ThreatTank – épisode 3 – gestion des surfaces d’attaque

Introduction à ThreatTank – épisode 3 : gestion des surfaces d’attaque

Tom Gorup : Bienvenue sur Threat Tank, un podcast couvrant les dernières informations sur les menaces, la réponse aux menaces et les perspectives sur le paysage de la sécurité dans le monde entier. Je suis votre hôte, Tom Gorup, vice-président des services de sécurité chez Edgio. Jeff Patzer et Chris Herrera se joignent à moi aujourd’hui. Bienvenue, Jeff et Chris.

Jeff Patzer : Oui, merci.

Chris Herrera : Merci de nous avoir accueillis.

Tom Gorup : Oui, mec, ça va être une belle conversation. Nous allons creuser dans la gestion des surfaces d’attaque, la valeur de celle-ci, ce qu’est-ce que c’est, toutes ces choses géniales. Mais comme nous construisons une tradition ici sur le Podcast ThreatTank, j’aime commencer par une question brise-glace. Si c’est la première fois que vous vous présentez, je ne répondrai pas ces questions aux clients. Donc, ils n’ont aucune idée de ce que je vais demander. Et celui-ci m’a fait rire à haute voix quand je l’ai lu pour la première fois.

La question est, Chris et Jeff, si tu es prêt pour ça, si tu étais un fruit, quel fruit serais-tu et comment éviterais-tu d’être mangé ?

Chris Herrera : Oh mon Dieu. Eh bien, si nous définissons ça comme étant mangé par une personne moyenne, alors je suppose peut-être un durian. J’ai cru comprendre que ceux-ci sentent assez mauvais quand vous les coupez et ils n’ont même pas l’air si appétissant. Mais ça pourrait être moi qui parle par ignorance, puisque je n’en ai jamais vu un.

Tom Gorup : donc, vous seriez un durian parce que celui que vous éviteriez d’être mangé, vous auriez l’air, l’air mauvais et l’odeur mauvaise, l’air mauvais et l’odeur mauvaise et probablement mauvais goût.

Chris Herrera : Oui, mauvais goût.

Tom Gorup : très bien, oui.

Jeff Patzer : ils n’aiment même pas le durian dans le métro dans la plupart des endroits où ils poussent quand c’est pendant la saison parce qu’ils sentent si terrible. Mais on les mange très lourdement, Chris, donc je ne suis pas sûr que tu puisses éviter ça. Ils sont savoureux. C’est un peu comme, comment vas-tu l’éviter ?

Tom Gorup : Oui, j’imagine que c’est comme des jalapenos, tout le monde comme s’ils étaient si chauds, mais il y a toujours un marché pour les gens qui veulent manger comme le poivre le plus chaud. Alors, qu’obtenez-vous Jeff ?

Jeff Patzer : je vais juste aller avec Fig. Je serais une figue et je n’essaierais pas d’éviter d’être mangé parce que, vous savez, tout l’intérêt d’être un fruit est d’être consommé.

Tom Gorup : la raison pour laquelle vous voulez être consommé, c’est parce que c’est comme ça que vous vous répandez et cultivez plus d’arbres fruitiers, non ?

Jeff Patzer : Donc vous pouvez aller sur le voyage intéressant à travers un système digestif de tout type d’animal et aussi les figues sont absolument délicieuses et l’astuce est oui, les amener où vous pouvez réellement les obtenir frais parce que la plupart des endroits où vous devez les acheter comme dans le magasin et ils ne sont tout simplement pas cueillis frais. Mais si vous vivez dans un endroit où vous les obtenez frais, il n’y a pas de fruit mieux.

Tom Gorup : je peux vous garantir que je suis surtout intrigué que vous l’ayez décrit comme un voyage intéressant à travers quelque chose.

Jeff Patzer : je veux dire, à quoi ressemblait le bus scolaire magique, là où vous arrivez à rejoindre, vous connaissez le voyage à travers le système digestif ? Même chose. Je pense que peut-être que tout le monde n’obtient pas cette référence.

Chris Herrera : un peu moins PG version de Rick et Morty quand ils font un type d’épisode très similaire.

Tom Gorup : C’est bien.

Jeff Patzer : exactement. Exactement.

Tom Gorup : donc, je vais jouer avec ça pendant que j’y pensais, comme je pensais peut-être à une fraise. Mais je ferais mes graines comme un petit BBS. Donc ils sont si durs que vous pourriez aimer, si vous les mordez, vous allez casser une dent, pour que personne ne veuille la manger. Mais à votre avis, je ne suis peut-être pas répandu aussi largement et largement.

Chris Herrera : intéressant vous avez un problème avec cette réponse, qui est qu’ils décideront qu’ils ne veulent pas vous manger après qu’ils ont déjà pris une bouchée, cependant.

Tom Gorup : Oh, parce que tu pues. Ils ne voudraient pas te manger, je pense.

Chris Herrera : et j’ai l’air mal.

Tom Gorup : C’est génial. C’est bien. D’accord. Commençons. Espérons que le brise-glace sera aussi amusant pour tout le monde que pour nous de discuter. Mais nous devons nous mettre sur le sujet, et celui-ci est encore une fois Attack surface Management. Chris, je me demandais si vous pouviez nous expliquer ce qu’est Attack surface Management abrégé ASM.

Chris Herrera : je vais donner ce que j’espère et pense être une définition assez précise. Mais comme toujours quand tu parles devant d’autres gens de la sécurité, d’autres experts, n’importe qui d’autre qui est dans ton domaine, tu es toujours ou tu devrais être terrifié que tu dises quelque chose de mal ou de légèrement décalé.

Veuillez me corriger si je me trompe à un moment donné, mais ASM, Attack surface Management, est en bref, il intègre différents aspects de l’identification, de la hiérarchisation, de la surveillance et de l’analyse des actifs numériques. Et par des actifs numériques qui seraient des choses comme des serveurs Web, des adresses IP, des points de terminaison API, des applications, tout ce qui est numériquement dans une sorte d’environnement qui pourrait être exposé via Internet ou quelque chose du même genre. Et puis ASM entre en jeu.

La gestion de la surface d’attaque, vous pouvez penser à ceci, ces mots individuels. Une partie de cela est que vous gérez la surface d’attaque. Ainsi, ce qui est disponible pour être vu, ping ou sondée ou tout ce qui se trouve sur Internet qui est considéré comme votre surface d’attaque. ASM vous permet de déterminer ce qui est disponible, ce qui est là. Vous pourriez trouver des choses dont vous ne saviez même pas qu’elles étaient là. Et puis il va plus loin et il peut vous dire idéalement quels types d’applications, quels serveurs, quelles versions fonctionnent derrière. Ensuite, même une étape supplémentaire où il peut lier ces vulnérabilités à différentes vulnérabilités comme CVSS (Common Vulnerability Scoring System) et Zero-day vulnérabilités et des choses comme ça et vous donner une bien meilleure idée de votre surface d’attaque au sein de vos actifs numériques. Il y a bien plus que ça. Évidemment, c’est de cela que nous allons discuter aujourd’hui, mais j’espère que c’est un bon point de départ pour ce qu’est la gestion des surfaces d’attaque.

Tom Gorup : Oui. Un peu comme dans la manière la plus basique de dire un outil qui fouille l’Internet pour Internet. Eh bien, Internet face aux actifs de la vôtre et genre de les agrège dans une sorte d’outil.

Chris Herrera : Oui, exactement.

Tom Gorup : description la plus basique.

Chris Herrera : Oui. J’essayais donc de penser à une métaphore de la façon de visualiser ça. Et vraiment la meilleure chose à laquelle je pourrais penser serait un truc très technique où j’imagine comme Star Trek ou Star Wars ou quelque chose le long de ces lignes où vous avez votre moniteur de vaisseau sur un écran et il y a tous les différents composants là-dessus et il surveille chaque élément de votre vaisseau qui est dans l’espace qui peut potentiellement être abattu par des lasers ou des armes ou n’importe quoi le long de ces lignes. Et en plus de vous dire ce qu’il y a là, il vous indique aussi leur statut.

C’est vous dire comment ils le font. Il peut également vous donner des informations supplémentaires. Et vous savez, à votre point, vous pouvez alors, si vous voulez en savoir plus sur d’autres actifs aussi bien, envoyer une sonde, envoyer des scans, obtenir des informations sur quelqu’un d’autre, et cela peut ne pas être utile aux autres. Mais pour moi, c’était une bonne façon d’obtenir une image mentale d’au moins lier ASM à des exemples non réels à cause de Star Trek et Star Wars. Mais vous savez quelque chose dans ce sens.

Tom Gorup : quelque chose manque dans cette définition, Jeff ?

Jeff Patzer : Ouais, vous savez, je viens peut-être plus de l’arrière-plan des développeurs, de l’arrière-plan de l’ingénierie. Je pense aussi à elle autant que les blocs de construction comme le fonctionnement interne de la chose que vous avez. Donc, quand vous réfléchissez à quoi ressemble ma surface d’attaque, les éléments à partir desquels vous l’avez construite sont aussi des vulnérabilités d’attaque, non ? Donc si vous pensez aux choses que vous choisissez d’ajouter du point de vue de la bibliothèque ou quelque chose comme ça dans le code que vous utilisez ensuite pour exposer, vous savez que ce n’est pas seulement sur la façon dont Internet peut vous atteindre, c’est comment une fois que quelque chose a les choses, il peut faire aussi dans votre système, non ?

Pour étendre votre analogie Star Trek, surveiller l’état du moteur est tout aussi important que de savoir ce que fait votre champ de protection laser, n’est-ce pas ? Je pense donc que si vous utilisez des bibliothèques externes, si vous utilisez n’importe quel logiciel à ce stade, vous êtes sûr d’utiliser une bibliothèque open source pour construire des logiciels comme de plus gros morceaux. Savoir ce qu’il y a à l’intérieur de ceux-ci et les vulnérabilités possibles qu’ils pourraient avoir est aussi important que les pièces extérieures avec lesquelles les gens interagiraient.

Tom Gorup: ma prochaine question est pourquoi vous avez dit qu’il est tout aussi important de surveiller que pourquoi c’est précieux. Quelle est la valeur de l’exécution d’un ASM ?

Chris Herrera : ma première pensée est que beaucoup d’équipes de sécurité si nous parlons spécifiquement d’entreprises ou vous savez, même des individus à la maison, c’est facile. Eh bien, pas nécessairement facile. Il est facile de sécuriser les choses que vous savez que vous avez et que vous connaissez. Mais exactement selon Jeff, vous construisez ces outils, ces environnements à partir de beaucoup de pièces individuelles. Et chacune de ces pièces individuelles contribue également à la surface d’attaque, votre surface globale. Je n’arrive pas à trouver un meilleur mot pour ça maintenant. J’essaierai d’y penser d’ici la fin de ça.

Chacune de ces pièces individuelles, elle peut devenir le maillon faible ou, vous savez, le membre de l’armée qui marche le plus lentement. Et en plus de s’assurer que tout est énuméré comme un outil de gestion des surfaces d’attaque, la technologie d’inventaire peut également hiérarchiser ceux-ci et vous dire, hey, ce sont vos plus importants en termes de si elles tombent en panne, tout le système tombe en panne ou ils peuvent les prioriser en termes, hey, ce sont vos plus vulnérables en termes de logiciel le plus obsolète ou ils sont ouverts à la vulnérabilité zero-day la plus récente.

Et ou vous pouvez même les prioriser en termes de, hey, ce sont les plus simples à réparer si vous voulez obtenir des fruits faciles à pendre ou certains, vous savez, juste mouiller vos pieds. En termes de non-dispatching, mais d’amélioration de votre posture de sécurité globale.

Jeff Patzer : Oui. Vous savez, je pourrais ajouter à cela, comme, pour moi, la valeur est qu’il devient essentiellement impossible de rester au top de tout sans une sorte de système de surveillance, n’est-ce pas ? Est-ce que les systèmes deviennent plus complexes. Vous savez, l’analogie à laquelle j’ai toujours pensé pour ASM est, vous savez, dans les temps anciens, qu’avons-nous fait pour, vous savez, protéger contre les armées envahissantes comme vous construiriez un château ? La seule façon de traverser le mur était quelques portes, non ? Et donc, d’une certaine manière, les ports sont comme des portes pour Internet. Tu dois être capable, tu sais, que c’est assez simple, comme le château est simple, non ? Comme si elle avait des murs et peut-être un fossé et peut-être quelques endroits où vous pouvez entrer et sortir. Mais comme vous construisez dans la complexité, être capable de les surveiller, vous avez besoin de plus que juste comme un couple de coureurs qui disent aux généraux. Comme, c’est le statut de cette porte, non ?

Vous en êtes au point où, avec le logiciel, vous pouvez fédérer le contrôle entre les mains des membres de l’équipe, n’est-ce pas ? Ainsi, n’importe qui peut construire une porte à ce stade. N’importe qui peut étendre les capacités. Et si vous comptez sur les gens pour gérer tout cela, garder une trace de cette complexité, ça va juste se dégrader au fil du temps. Donc, pour moi, c’est comme si la valeur est que ça vous permet de grandir en complexité mais de garder peut-être un peu la main sur, comme être capable de permettre aux gens de faire des choses mais aussi de surveiller ces choses qui se passent comme les choses qu’ils exposent et de garder une trace de cela. Parce que sinon, à mesure que les choses deviennent plus complexes, il n’y a aucun moyen pour les humains de garder une trace de ces types de systèmes. Nous ne devrions pas non plus l’être.

Tom Gorup : Oui, oui, 100%. Certains d’entre vous disaient que l’analogie du château est le périmètre. La défense du château est un peu morte ; il n’y a pas de périmètre, non ? Nous sommes dans divers environnements hybrides multi-cloud, certains centres de données, certains dans Azure, d’autres dans AWS, d’autres dans GCP et Digital Ocean ; nous sommes un peu partout. Savons-nous tout ce qu’il y a là-bas ?

Quand je regarde ce que je pense de la posture de sécurité, je le place en 3 piliers : la visibilité, les expositions et les menaces. Je ne peux pas protéger ce que je ne peux pas voir. Je dois comprendre où sont mes vulnérabilités et comment je suis attaqué. Ce que j’entends, c’est qu’Attack surface Management nous donne vraiment beaucoup des deux premiers, en particulier la visibilité et les choses dont je ne savais pas l’existence. Des ports ouverts, la technologie API que j’utilise dans mon application, mais aussi une sorte de mise en évidence des vulnérabilités qui existent dans mon environnement et dont je pourrais être attaqué. Donc, il semble extrêmement puissant. Mais, par exemple, quelles équipes gèrent généralement ce genre d’outils ? Ne le voyons-nous que dans les équipes de sécurité qui devraient gérer un AMS ?

Chris Herrera : historiquement, je pense que c’est exact de dire que les équipes de sécurité sont responsables ou ont été responsables de l’acquisition des outils ASM, de leur mise en service, de leur utilisation cohérente, de l’interprétation des résultats et de leur transmission aux différentes équipes au sein des organisations. Dans le cas où ils découvrent des actifs dont ils ignoraient l’existence ou des noms d’hôtes dont ils ignoraient l’existence étaient encore en service ou quoi que ce soit dans ce sens.

Mais je ne sais pas nécessairement si cela signifie que c’est comme ça qu’il faut aller de l’avant. Il est intéressant de voir comment la technologie augmente en complexité, mais aussi en termes de ce qu’elle peut faire pour nous, elle brouille en quelque sorte les frontières entre les différentes équipes. C’est pourquoi historiquement, vous savez, nous avons utilisé des termes comme dev SECOPS ou DevOps ou des choses comme ça, ces terminologies et la façon dont nous nous référons aux personnes qui créent des applications. À titre d’exemple précis, cela a changé au fil du temps au cours des 5-10 dernières années. Et je pense que cela peut être un signe de la sécurité, en quelque sorte, s’infiltre dans la vie de tout le monde.

Désormais, il ne s’agit plus nécessairement d’une simple équipe de sécurité. Je sais par expérience que je ne saurai même pas ce que je fais, mais la sécurité n’est pas une chose que je fais tous les jours. Mais j’interagis avec d’autres membres d’autres équipes qui n’ont nominalement rien à voir avec la sécurité, mais ils en savent beaucoup simplement parce qu’ils doivent faire leur travail.

Jeff Patzer : Eh bien, oui, j’aime vraiment la façon dont tu dis ça, Chris. J’aime beaucoup la façon dont vous le dites dans le sens où tout le monde interagit avec la sécurité sous une forme ou une autre, que ce soit si vous ouvrez un e-mail à ce stade, vous interagissez avec le problème de sécurité. Genre, est-ce que tu es phishing ? Es-tu, tu sais, vérifié pour des choses ? Techniquement, c’est un type de surface à travers laquelle quelqu’un pourrait vous attaquer.

Donc, je pense que quand vous demandez quelles équipes l’utilisent, j’ai l’impression qu’historiquement vous avez comme ÇA et que les développeurs ont raison, comme ils l’utilisent pour des raisons très spécifiques. Mais dans l’ensemble, ça se développe, non ? Et comme je le disais, vous savez, à ce stade, disons que vous voulez construire un formulaire qui est d’admission pour que vous avez des partenaires qui enregistrent quelque chose ou quoi que ce soit, n’est-ce pas ? Je peux créer des automatismes qui prennent ces informations et je peux les envoyer à n’importe qui au sein de l’organisation ou en dehors de l’organisation.

Comme je l’ai dit, les membres de l’équipe ont la possibilité de commencer à faire des choses qui ne sont peut-être pas historiquement comme construire un serveur Web qui fait des choses spécifiques basées sur le Web, mais qui font toujours partie de la collecte de données pour cette organisation. Ça devient vraiment quand nous avançons tout le monde si vous êtes en ligne dans un sens ou dans l’autre, quelle que soit la façon dont vous êtes, vous êtes exposé, d’accord. Vous interagissez sous une forme ou une autre, oui.

Chris Herrera : et je pense, Tom à votre question d’il y a une minute sur les équipes qui sont peut-être généralement ou censées être responsables de ces outils. Je pense qu’il est logique que la sécurité ait assumé cette responsabilité dans le passé et maintenant également. Mais étant donné que les ASM peuvent faire plus que simplement fournir des informations de sécurité, ils peuvent également être utilisés comme nous l’avons dit avant un outil d’inventaire, je peux comprendre pourquoi cela serait très utile pour les équipes non chargées de la sécurité. Travaillant dans le domaine de la sécurité, je travaille souvent avec différentes équipes et différents clients et je fais mon analyse des logs et autres.

Je leur présente, hey, voici quelques domaines qui ont vu des attaques et c’est toujours intéressant pour moi quand je tombe sur un cas où la réponse de leur part est oh wow, je pensais que nous aurions désactivé ce domaine il y a 12 mois et il s’avère qu’il est toujours activé. Il est encore très ouvert à Internet. Il voit encore beaucoup d’attaques. Ainsi, l’aspect inventaire de celui-ci peut très bien être utilisé régulièrement par des gens non-sécurité et, en fait, devrait peut-être être en fonction de la facilité avec laquelle il est à utiliser.

Tom Gorup : Oui, j’adore ça et Jeff, parler de la surface d’attaque est beaucoup plus grand que simplement rester dans un port ouvert en liant cela à des domaines. Nous avons, vous savez, des prises de contrôle de sous-domaine. Vous quittez un domaine qui a été connecté à un tiers, et trois ans plus tard, il est détourné et sert maintenant des logiciels malveillants qui font ensuite de votre domaine une liste noire. C’est le problème de tout le monde. C’est un problème commercial dans son ensemble. Mais en allant plus loin et en regardant vous savez que les e-mails arrivent, c’est un facteur intact.

Bien qu’il existe des outils pour la gestion des surfaces d’attaque, la surface d’attaque elle-même est une conversation plus large qui implique tous les aspects de l’entreprise et ne peut pas se limiter à ce que l’équipe de sécurité surveille, n’est-ce pas ? ELLE doit être impliquée, l’ingénierie doit être impliquée et le marketing doit être impliqué. Toutes ces équipes doivent avoir une conversation entre elles pour protéger efficacement l’entreprise.

Jeff Patzer : une petite question pour toi, Tom, à ce sujet et Chris aussi. Chris, tu parles de, hé, je regarde les journaux comme je passe en revue les journaux. Je veux dire beaucoup de gens, ils ne regardent pas les lignes de bûches, n’est-ce pas ? Comme si vous leur montriez ça et ils sont comme maintenant c’est la matrice, je ne fais pas ça. Que pensez-vous des types de visualisations de données qui peuvent être utilisées pour mieux communiquer la surface d’attaque aux gens que vous connaissez, ils ne viennent peut-être pas d’un arrière-plan en ingénierie. Ils ne viennent pas d’un arrière-plan INFORMATIQUE où, vous savez, ils se lèvent et regardent les lignes de log chaque jour où vous pouvez leur donner quelque chose qui explique la matrice en dessous, d’accord. Qu’est-ce que vous, quelles sont les pensées de votre gars sur les moyens qui peuvent, vous savez, faire efficacement cela?

Chris Herrera : Oh mec, c’est une question tellement bonne et intéressante. Ma première pensée est que je n’ai jamais été très bon en visualisation de données, mais je le sais quand je les vois, et je connais une bonne visualisation de données quand je les vois. Dans ma tête, je vois cette idée éphémère de vouloir voir visuellement à quoi ça ressemble quand j’ai tout comme une application web. Je veux voir quels domaines j’ai disponibles sur Internet. Je veux qu’ils soient regroupés en conséquence, peu importe ce que cela signifie. Je veux ensuite pouvoir y aller et voir quelles versions de quel logiciel ils exécutent. Dans un monde idéal, cliquez sur on et off et être en mesure de voir quelles vulnérabilités peuvent être applicables à ces différents points de terminaison. Mais surtout, je veux une vue visuelle pour voir à un niveau élevé ce qui se passe exactement et être ensuite en mesure de percer à partir de là.

Tom Gorup : Oui. Je taperais deux fois dessus et dirais qu’un graphique de nœud est super puissant et je vois que sur un certain nombre de facettes différentes comme sur un angle, c’est comme un processus de réponse à un incident pour être en mesure de montrer la progression d’un attaquant. Log4j en était un excellent exemple. Log4j du point de vue de la réponse aux incidents, le MDR est une activité post-compromission car il s’agit d’une attaque zero-day ; vous n’avez pas de signatures pour cela, n’est-ce pas ? Quand log4j est sorti, personne n’avait de signature pour un exploit log4j parce que, eh bien, personne ne le savait. Mais ce que nous avons capté, c’était le trafic de commande et de contrôle sortant.

Si vous pouviez commencer à capter une myriade de ressources atteignant des serveurs de commande et de contrôle uniques, vous voulez dire capter plus rapidement les ressources compromises, mais à quoi se sont-elles connectées ? Et c’est là que, comme la visualisation des nœuds, je pense, aide à créer ces connexions que vous ne pourriez pas faire par vous-même via les journaux. J’imagine toujours que c’est comme le sonar Batman, non ? En quelque sorte donner obtenir ces vues dans les coins et les endroits et voir des connexions là où vous ne les auriez pas vues autrement à travers les graphiques de nœud. Je peux me débrouiller sur les graphes de nœud toute la journée.

Chris Herrera : je veux dire, qui ne peut pas?

Jeff Patzer : Oui, si jamais vous voulez voir ce que seraient les gars DataViz très opiniâtres, Chris Edward Tufte est le gars. Il est comme si les travaux fondateurs sur ceci étaient à quoi cela devrait ressembler. Il est très opiniâtre mais il a de bons trucs.

Tom Gorup : J’adore. Je vais vérifier ça. Donc, tout cela me semble génial. Je déploie cet outil, que nous appelons Attack surface Management, et tout d’un coup j’ai un inventaire de tous les actifs ouverts à Internet, numéros de port, API, services d’application, tout. Je sais comment ils vont être vulnérables et comment ils peuvent être attaqués. Et tout est présenté dans un graphique plutôt sans graphique, non ? Qu’est-ce qui pourrait mal tourner ? Quels défis les entreprises auraient-elles à relever à ce stade ?

Chris Herrera : Eh bien, rien. Vous avez terminé à ce stade.

Tom Gorup : Oui. Exact. Raccrochez-le.

Chris Herrera : Non, je pense que c’est très similaire à certains des sujets dont nous parlions auparavant, où beaucoup de ces équipes travaillent toutes ensemble, même si chaque équipe fait un travail si différent et qu’il y a évidemment beaucoup d’experts locaux dans différents domaines. Mais le type de sortie de ces ASM dont nous discutons aujourd’hui et encore comme nous l’avons déjà dit, le type de sortie est très utile à beaucoup d’équipes différentes. Je suppose que cela remonte à, vous savez, toutes les équipes travaillant ensemble doivent être capables de partager des informations et de collaborer.

C’est un outil qui peut non seulement rendre cela beaucoup plus efficace, mais il peut également, vous le savez, élever la barre pour tout le monde en augmentant la connaissance de chacun de ce qui se passe sous le capot en coulisses et en définissant une voie à suivre pour s’assurer que votre posture de sécurité ne s’aggrave pas et, idéalement, s’améliorera considérablement.

Jeff Patzer : Oui, je veux dire une chose à laquelle je pense, c’est comment pouvez-vous départir les morceaux de travail discrets qui doivent se produire pour cela ? C’est difficile parce que pour moi quand vous dites, OK, je dois aller parler de sécurité, des trucs de posture comme certains peuvent être faciles. Certains de ces éléments pourraient être plus difficiles comme aller jusqu’à mettre à jour votre version de WordPress. Je ne sais pas, peut-être que c’est facile, peut-être pas. Mais comme la mise à niveau des paquets de code, en particulier entre une version majeure, comme il faut beaucoup de travail pour regarder ces choses et dire, vous savez, en faisant cela, est-ce que je vais casser quelque chose qui est déjà en production, non ? Comme du point de vue d’un développeur, comme si cela semblait assez simple, oui, il suffit d’aller mettre à jour ce truc de version mineure, pas si mauvais truc de version majeure. Il peut être vraiment difficile de le faire efficacement. Donc, je ne sais pas.

Pour moi, c’est presque comme la posture de sécurité. Le travail qui entre en jeu est presque comme un travail de refactorisation ou traiter comme un vieux code dont vous devez vous occuper, non ? C’est presque comme une corvée dans certains sens ou ce n’est pas l’aspect créatif de la construction comme. C’est revenir en arrière et regarder ce que vous avez fait et aimer étayer les choses, réparer et faire des choses comme ça. Et donc, je pense que n’importe quel outil que vous avez devrait aider à briser ce travail discret pour vous permettre de le fédérer aux propriétaires, d’assigner des gens qui peuvent le prendre en charge. Parce qu’à la fin de la journée, si vous avez, comme je l’ai dit, un système complexe, vous allez avoir beaucoup de choses différentes qui doivent arriver. Et être en mesure de vous assurer que vous pouvez gérer cela, puis l’auditer et garder une trace comme vos projets sur ce, comme le processus réel de faire le travail devient aussi important que de savoir que vous devez le faire, je crois.

Tom Gorup : Oui, oui. La première chose qui me vient à l’esprit, ce sont des résultats mesurables. C’est ce que j’entends souvent des clients. Il y a deux questions que j’entends constamment des clients : comment pouvez-vous me rendre plus sûr de manière mesurable? Comment pouvez-vous mesurer cela m’a rendu meilleur, m’a rendu plus fort. Et puis quelle est la prochaine chose la plus importante sur laquelle je dois travailler ? Hiérarchisation efficace.

D’accord, donc vous savez, penser à cela parce que je pense que jusqu’à votre point que vous avez est comme beaucoup de ce travail peut être obscur aussi. Comment puis-je réellement résoudre ce problème? S’agit-il d’un changement de code ? S’agit-il d’un changement de configuration ? Peut-être que je ne peux pas le résoudre du tout. Peut-être devons-nous accepter ce risque. À quoi ressemble ce processus ? Donc oui, c’est un bon conseil.

Jeff Patzer : et je pense qu’une bonne chose à laquelle vous venez de me faire penser est le bruit, comme le rapport bruit/signal. Donc, c’est comme s’assurer que l’outil vous indique, c’est vous aider à comprendre ce qui est le plus important. Et si c’est sur-indexer sur trop de choses, c’est comme pas si gros. C’est plus comme une chose de type avertissement. Comme, hey, cela pourrait être quelque chose qui devrait vous préoccuper, comme aider à distinguer ce rapport bruit-signal. C’est tout aussi important parce que savoir sur quoi se concentrer est, c’est ce que vous devez commencer, n’est-ce pas ?

Chris Herrera : Oui. Si vous recevez 1000 notifications qui sont toutes de faible priorité, alors cela peut vous faire penser que vous êtes dans un endroit bien pire que vous ne l’êtes réellement.

Tom Gorup : J’ai l’impression que c’est ta zone de frappe, pas vrai Chris ? Hiérarchisation active avec les clients. Tous les scénarios viennent à l’esprit où c’est comme, mec, ils auraient dû travailler dessus, ou vous savez, ou peut-être que vous avez fait une mauvaise recommandation. J’adorerais entendre ça.

Chris Herrera : C’est bien. Non, je n’ai jamais fait de mauvaise recommandation. Donc, votre première question, en passant par l’analyse, est un peu un peu de contexte pour moi quand je parle de travailler avec mes clients, je les aide à sécuriser leurs applications Web. Et souvent, lorsque je présente mon avis, mes recommandations et les ajustements qu’ils devraient apporter à leurs produits de sécurité, souvent parce que leurs applications n’ont pas été écrites avec la sécurité à l’esprit dès le départ. Mais non seulement cela, n’ont pas non plus été écrits d’une manière qui est facile de faire des changements de leur côté.

C’est pourquoi, de notre point de vue, du point de vue de mon équipe de sécurité, nous pouvons appliquer des correctifs virtuels au sein de l’application en créant des règles de sécurité personnalisées, tout ce qui va dans ce sens. Je pense que ce genre de réponse répond à la question en ce qui concerne les examens de sécurité et comment cela peut éclairer comment les clients peuvent faire mieux. Et vous savez, en ce qui concerne mes mauvaises recommandations, je n’ai jamais, je n’ai jamais identifié par erreur un faux positif.

Jeff Patzer : je ne l’ai jamais fait. Ça n’est jamais arrivé.

Chris Herrera : je pense que plus tôt dans ma carrière, j’aurais pu être un peu trop zélé en termes de recommandation ou peut-être de blacklistage de certaines adresses IP. Comme vous devenez plus à l’aise avec elle, c’est une sorte de dernière ligne de défense à ce stade. Mais oui, c’est probablement la pire décision jamais prise, de petites erreurs comme ça.

Tom Gorup : Je pense que vous parlez de la puissance d’un ASM, c’est d’être capable d’examiner les risques que votre entreprise, votre surface d’attaque et les risques que votre entreprise prend et de trouver des moyens de les atténuer avec les outils dont vous disposez. Parfois, le correctif n’est pas quelque chose que vous pouvez accomplir aujourd’hui. J’ai travaillé sur un incident que je ne sais pas il y a peut-être une décennie il y a une enquête médico-légale sur l’un de leurs actifs les plus critiques infectés par Conficker.

Je ne sais pas si vous vous souvenez de Conficker et que cette machine pourrait encore être compromise aujourd’hui parce qu’ils ont répondu que cette machine nous fait trop d’argent par minute. Il faisait un processus qui leur rapportait trop d’argent. Leur décision a été de l’aplanir juste pour le retirer du réseau, de le laisser continuer à fonctionner, mais il est resté infecté. En fait, je pense qu’ils ont mis une inscription sur elle comme ne pas se connecter au réseau et c’est comme ça qu’ils ont résolu le problème. Parce que d’un point de vue professionnel, il ne valait pas la peine de mettre hors service cette machine et de risquer le revenu qui y est associé. Ils préfèrent simplement mettre le traitement informatique dans un état compromis.

Je suis sûr qu’il y a beaucoup de machines Windows XP là-bas encore en production dans une certaine mesure, non. De la même manière où nous avons le bon outil en place bien que le WAF soit génial, le correctif virtuel est un exemple génial où bon, nous ne pouvons pas le corriger maintenant. Que faisons-nous dans l’intervalle? Comment pouvons-nous résoudre cela et en tirant parti de votre expertise, je pense que c’est une excellente recommandation, une sorte de question nuancée.

Je pensais qu’avec un ASM, il y aurait une différence entre sur site et cloud ? Les résultats changeraient-ils, la valeur de l’outil changerait-elle? En quoi s’attendrait-il à ce que ces deux solutions diffèrent?

Chris Herrera : Oh, wow. Immédiatement je pense, donc il pourrait y avoir tant de changements. En fin de compte, ils font juste la même chose en ce qui concerne l’objectif, qui est d’identifier l’inventaire, de déterminer où sont les vulnérabilités, etc. Mais sur site par rapport au cloud, c’est en quelque sorte ; je veux dire, c’est similaire à beaucoup de produits de sécurité et aux évolutions qu’ils ont tous prises au cours de la dernière décennie.

À votre avis, en ce qui concerne les WAFs, au moins ceux-ci étaient entièrement sur site seulement. Ce sont des machines très coûteuses de plusieurs centaines de milliers de dollars qui étaient limitées à vous savez autant de puissance de traitement que cette machine peut gérer et maintenant la plupart d’entre elles sont basées sur le cloud et les utilisateurs n’ont pas besoin de se soucier de la quantité de trafic qu’ils peuvent inspecter ou quoi que ce soit le long de ces lignes. Ainsi, avec un ASM basé sur le cloud et sur site, cela aurait beaucoup de similitudes en ce qui concerne les capacités techniques et les capacités informatiques.

Mais pas seulement cela. Il aurait la dichotomie de savoir qui est responsable de faire les changements pour l’architecture sous-jacente. Vous achetez la pièce de matériel, et ensuite vous devez vous assurer que toutes ces choses fonctionnent. S’il s’agit d’une solution basée sur le cloud, elle peut relever de la responsabilité de la personne qui achète ou utilise le service et qui paie les droits d’utilisation du service. En outre, ils disposeraient de fonctionnalités différentes, très similaires à celles des produits de sécurité sur site par rapport aux autres produits de sécurité basés sur le cloud.

Ainsi, un ASM basé sur le cloud aurait probablement beaucoup plus de capacités en termes de numérisation proactive en dehors de son propre réseau et de numérisation sur Internet dans le monde entier. Alors que dans mon esprit du moins, une solution sur site pourrait être limitée à son propre environnement. Ce qui pourrait avoir du sens si c’est tout ce dont vous vous souciez. Mais si vous voulez voir ce qui existe d’autre ou ce qui est disponible pour les attaquants de leur point de vue contre votre environnement, ce serait également une considération.

Jeff Patzer : J’ajouterais à ça, Chris. Je pense que parfois, les gens pensent sur place que vous possédez du matériel, vous exécutez votre propre matériel. Je pense qu’il en est ainsi depuis longtemps. Mais il peut aussi y avoir cette idée d’un prem où vous exécutez votre propre logiciel, vous en possédez la propriété. Prenons comme un package open source d’un certain type, là où vous avez décidé que, plutôt que de construire quelque chose à partir de zéro par vous-même, vous allez prendre une chose open source existante, vous allez l’exécuter dans votre propre réseau cloud d’un certain type, mais vous gérez son exécution, d’accord.

L’objectif général est que, plutôt que de savoir que vous achetez un service tiers pour lequel vous payez et qu’ils gèrent, vous êtes en fait propriétaire de la gestion, même s’il s’exécute toujours sur un cloud scale. Pour moi, le résultat est toujours le même, comme si vous deviez faire les mêmes choses que vous faisiez, que vous utilisiez un logiciel tiers ou que vous exécutiez votre propre package open source, quel qu’il soit. Je pense qu’à ce stade, pour essayer de le distinguer, ce n’est pas une grande utilisation du temps parce qu’à la fin de la journée, ils sont tous exposés sous une forme ou une autre et cela peut passer de super simple à très complexe et tout ce qui capture ce qui est important.

Tom Gorup : Oui, c’est intéressant. La seule différence, et c’était un peu remarquable dans mon esprit, était la nature distribuée du cloud et la capacité de scanner à partir de différents endroits du globe. À quoi ressemble mon réseau en Chine ? À quoi ressemble-t-il de la Russie ? À quoi ressemble-t-il en Lettonie, par rapport à peut-être où se trouvent mes clients ? À quoi cela ressemble-t-il de leur point de vue ? Peut-être être capable de découper le monde de cette façon et de le gérer différemment pourrait être intéressant. Mais en même temps, vous savez, avec l’utilisation croissante des réseaux ORB, et des boîtes de relais opérationnelles, et vous savez, le geofencing est effectivement mort. Ça ne devrait pas avoir d’importance. Nous devrions le verrouiller, peu importe d’où il vient.

Ça a été génial. Jeff, laisse-moi ouvrir toutes les dernières réflexions sur la gestion de la surface d’attaque. Réflexions finales.

Jeff Patzer : en fin de compte, je considère ASM comme un autre outil pour vous donner un aperçu des choses que vous construisez, des choses dont vous devez être conscient. Je l’ai déjà dit, je le répète, je le dis tout de suite. Aucun outil ne peut remplacer la pensée critique. En fin de compte, vous devez regarder ce qu’il vous dit et vous devez comprendre cela pour être en mesure de faire quelque chose qui a du sens avec cela. Vous pouvez acheter tous les outils du monde, mais si vous n’allez pas rester assis là et penser à ce que j’essaie d’accomplir, alors à la fin de la journée, cela ne vous sera d’aucune utilité.

Chris Herrera : Oui. Mes dernières pensées vont être que certaines personnes pourraient penser à ça comme un peu un flic-out, mais l’IA ne va évidemment nulle part de sitôt, et si quoi que ce soit, elle aura juste plus de place partout où vous allez. Pour Jeff où il a mentionné qu’il n’y a pas de substitut à la pensée critique, j’utilise l’IA spécifiquement chat, ChatGPT presque tous les jours pour mon travail et évidemment ça ne peut pas faire mon travail pour moi, mais ça me met définitivement dans la bonne direction. La raison pour laquelle je soulève ceci est pour ASM, en termes de recommandations, en termes de pas en avant, mais aussi en termes de volume de données qui peuvent être présentées dans la sortie d’un outil comme celui-ci. Je pense qu’il va être presque impératif que l’IA, elle prenne un certain rôle, qu’elle soit énorme, qu’elle soit petite en termes de présentation à l’homme et de la rendre humainement relationnelle.

Tom Gorup : Oui, j’adore ça. J’adore ce processus de pensée, surtout quand nous combinons différents ensembles de données. Encore une fois, je reviens à la posture de sécurité, la visibilité, les expositions et les menaces. La gestion des surfaces d’attaque nous procure une grande visibilité, une grande partie des expositions, qui sont liées à vos menaces. Celles-ci deviennent des entrées pour vous aider à prendre des décisions et à ajuster votre posture de sécurité dans son ensemble. Mais pour Jeff, la pensée critique est une exigence. Vous ne pouvez pas simplement le régler et l’oublier. Comme n’importe quel outil. Et à votre avis, l’IA n’est pas toujours pertinente, comme si vous ne pouviez pas faire votre travail pour vous, mais elle peut vous guider.

Je pense que c’est une conversation géniale, très amusante, et je pourrais probablement passer encore 30-40 minutes à parler de la gestion des surfaces d’attaque et à creuser tous les trous de lapin. Mais nous devons arrêter. C’est tout ce que nous avons pour aujourd’hui. Merci de vous joindre à nous sur ThreatTank.

Pour rester à jour avec les dernières informations sur les menaces d’Edgio, vous pouvez vous abonner en ligne à edg.io. Jeff et Chris, merci d’être de nouveau venus. C’était génial. Je vous suis reconnaissant pour votre temps.