Comment trouver des ressources Internet inconnues avant que les attaquants ne les exploitent

La plupart des organisations disposent de plus d’actifs connectés à Internet qu’elles ne le pensent. Certains sont des systèmes commerciaux actifs. D'autres sont d'anciens sous-domaines, des environnements de test oubliés, des services cloud exposés, des pages créées par des fournisseurs ou des applications que personne ne possède plus. Ces actifs peuvent sembler inoffensifs lorsqu’ils ne sont pas utilisés quotidiennement, mais les attaquants les perçoivent souvent différemment. Pour eux, chaque système exposé est une porte d’entrée possible.

Les équipes de sécurité ne peuvent pas protéger ce qu’elles ne peuvent pas voir. C’est pourquoi la découverte d’actifs inconnus accessibles sur Internet est devenue un élément essentiel de la réduction des cyber-risques. Les attaquants utilisent des outils automatisés pour analyser l'Internet public, identifier les systèmes faibles et les associer aux vulnérabilités connues. S’ils découvrent un actif exposé avant votre équipe, l’organisation est déjà désavantagée.

Que sont les actifs inconnus accessibles sur Internet ?

Un actif accessible sur Internet est tout actif numérique accessible depuis l’Internet public. Cela peut inclure des sites Web, des applications Web, des API, des portails VPN, des serveurs de messagerie, des compartiments de stockage cloud, des outils d'accès à distance, des environnements de développement, des bases de données, des sous-domaines et des systèmes hébergés tiers.

Un actif devient « inconnu » lorsqu'il n'est pas inclus dans l'inventaire approuvé de l'organisation. Il se peut qu’il n’ait pas de propriétaire clair. Il se peut qu'il ne soit pas analysé pour détecter les vulnérabilités. Il ne peut pas être corrigé ou surveillé. Dans certains cas, les équipes de sécurité peuvent même ne pas savoir qu’il existe.

C’est là que commencent de nombreuses lacunes de visibilité. Un développeur peut créer un environnement de test temporaire. Une équipe marketing peut lancer un microsite via une agence. Une ressource cloud peut être créée pour un projet à court terme et ne jamais être supprimée. Au fil du temps, ces petites exceptions s’additionnent. Pour les organisations construisant un Programme CTEMles actifs inconnus sont souvent l'un des premiers problèmes à résoudre, car la gestion continue de l'exposition dépend d'une vue complète de ce qui est réellement exposé.

Pourquoi les actifs inconnus accessibles sur Internet créent des risques

Les actifs inconnus augmentent la surface d’attaque externe. Chaque domaine, service ou application exposé offre aux attaquants un autre endroit où rechercher les faiblesses. Le risque n’est pas toujours lié à la taille ou à l’importance du système. Une page de connexion oubliée ou un site intermédiaire obsolète peut suffire à créer un incident grave.

Ces atouts sont également plus susceptibles d’être négligés. Si personne ne possède un système, personne n’est responsable de sa mise à jour. S'il ne figure pas dans l'inventaire, il peut être manqué lors des analyses de vulnérabilité. Si elles ne sont pas surveillées, les activités suspectes peuvent passer inaperçues plus longtemps.

Les actifs inconnus peuvent également exposer des informations sensibles. Un compartiment de cloud public peut contenir des documents, des informations d'identification ou des sauvegardes. Un site de développement peut révéler du code source, des modèles de dénomination internes ou une logique d'application. Un ancien panneau d'administration peut toujours se connecter à un système actif. Les attaquants n’ont pas besoin que tous les actifs soient vulnérables. Ils n’ont besoin que d’une seule ouverture utile.

D’où proviennent généralement les actifs inconnus

Des actifs inconnus accessibles sur Internet apparaissent souvent parce que les environnements informatiques modernes évoluent rapidement. Les plateformes cloud facilitent la création de ressources en quelques minutes. Les équipes DevOps déploient souvent de nouveaux services. Les business units adoptent les outils SaaS sans toujours impliquer la sécurité. Les fournisseurs créent et hébergent des actifs au nom de l’entreprise.

Le Shadow IT est une source courante. Les équipes peuvent créer des outils, des sites Web ou des intégrations pour évoluer plus rapidement, mais ces actifs peuvent échapper aux contrôles de sécurité normaux.

L’étalement des nuages ​​en est un autre. IP publiquesles compartiments de stockage, les conteneurs et les charges de travail peuvent rester en ligne après la fin d'un projet. Les environnements de développement et de test créent également des risques lorsqu’ils ne sont pas correctement mis hors service.

Les fusions et acquisitions ajoutent une autre couche. Les sociétés acquises peuvent apporter d'anciens domaines, des applications héritées, des comptes cloud et des relations avec les fournisseurs. À moins que ces actifs ne soient examinés et intégrés à l’inventaire principal, ils peuvent rester exposés pendant des années.

Comment les attaquants trouvent ces actifs

Les attaquants ne s'appuient pas sur l'accès interne pour découvrir les systèmes exposés. Ils utilisent les mêmes signaux publics accessibles à tous.

Ils analysent les plages IP et ouvrent les ports. Ils énumérer le DNS enregistrements et sous-domaines. Ils examinent les journaux de transparence des certificats pour trouver des domaines liés à une organisation. Ils effectuent des recherches dans des bases de données publiques, des référentiels de codes, des données de violation et des moteurs de recherche Internet. Une fois qu’ils ont identifié un actif, ils recherchent les versions logicielles, les services exposés, les authentifications faibles et les vulnérabilités connues.

Ce processus est souvent automatisé. Cela signifie que les attaquants peuvent trouver rapidement de nouvelles expositions. Un système qui apparaît en ligne aujourd'hui peut être découvert, classé et testé pour détecter ses faiblesses peu de temps après. C’est pourquoi la découverte ponctuelle d’actifs ne suffit pas.

Comment trouver d'abord les actifs inconnus accessibles sur Internet

La première étape consiste à constituer un inventaire complet des actifs externes. Cet inventaire doit inclure les domaines, sous-domaines, adresses IP, applications, API, ressources cloud, certificats et systèmes hébergés tiers. Il doit également inclure le contexte commercial, par exemple à qui appartient l'actif, ce qu'il prend en charge et s'il traite des données sensibles.

Ensuite, les équipes de sécurité doivent effectuer une découverte des surfaces d'attaque externes. Cela signifie examiner l’organisation de l’extérieur, comme le ferait un attaquant. Les méthodes utiles incluent la découverte de domaines, l'énumération de sous-domaines, le mappage de plages IP, l'analyse de ports, les empreintes digitales de services, la découverte d'actifs cloud et l'analyse de certificats.

La propriété est tout aussi importante que la découverte. Chaque actif doit avoir un propriétaire commercial et un propriétaire technique. Sans appropriation, la remédiation devient lente et incertaine. Lorsqu'un actif à risque apparaît, l'équipe doit savoir qui peut approuver les modifications, appliquer des correctifs ou le mettre hors ligne.

Une fois les actifs identifiés, ils doivent être classés par risque. Les facteurs peuvent inclure l'exposition à Internet, l'importance commerciale, la version du logiciel, les exigences d'authentification, la sensibilité des données et les vulnérabilités connues. Cela aide les équipes à se concentrer sur les actifs les plus importants au lieu de traiter chaque découverte de la même manière.

Que vérifier une fois les actifs trouvés

Trouver un actif inconnu n’est que le début. L’étape suivante consiste à déterminer si cela est sûr, nécessaire et correctement géré.

Les équipes de sécurité doivent vérifier les ports ouverts, les logiciels obsolètes, les panneaux d'administration exposés, l'authentification faible, le cryptage manquant, les informations d'identification par défaut et le stockage public. Ils devraient également vérifier si l’actif est toujours nécessaire. S’il ne répond plus à un objectif commercial valide, sa suppression peut être la meilleure option.

Si l’actif est nécessaire, il doit être soumis aux processus de sécurité normaux. Cela signifie l'ajouter à l'inventaire, en attribuer la propriété, l'analyser régulièrement, surveiller les modifications et l'inclure dans les flux de travail de gestion des correctifs.

Meilleures pratiques pour la gestion des actifs à long terme

La découverte d’actifs externes doit être continue. Les environnements Internet changent trop souvent pour que des évaluations annuelles ou trimestrielles suffisent. De nouveaux services cloud, domaines, certificats et applications peuvent apparaître à tout moment.

Un processus solide doit inclure une surveillance continue, des alertes automatisées et des examens réguliers des actifs obsolètes. Les équipes doivent être informées lorsque de nouveaux systèmes connectés à Internet apparaissent, lorsque des ports s'ouvrent, lorsque des certificats sont émis ou lorsque de graves vulnérabilités sont détectées.

Les actifs de tiers doivent également être inclus. Les portails hébergés par les fournisseurs, les microsites créés par les agences et les applications gérées par les partenaires peuvent toujours créer des risques pour l'organisation. S'ils utilisent le domaine, la marque ou les données de l'entreprise, ils appartiennent à l'inventaire des actifs externes.

Il est également important de mettre au rebut ce qui n’est plus nécessaire. Les anciens domaines, les applications inutilisées et les infrastructures abandonnées créent une exposition inutile. Les supprimer réduit les risques et simplifie les opérations de sécurité.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *