Rapid7 : la cybersécurité est bloquée dans les années 1980 alors que les menaces se multiplient

De nombreuses tactiques défensives sont restées bloquées dans les années 1980, estime Craig Adams, responsable en chef des produits chez Rapid7, malgré l'intensité des activités malveillantes.

Selon lui, un test d'intrusion annuel des actifs connus n'est plus suffisant. En réponse, Rapid7 aide ses clients à évaluer, découvrir, surveiller et mobiliser en permanence les menaces dans l'ensemble de leur environnement.

"Selon les statistiques de Gartner, seules 17 % des organisations peuvent identifier 95 % de leur surface d'attaque exposée. Cela signifie qu'une organisation typique ignore 20 à 25 % de son environnement", analyse-t-il. Et de résumer : "si je vous dis qu'il y a trois portes, vous pouvez verrouiller trois portes. Si je ne vous dis pas combien il y a de portes, il est difficile de les verrouiller toutes".

La surface d'attaque d'une organisation typique change deux fois par semaine, estime-t-il, qu'il s'agisse d'une identité ayant accès à un nouveau système, à un compte cloud ou à un appareil : "l'approche unique que Rapid7 adopte en tant que plateforme ouverte est que nous apportons notre vision native de ce que nous détectons nous-mêmes [...]. [mais] nous reconnaissons que les clients ont investi dans différents outils pour une bonne raison".

Selon lui, Rapid7 croit "passionnément que la sécurité commence par une vision ouverte de l'ensemble de la surface d'attaque, qui n'est pas perçue par un seul fournisseur, même s'il s'agit de Rapid7, mais par tous les différents outils agrégés dans votre environnement, ce que nous aidons nos clients à faire".

Pour ce faire, Rapid7 utilise l'IA pour créer une vue globale de la surface d'attaque d'un client en regroupant les données et les renseignements de tous ses différents outils en une vue unifiée. Une fois la visibilité établie, l'étape suivante consiste à hiérarchiser en permanence les expositions.

Craig Adams affirme dès lors qu, "tous les clients que je rencontre, lorsqu'ils examinent cette question, découvrent que l'exécution des politiques n'est pas cohérente dans leur propre environnement. Il y a des actifs sans point d'extrémité. Il y a des conteneurs dans le cloud qui sont visibles de l'extérieur alors qu'ils ne devraient pas l'être. Il y a des identités sans MFA, mais nous sommes en mesure de rassembler tout cela grâce à l'IA".

L'IA est également utilisée pour aider les organisations à comprendre les risques les plus importants et les guider vers les tâches de remédiation nécessaires. Cela permet de réagir plus rapidement, que les mesures correctives soient automatisées ou non.

"La plupart des organisations donnent la priorité aux expositions les plus importantes dans leur environnement presque par acronyme Gartner", estime Craig Adams, faisant référence aux expositions révélées par DAST (test dynamique de sécurité des applications), CNAPP (plateforme de protection des applications cloud-native), et les systèmes de gestion des vulnérabilités sur site, ainsi qu'aux expositions d'identités.

"Pour une organisation de taille moyenne, c'est une façon fondamentalement inefficace d'établir des priorités... Il faut examiner les risques de manière globale dans l'ensemble de l'environnement", observe-t-il. Les priorités devraient plutôt être établies en fonction du risque global de l'organisation.

En tant que fournisseur de services de détection et de réponse, Rapid7 peut observer les attaques réelles et les méthodes utilisées. Ces informations sont ensuite appliquées à l'environnement d'un client, en tenant compte des contrôles compensatoires en place.

"La façon dont on gagne ou perd en matière de sécurité dépend de la manière dont on établit les priorités", juge Craig Adams : "nous savons tous que chaque équipe de sécurité a une longue liste de choses à faire. La façon dont nous pouvons aider une organisation à établir des priorités en fonction des risques est un facteur clé dans la protection de l'entreprise moderne".