Qu’est-ce que la découverte ?
Vue d’ensemble
Microsoft Defender External Attack Surface Management (Defender EASM) s’appuie sur notre technologie de découverte propriétaire pour définir en permanence la surface d’attaque Internet unique de votre organisation. La découverte analyse les ressources connues détenues par votre organisation pour découvrir les propriétés précédemment inconnues et non surveillées. Les ressources découvertes sont indexées dans l’inventaire d’un client, fournissant un système dynamique d’enregistrement d’applications web, de dépendances tierces et d’infrastructure web sous la gestion de l’organisation via une même vitrine.
Grâce à ce processus, Microsoft permet aux organisations de surveiller de manière proactive leur surface d’attaque numérique en constante évolution et d’identifier les risques émergents et les violations de stratégie à mesure de leur apparition. De nombreux programmes de vulnérabilité n’ont pas de visibilité en dehors de leur pare-feu, ce qui leur fait ignorer les risques et menaces externes, la source principale des violations de données. Dans le même temps, la croissance numérique continue à dépasser le développement des capacités d’une équipe de sécurité d’entreprise. Les initiatives numériques et l’« informatique fantôme » conduisent à une surface d’attaque en expansion à l’extérieur du pare-feu. À ce rythme, il est presque impossible de valider les contrôles, les protections et les exigences de conformité. Sans Defender EASM, il est presque impossible d’identifier et de supprimer les vulnérabilités, et les outils d’analyse ne peuvent pas aller au-delà du pare-feu pour évaluer la surface d’attaque complète.
Fonctionnement
Pour établir une cartographie complète de la surface d’attaque de votre organisation, le système prend d’abord des ressources connues (appelées « seeds ») qui sont analysées de manière récursive pour découvrir des entités supplémentaires à travers leurs connexions à un seed. Un seed peut être l’un des types d’infrastructure web indexés par Microsoft :
- Domaines
- Blocs d’adresses IP
- Hôtes
- Contacts par e-mail
- ASN
- Organisations Whois
En partant d’un seed, le système découvre ensuite des associations avec d’autres infrastructures en ligne pour découvrir d’autres ressources appartenant à votre organisation ; ce processus crée au final l’inventaire de votre surface d’attaque. Le processus de découverte utilise les seeds comme nœuds centraux et s’étend vers la périphérie de votre surface d’attaque en identifiant toutes les infrastructures directement connectées au seed, puis en identifiant tous les éléments liés à chacun des éléments du premier ensemble de connexions, etc. Ce processus se poursuit jusqu’à ce que nous atteignions la limite de ce que votre organisation est chargée de gérer.
Par exemple, pour découvrir l’infrastructure de Contoso, vous pouvez utiliser le domaine, contoso.com, comme seed Keystone initial. À partir de ce seed, nous pourrions consulter les sources suivantes et dériver les relations suivantes :
Source de données | Exemple |
---|---|
Enregistrements WhoIs | D’autres noms de domaine enregistrés sous le même e-mail de contact ou la même organisation que pour l’inscription de contoso.com appartiennent probablement aussi à Contoso |
Enregistrements WhoIs | Tous les noms de domaine inscrits à n’importe quelle adresse e-mail @contoso.com appartiennent probablement à Contoso |
Enregistrements Whois | D’autres domaines associés au même serveur de noms que contoso.com peuvent également appartenir à Contoso |
Enregistrements DNS | Nous pouvons supposer que Contoso possède également tous les hôtes observés sur les domaines qu’il possède et tous les sites web associés à ces hôtes |
Enregistrements DNS | Les domaines avec d’autres hôtes qui sont résolus sur les mêmes blocs IP peuvent également appartenir à Contoso si l’organisation possède le bloc d’IP |
Enregistrements DNS | Les serveurs de messagerie associés aux noms de domaine appartenant à Contoso appartiennent également à Contoso |
Certificats SSL | Contoso possède probablement également tous les certificats SSL connectés à chacun de ces hôtes et à tous les autres hôtes utilisant les mêmes certificats SSL |
Enregistrements ASN | Les autres blocs IP associés au même ASN que les blocs IP auxquels les hôtes sur les noms de domaine de Contoso sont connectés peuvent également appartenir à Contoso, comme tous les hôtes et domaines qui les résolvent |
À l’aide de cet ensemble de connexions de premier niveau, nous pouvons rapidement dériver un ensemble entièrement nouveau de ressources à examiner. Avant de procéder à d’autres récusions, Microsoft détermine si une connexion est suffisamment forte pour qu’une entité découverte soit automatiquement ajoutée à votre inventaire confirmé. Pour chacune de ces ressources, le système de découverte exécute des recherches automatisées et récursives basées sur tous les attributs disponibles pour rechercher des connexions de deuxième et de troisième niveau. Ce processus répétitif fournit plus d’informations sur l’infrastructure en ligne d’une organisation et découvre donc des ressources disparates qui n’ont peut-être pas été autrement découvertes et surveillées.
Surfaces d’attaque automatisées et personnalisées
Lors de la première utilisation de Defender EASM, vous pouvez accéder à un inventaire prédéfini pour votre organisation pour lancer rapidement vos workflows. À partir de la page « Prise en main », les utilisateurs peuvent rechercher leur organisation pour peupler rapidement leur inventaire en fonction des connexions de ressources déjà identifiées par Microsoft. Il est recommandé pour tous les utilisateurs de rechercher la surface d’attaque prédéfinie de leur organisation avant de créer un inventaire personnalisé.
Pour créer un inventaire personnalisé, les utilisateurs créent des groupes de découverte pour organiser et gérer les seeds qu’ils utilisent lors de l’exécution de découvertes. Les groupes de découverte distincts permettent aux utilisateurs d’automatiser le processus de découverte et de configurer la liste de seeds et la planification d’exécution récurrente.
Inventaire confirmé et ressources candidates
Si le moteur de découverte détecte une connexion forte entre une ressource potentielle et le seed initial, le système inclut automatiquement cette ressource dans l’« inventaire confirmé » d’une organisation. Comme les connexions à ce seed sont analysées de manière itérative, avec la découverte de connexions de troisième ou quatrième niveau, la confiance du système dans la propriété de toutes les ressources nouvellement détectées est inférieure. De même, le système peut détecter des ressources qui sont pertinentes pour votre organisation mais qui ne lui appartiennent pas directement.
Pour ces raisons, les ressources nouvellement découvertes sont étiquetées avec l’un des états suivants :
Nom de l’état | Description |
---|---|
Inventaire approuvé | Partie de la surface d’attaque dont vous êtes propriétaire ; élément dont vous êtes directement responsable. |
Dépendance | Infrastructure appartenant à un tiers, mais qui fait partie de votre surface d’attaque, car elle prend directement en charge l’opération de vos ressources détenues. Par exemple, vous pouvez dépendre d’un fournisseur informatique pour héberger votre contenu web. Même si le domaine, le nom d’hôte et les pages font partie de votre « Inventaire approuvé », vous souhaiterez peut-être traiter l’adresse IP exécutant l’hôte comme une « dépendance ». |
Moniteur uniquement | Ressource pertinente pour votre surface d’attaque, mais qui n’est ni directement contrôlée ni une dépendance technique. Par exemple, des franchisés indépendants ou des ressources appartenant à des sociétés associées peuvent être étiquetés « Surveiller uniquement » plutôt qu’« Inventaire approuvé » pour séparer les groupes à des fins de création de rapports. |
Candidat | Ressource qui a une relation avec les ressources seed connues de votre organisation, mais qui n’a pas suffisamment de lien pour l’étiqueter immédiatement comme « Inventaire approuvé ». Ces biens candidats doivent être examinés manuellement pour déterminer la propriété. |
Nécessite une investigation | État similaire aux états « Candidats », mais cette valeur s’applique aux ressources qui nécessitent une investigation manuelle pour validation. Cela est déterminé en fonction de nos scores de confiance générés en interne qui évaluent la force des connexions détectées entre les ressources. Elle n’indique pas tant la relation exacte de l’infrastructure à l’organisation mais plutôt que cette ressource a été marquée comme nécessitant un examen supplémentaire pour déterminer comment elle doit être catégorisée. |
Lors de l’examen des ressources, il est recommandé de commencer par les ressources étiquetées « Nécessite une investigation ». Les détails des ressources sont actualisés et mis à jour en continu au fil du temps pour maintenir une carte précise des états et des relations des ressources, ainsi que pour découvrir les ressources nouvellement créées à mesure qu’elles apparaissent. Le processus de découverte est géré en plaçant des seeds dans des groupes de découverte qui peuvent être planifiés pour se réexécuter sur une base récurrente. Une fois qu’un inventaire est rempli, le système Defender EASM analyse en permanence vos ressources avec la technologie utilisateur virtuelle de Microsoft pour découvrir des données nouvelles et détaillées sur chacune d’elles. Ce processus examine le contenu et le comportement de chaque page dans les sites applicables pour fournir des informations robustes qui peuvent être utilisées pour identifier les vulnérabilités, les problèmes de conformité et d’autres risques potentiels pour votre organisation.