La gestion continue de l’exposition aux menaces (CTEM) est un programme, pas un produit. Sa promesse est simple : définir en permanence ce qui compte, découvrir les expositions, prioriser par risque réel, validez les correctifs et mobilisez les améliorations, de manière répétée. La plupart des équipes comprennent le cycle mais ont encore du mal à atteindre le CTEM fondé sur des preuves. C’est là signaux extérieurs intérieurs Entrez.
Pourquoi « l’extérieur et l’intérieur » est important
La télémétrie interne (EDR, SIEM, CSPM, XDR) vous informe de ce qui se passe à l’intérieur votre succession. Mais attaquants première étape sur l’Internet ouvert : sondage des plages, tourner en rond infrastructure, tester les informations d’identification ou cloner des domaines similaires. La capture de ces signaux externes vous donne un indicateur avancé de ce qui pourrait arriver demain. Considérez cela comme une extension de votre périscope au-dessus de la ligne de flottaison : vous voyez le sillage de la menace avant qu’elle n’atteigne la coque.
Comment les signaux extérieurs contribuent à chaque phase CTEM
Portée: commencez par cartographier les actifs publics, les plages d’adresses IP détenues, les applications à forte valeur ajoutée et les périphéries tierces. Les sources externes aident à confirmer ce qui est réellement exposé par rapport à ce qui est simplement inventorié.
Découvrir: enrichissez votre liste d’exposition avec des interactions adverses : analyses ciblées, usurpation d’identité de domaine, modèles d’abus d’informations d’identification ou infrastructure de campagne touchant votre espace. Cela transforme une faiblesse théorique en risque observable.
Prioriser: Tous les CVE critiques ne sont pas égaux. Si un trafic hostile cible activement un service ou une fonction commerciale, il passe en première ligne. Attachez la priorité à l’intérêt des acteurs et à l’activité de la campagne, et non aux seuls scores de gravité.
Valider: Après la remédiation, surveillez la décroissance du signal (une baisse des intérêts hostiles contre le même actif). Cela fournit des preuves tangibles que le risque diminue, ce qui est utile pour les dirigeants et les auditeurs.
Mobiliser: Introduisez ces signaux dans les workflows de gestion de cas, SOAR et de retrait. Créez des playbooks qui attribuent des propriétaires, des résultats attendus et des correctifs limités dans le temps, puis mesurez le suivi.
Que collecter (indépendamment des outils)
- Ciblage de la télémétrie : analyse et sonde vos adresses IP/domaines, les tendances de fréquence et les zones géographiques.
- Liens d’infrastructure adverses : domaines, adresses IP, ASN et modèles d’hébergement associés aux campagnes connues.
- Signaux d’usurpation d’identité/fraude : fautes de frappe, abus de marque, kits de phishing et applications mobiles similaires.
- Conseils sur les informations d’identification/identité : fuite de modèles d’informations d’identification ou tentatives d’authentification anormales sur les interfaces publiques.
- Signaux de changement : pics soudains d’attention portés à un joyau de la couronne ou nouvelles voies d’attaque via des tiers.
4 étapes pour la mise en œuvre programmatique des signaux extérieurs-intérieurs pour CTEM
1. Définir les portées et les SLO (objectif de niveau de service : regrouper les actifs par service commercial (paiements, portail patient, ligne OT). Définissez des SLO comme le « délai de signalement silencieux » (TTSQ) : le temps écoulé entre la correction et la baisse mesurable de l’intérêt hostile.
2. Intégrez les flux : ingérez les événements externes dans vos files d’attente existantes. Utilisez des étiquettes pour la portée, le propriétaire de l’actif et l’impact commercial, afin que le routage soit automatique.
3. Automatisez les décisions : si l’intérêt de l’adversaire augmente pour un joyau de la couronne, ouvrez automatiquement un ticket, bipez le propriétaire et déclenchez une validation ciblée (simulation d’attaque ou test de contrôle).
4. Mesurez, puis itérez : rapportez mensuellement le TTSQ, le taux de combustion de l’exposition, le taux de validation et le temps moyen entre le « signal vu » et le « contrôle vérifié ».
Où Signaux de l’adversaire OpenText Core convient
Vous n’avez pas besoin de ré-architecturer pour commencer. De nombreuses équipes commencent par enrichir CTEM avec une source de signal externe. Un exemple est Signaux de l’adversaire OpenText Core (OCAS), qui surveille l’activité des adversaires à l’échelle Internet et l’associe à vos étendues. Traitez-les comme un carburant de données : consommez ce qui est pertinent (ciblage, emprunt d’identité, infrastructure), intégrez-le à vos flux de travail et mesurez les résultats. Gardez votre outil de messagerie indépendant ; la valeur est le programme que vous exécutez.
Les pièges à éviter
- Inventaire sans intention : une liste d’actifs géante n’est pas du CTEM. Liez chaque actif à l’impact commercial et aux intérêts extérieurs.
- Vision tunnel de gravité : les CVE critiques sans aucune attention de la part de l’adversaire peuvent attendre derrière des problèmes de gravité moyenne soumis à une attaque active.
- Pas de boucle de validation : si vous ne pouvez pas prouver la dégradation du signal après un correctif, vous devinez et ne gérez pas les risques.
Conclusion: CTEM est efficace lorsqu’il est continu, informé de l’adversaire et mesurable. Les signaux extérieurs vous donnent les indications les plus précoces et les plus claires sur ce qu’il faut réparer ensuite et la preuve que ce que vous avez réparé effectivement changé votre risque. C’est ainsi que les opérations de sécurité passent de la recherche d’alertes à la gestion de l’exposition.
Le poste Les signaux extérieurs-intérieurs qui font fonctionner le CTEM est apparu en premier sur Blogues OpenText.
Source link