kirill_makarov - Fotolia
Surface d’attaque exposée : que surveiller et pourquoi ?
L’éventail de systèmes et de services à surveiller pour réduire son exposition au risque de cyberattaque n’est pas nécessairement aussi étendu que l’on peut l’imaginer, tant que l’on ne s’est pas penché sur le sujet.
Connaître et surveiller la surface d’attaque exposée par son organisation vise, comme le concept le suggère assez intuitivement, à réduire le risque de cyberattaque à son encontre. L’agence américaine de la cybersécurité et de la sécurité des infrastructures, la Cisa, s’est alors penchée sur les techniques et tactiques employées par les attaquants pour prendre pied dans le système d’information de leurs victimes en devenir. On parle d’accès initial. La liste n’est finalement pas très longue. Elle permet d’en déduire des mesures de sécurité à mettre en place ainsi que les systèmes et services méritant une attention particulière.
Quelques points d’entrée principaux
Deux grandes familles de systèmes accessibles sur Internet sont particulièrement susceptibles d’être compromises par des attaques : ceux qui exposent ou fournissent des services d’accès distant et des services réseau ; ceux qui supportent des services applicatifs.
Parmi les premiers, on compte les serveurs VPN, mais également les hôtes permettant d’accéder à des postes de travail virtuels (VDI) ou ceux exposant des services de déport d’affichage (RDP), mais également des services de partage de fichiers (SMB) ou de contrôle à distance (Telnet, SSH).
Du côté des seconds, il faut considérer notamment les serveurs de bases de données, les applications métiers, les environnements de conteneurs, les espaces de stockage cloud, etc.
Vulnérabilités non corrigées
Ces éléments constitutifs de la surface d’attaque exposée peuvent être exploités de diverses manières par des assaillants. L’une de celles qui ont le plus fait parler d’elles au cours des trois dernières années est l’existence de vulnérabilités pour lesquelles les correctifs disponibles n’ont pas été appliqués.
De nombreuses attaques avec ransomware ont été entamées de la sorte ; quitte à survenir longtemps après l’application des correctifs, les assaillants s’étant ménagé des capacités de persistance. La Cisa tient à jour une liste de plus de 700 vulnérabilités régulièrement exploitées dans le cadre de cyberattaques.
Un contrôle d’accès trop léger
Les cyberdélinquants ne manquent pas non plus d’exploiter l’absence de mécanismes rigoureux de gestion de l’authentification. Les services RDP accessibles directement sur Internet, sans authentification au niveau de la couche réseau, sont ainsi régulièrement compromis.
Mais cela vaut aussi pour tout service réseau non protégé contre les tentatives automatisées de connexion à l’aide de listes de mots de passe, ou sans authentification à facteurs multiples (MFA).
Accessoirement, si la gestion des droits associés aux comptes des utilisateurs ne relève pas de la surface d’attaque exposée, un manque de rigueur dans celle-ci peut considérablement simplifier la tâche des attaquants après acquisition d’un accès initial.
Défauts de configuration
À cela s’ajoute le déploiement de systèmes et services, sur site ou en mode cloud, sans effort de durcissement de la configuration. Ce qui peut aller jusqu’à laisser des comptes et mots de passe présents par défaut, en sortie d’usine, actifs sur le système considéré. De quoi ouvrir un boulevard aux assaillants.
Enfin, et c’est peut-être le moins évident, la configuration DNS des domaines utilisés par l’entreprise mérite une étroite surveillance. Nous avons déjà observé des cas où les enregistrements DNS permettaient de retrouver directement le serveur de messagerie et, ainsi, de contourner le service de protection contre le phishing. Et cela également pour des configurations hybrides d’Exchange avec les services cloud de Microsoft.
La surveillance de la surface d’attaque exposée vise à détecter ces faiblesses susceptibles d’être exploitées dans le cadre de cyberattaques, pour aider à les corriger. Et cela, qu’il s’agisse de systèmes et services déployés et administrés par l’entreprise, ou… par des utilisateurs qui auraient par exemple décidé de s’installer un NAS sur le réseau de l’entreprise et de faire en sorte de pouvoir y accéder de l’extérieur.
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
-
Chakib Gzenayi : « L’EASM est important, mais le renseignement est plus important que tout »
-
Cybersécurité : comment Stoïk veut aider ses assurés à améliorer leur posture
-
Fondation de France : plusieurs questions restent sans réponse sur la cyberattaque
-
De la préparation au rançongiciel, les étapes d’une cyberattaque