alswart - stock.adobe.com

Gestion de la surface d’attaque : un large éventail d’outils

Si le marché de gestion de la surface d’attaque exposée est encore jeune, du moins dans sa désignation, le nombre d’outils et services disponibles est déjà important.

Cet article est extrait d'un de nos magazines. Téléchargez gratuitement ce numéro de : Information Sécurité: Information sécurité 22 : Contre les cyberattaques, connaître ses faiblesses

De premières acquisitions sont déjà survenues sur le marché de la gestion de la surface d’attaque. On pense bien sûr au rachat de Bit Discovery par Tenable début 2022 – ou encore à plusieurs chez Rapid7. Mais il faut aussi compter avec ceux de BinaryEdge par Coalition début 2020, d’Expanse par Palo Alto Networks à la fin de cette même année, de RiskIQ par Microsoft à l’été 2021, ou encore de SecurityTrails par Recorded Future en janvier. Pour autant, nombre d’acteurs indépendants sont encore présents sur le marché – outre Patrowl et Uncovery, traités séparément dans le magazine Information sécurité numéro 22.

Bishop Fox

Ce spécialiste de la sécurité offensive fondé en 2005 a développé la plateforme Cosmos. Celle-ci propose une vision complète et détaillée de cibles potentielles exposées par l’entreprise, tout en mettant en évidence les découvertes les plus critiques. Pour cela, la plateforme assure une émulation d’attaques potentielles sur les cibles identifiées, suivant des scénarios observés dans la réalité.

BinaryEdge (racheté par Coalition)

Opérant de manière indépendante malgré son rachat en 2020, BinaryEdge propose un service qui ne déroutera pas les utilisateurs d’Onyphe et de Shodan. La vision sur les actifs exposés est plus technique qu’avec d’autres outils et services de gestion de la surface exposée, mais elle n’en est pas moins complète et détaillée. Le service surveille également les torrents et les fuites de données. Les services de déport d’affichage exposés sur Internet sans protection font l’objet de captures d’écran.

Censys

Fondé en 2017, Censys permet de surveiller sa surface d’attaque exposée par le biais des balayages externes réalisés par ses sondes, en IPv4 et IPv6. Le service est notamment connu pour son travail de référencement des certificats numériques, qui permet d’aller plus loin dans la découverte que la seule utilisation des enregistrements DNS et, le cas échéant, d’identifier des systèmes imposteurs.

CyberInt

Fondé en 2010, Cyberint base ses services de gestion de la surface d’attaque sur sa plateforme Argos Edge. Mais l’entreprise va plus loin dans la gestion du risque cyber avec des services de renseignement sur les menaces, de surveillance du Web profond et du Dark Web, ou encore des réseaux sociaux. Sa plateforme s’intègre avec de nombreux outils tiers, de détection, de gestion d’alertes, ou encore de collaboration.

Cyberpion

Fondée en 2016, la jeune pousse propose une plateforme de gestion de la surface d’attaque, qui se distingue par l’intégration de capacités d’analyse des services Web exposés à la recherche d’éventuelles vulnérabilités. Elle couvre aussi l’analyse des configurations des actifs Cloud, des enregistrements DNS, des certificats de PKI, ou encore des configurations TLS. Cyberpion revendique également des capacités de prévention d’exploitation de certaines faiblesses identifiées par sa plateforme.

CyCognito

Fondé en 2017, CyCognito explique que sa plateforme est capable de hiérarchiser les risques découverts en fonction de leur impact métier. Mais elle intègre aussi la connaissance de la disponibilité d’exploits connus pour les vulnérabilités découvertes afin d’ajuster la priorité de traitement en fonction du risque. La plateforme a en outre été développée en tenant compte de plusieurs frameworks de sécurité et de conformité – sectorielle et réglementaire.

Cymulate

Cette jeune pousse a été fondée en 2016 et en est à sa troisième levée de fonds. Elle positionne sa plateforme SaaS sur le terrain de la « gestion étendue de la posture de sécurité » et revendique l’automatisation de l’évaluation du risque, de bout en bout. Outre la gestion de la surface d’attaque exposée, la plateforme de Cymulate supporte la simulation de brèches et d’attaques.

FireCompass

Né il y a trois ans, FireCompass propose une plateforme SaaS présentée notamment comme un outil de « Red Teaming continu automatisé ». Cette désignation ne manque pas d’une certaine pertinence puisqu’il s’agit de procéder comme pourrait le faire un éventuel attaquant : assurer une reconnaissance de la surface exposée, puis lancer l’offensive en fonction des faiblesses identifiées. FireCompass revendique la capacité de sa plateforme à mener de manière automatique, mais inoffensive pour le système d’information.

Intruder.io

Cette jeune pousse britannique fondée en 2015 propose une plateforme SaaS traitant la surface d’attaque exposée, en se penchant aussi sur les vulnérabilités des actifs Web. Un composant de la plateforme ajoute automatiquement les adresses IP publiques des actifs Cloud sur AWS, Azure et GCP à la surface exposée à surveiller.

Ivanti

La plateforme Neurons d’Ivanti supporte la découverte et la surveillance des actifs exposés et permet de hiérarchiser la gestion des vulnérabilités suivant la disponibilité publique d’exploits et la fiabilité des correctifs.

Mandiant

La plateforme Advantage de Mandiant intègre un modèle de gestion de la surface d’attaque. Plus de 250 intégrations pour la découverte des actifs proposés sont revendiquées pour la plateforme, ainsi que plus de 60 000 technologies identifiables et plus de 10 000 vulnérabilités. Google a annoncé le rachat de Mandiant début mars 2022.

Onyphe

Souvent présenté comme le Shodan français, ce moteur de recherche spécialisé balaie Internet à intervalles réguliers et analyse les systèmes découverts, jusqu’à la recherche de la présence de certaines vulnérabilités critiques susceptibles d’être exploitées par des attaquants. Onyphe a déjà aidé de nombreuses entreprises à prévenir de tels assauts.

Palo Alto Networks

Palo Alto Networks s’est invité sur le marché de la gestion de la surface d’attaque fin 2020, avec l’acquisition d’une jeune pousse fondée en 2012, Expanse. Peu après, l’équipementier lançait le service Cortex Xpanse, basé sur ce rachat, en visant notamment les PME.

Randori

La plateforme de cette jeune pousse fondée en 2018 recouvre à la fois la reconnaissance, avec la découverte de la surface d’attaque, et la mise à l’épreuve de cette dernière, en continu, en simulant les activités d’attaquants.

La plateforme de Randori peut s’intégrer notamment avec les outils de ServiceNow, Tenable, Palo Alto Networks, Splunk, IBM Qradar, et même TheHive.

RiskIQ (racheté par Microsoft)

Malgré son rachat par Microsoft, RiskIQ continue d’opérer de manière autonome. Son service Illuminate permet non seulement de surveiller sa surface d’attaque, mais aussi de le faire dans la perspective des menaces connues.

Reposify

La plateforme de cette start-up créée en 2016 intègre les capacités de découverte habituelles, mais joue la carte d’une présentation qui rappelle les outils et services de notation de la posture de sécurité, en établissant une note de risque. La plateforme peut générer automatiquement un plan d’action hiérarchisé pour aider à traiter les faiblesses observées.

SecurityTrails (racheté par RecordedFuture)

Cette jeune pousse créée en 2017, et connue initialement sous le nom de DNSTrails, continue d’opérer de manière indépendante malgré son rachat par RecordedFuture. Elle est notamment bien connue pour ses données d’historique des enregistrements DNS ; mais sa plateforme va au-delà, proposant une analyse de la surface d’attaque recouvrant hôtes, services et certificats, notamment.

Shodan

L’incontournable moteur de recherche spécialisé dans les services exposés sur Internet a ouvert, en 2019, un service dédié à leur surveillance : il suffit d’indiquer des adresses IP ou plages d’adresses à surveiller et de sélectionner des déclencheurs, à savoir des observations qui provoqueront l’émission automatique d’alertes. En décembre 2021, Qualys a annoncé s’associer à Shodan pour aider à la gestion de la surface d’attaque externe.

SOCRadar

Fondée en 2018, cette jeune pousse joue la carte de la surveillance complète du risque cyber. Cela passe bien sûr par la gestion de la surface d’attaque externe. Mais SOCRadar y ajoute un service de surveillance en continu de Web profond et du Dark Web, ainsi que des buckets de stockage en mode cloud. Un troisième volet s’ajoute à l’édifice avec l’intégration de sources de renseignement sur les menaces.

Spiderfoot

Bien connu des adeptes de renseignement en sources ouvertes, Spiderfoot permet d’automatiser le balayage et l’analyse d’un périmètre donné. L’outil est disponible en Open Source, mais également en service SaaS, la mouture HX. Cette dernière peut être utilisée gratuitement pour des besoins limités. Mais même au-delà, la tarification s’avère assez agressive.

Sweepatic

Cette jeune pousse belge, fondée fin 2016, se présente comme le leader européen de la gestion de la surface d’attaque externe. Sa plateforme présente de fait un éventail fonctionnel large, applicable à de nombreux cas d’usage, depuis la notation de la posture de sécurité jusqu’à la protection de marque.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close