des programmes ASM sont basés sur une idée raisonnable : vous ne pouvez pas protéger ce dont vous ignorez l'existence. En conséquence, les équipes se concentrent sur la découverte : domaines et sous-domaines, ressources IP et cloud, infrastructures tierces et actifs de courte durée ou transitoires.
Au fil du temps, les chiffres augmentent. Les tableaux de bord ont une tendance à la hausse. La couverture s'améliore.
Mais aucune de ces mesures ne permet de déterminer directement si l’organisation est réellement plus sécurisée. Dans de nombreux cas, les équipes finissent par être plus occupées sans se sentir moins exposées.
Pourquoi l'ASM se sent occupé mais pas efficace
ASM a tendance à optimiser la couverture car elle est facile à mesurer : plus d’actifs découverts, plus de changements détectés et plus d’alertes générées. Chacun d’eux ressemble à un progrès.
Mais ils mesurent surtout les intrants et non les résultats.
En pratique, les équipes expérimentent :
- Fatigue d’alerte
- Retards importants sur des actifs « connus mais non résolus »
- Confusion répétée en matière de propriété
- Une exposition qui dure des mois
Le travail est réel. La réduction des risques est plus difficile à constater.
L’écart de mesure
L’une des raisons pour lesquelles le retour sur investissement d’ASM est difficile à démontrer est que la plupart des mesures de surface d’attaque se concentrent sur ce que le système peut voir, et non sur ce que l’organisation améliore réellement.
Les mesures courantes de gestion de la surface d’attaque incluent :
- Nombre d'actifs
- Nombre de changements
Les mesures de surface d’attaque plus significatives sont rarement suivies :
- À quelle vitesse les actifs risqués sont-ils acquis ?
- Combien de temps dure une exposition dangereuse ?
- Si les chemins d’attaque diminuent réellement avec le temps
L’inventaire des actifs reste essentiel pour mesurer la surface d’attaque externe. Sans une découverte approfondie, il est impossible de comprendre l’exposition. L’écart apparaît lorsque les mesures de découverte ne sont pas combinées avec des mesures montrant si le risque est réellement réduit.
Sans mesures axées sur les résultats, l’ASM devient difficile à défendre lors des révisions budgétaires, même lorsque tout le monde s’accorde sur la nécessité d’une visibilité sur les actifs.
À quoi ressemblerait un retour sur investissement significatif ?
Au lieu de demander : “Combien d’atouts découvre-t-on ?« Une question plus utile est : »Dans quelle mesure pouvons-nous gérer l’exposition de manière plus rapide et plus sûre ?”
Ce recadrage déplace le retour sur investissement de la visibilité vers la qualité de la réponse et la durée de l'exposition. Des choses qui sont beaucoup plus étroitement liées aux risques du monde réel.
Trois indicateurs de performance qui comptent vraiment
1. Délai moyen pour acquérir la propriété des actifs
Combien de temps faut-il pour répondre à la question fondamentale : “À qui appartient cela ?”
Actifs sans propriété claire :
- Restez plus longtemps
- Obtenez le correctif plus tard
- Ils sont plus susceptibles d’oublier complètement.
La réduction du délai d'acquisition raccourcit la période pendant laquelle il y a une exposition sans responsabilité. C’est l’un des signes les plus clairs que les conclusions de l’ASM se traduisent en actions.
2. Réduction des changements d'état des points finaux non authentifiés
Tous les actifs n’ont pas la même importance.
Le suivi du nombre de points de terminaison externes pouvant changer d'état, du nombre d'entre eux nécessitant une authentification et de la manière dont ces chiffres évoluent au fil du temps fournit un signal beaucoup plus fort indiquant si la surface d'attaque diminue là où cela compte le plus.
Un environnement avec des milliers d’actifs statiques mais peu de chemins non authentifiés pour changer d’état est nettement plus sécurisé qu’un environnement avec moins d’actifs mais de nombreux points d’entrée risqués.
3. Délai de démontage après perte de propriété
L’exposition persiste généralement après :
- Changements d'équipe
- Dépréciation des applications
- Migrations de fournisseurs
- Réorganiser
Mesurer la rapidité avec laquelle les actifs sont mis hors service une fois la propriété disparue est l’un des indicateurs les plus solides d’hygiène à long terme et l’un des moins suivis.
Si les actifs bloqués restent indéfiniment, la découverte à elle seule ne réduit pas le risque.
À quoi cela ressemble en pratique
Les mesures abstraites sont faciles à comprendre et difficiles à mettre en pratique. L’objectif n’est pas un nouveau tableau de bord ou un ensemble d’alertes différent, mais un changement dans ce qui devient visible : les écarts de propriété, la durée d’exposition et les risques non résolus qui seraient autrement confondus avec le décompte des actifs.
Au lieu de mettre l’accent sur le nombre total d’actifs, ce point de vue émerge :
- Quels actifs sont possédés ?
- Lesquels ne sont pas résolus ?
- Depuis combien de temps la propriété est-elle restée floue ?
L’objectif n’est pas davantage d’alertes mais une résolution plus rapide.
Convertir ASM en contrôle
L'ASM n'a pas de problèmes car les équipes ne travaillent pas assez. Elle rencontre des difficultés parce que les efforts ne sont pas systématiquement liés aux résultats qui intéressent les dirigeants.
Recadrer le retour sur investissement autour de la vitesse, de la propriété et de la durée d'exposition vous permet de montrer de réels progrès. Même si le bilan brut ne change jamais. Dans de nombreux cas, les victoires les plus significatives viennent du fait de rendre à nouveau la surface d’attaque ennuyeuse.
Un point de départ concret
Une façon de tester les métriques ASM basées sur les résultats consiste à rendre la visibilité des actifs largement accessible à toutes les équipes, sans être enfermée derrière des silos d'outils. Nous avons constaté que lorsque les équipes d'ingénierie, de sécurité et d'infrastructure peuvent détecter les lacunes en matière de propriété et la durée de l'exposition, la résolution est accélérée sans ajouter d'alertes supplémentaires.
Cette réflexion nous a amené à lancer un édition communautaire de notre plateforme ASM qui expose la découverte des actifs et la visibilité sur la propriété sans coûts ni limites. L’objectif n’est pas de remplacer les outils existants, mais de donner aux équipes un moyen de mesurer si l’exposition diminue réellement au fil du temps.
Si vous souhaitez tester le retour sur investissement de votre programme ASM, essayez ceci : ignorez le nombre d'actifs dont vous disposez.
Demandez plutôt :
- Combien de temps les actifs à risque restent-ils sans propriétaire ?
- Combien de chemins non authentifiés qui changent d’état existent aujourd’hui par rapport au trimestre dernier ?
- À quelle vitesse les actifs bloqués disparaissent-ils ?
Si ces réponses ne s’améliorent pas, d’autres découvertes ne changeront pas le résultat.
Conclusion : mesurez ce qui change réellement le risque
La gestion de la surface d’attaque devient défendable lorsqu’elle est mesurée par ce qui change, et non seulement par ce qui s’accumule. La découverte comptera toujours. La visibilité sera toujours importante lors de la mesure de la surface d’attaque. Mais ni l’un ni l’autre ne garantit que l’exposition soit réduite, mais seulement qu’elle soit observée.
Le retour sur investissement de la gestion de la surface d'attaque apparaît lorsque la propriété des actifs à risque est confirmée plus rapidement, lorsque les chemins dangereux disparaissent plus tôt et lorsque les infrastructures abandonnées ne restent pas indéfiniment. L'inventaire des actifs offre l'étendue nécessaire ; Les mesures axées sur les résultats fournissent la profondeur nécessaire pour comprendre la réduction réelle des risques.
Chez Sprocket Security, nous essayons de réfléchir à la gestion de la surface d'attaque non seulement en termes de nombre d'actifs existants, mais également en fonction de la durée pendant laquelle une exposition importante persiste et de la rapidité avec laquelle elle est résolue. Plus important encore, les mesures de surface d’attaque rendent visibles les progrès, et pas seulement la croissance des stocks.
Si un programme de gestion des surfaces d’attaque ne peut pas déterminer si l’exposition diminue au fil du temps, il est difficile de prétendre qu’il fait autre chose que signaler le problème.
Note: Cet article a été rédigé et rédigé par Topher Lyons, ingénieur solutions chez Sprocket Security.