La surface d’attaque : son utilité, ses limites, ses nouveaux défis

Magazine
Marque
MISC
Numéro
98
Mois de parution
juillet 2018
Domaines


Résumé

La surface d’attaque est une notion essentielle en cybersécurité. Nous proposons dans cet article un rappel des divers éléments de sa définition (partie 1), puis formulons quelques hypothèses relatives à l’objectif de réduction de la surface d’attaque, qui se heurte à plusieurs difficultés (partie 2). Enfin, dans une visée plus prospective, nous interrogeons-nous sur les effets potentiels de l’intelligence artificielle sur la définition de la surface d’attaque (partie 3).


1. Définitions, enjeux

C’est au tournant des années 1990-2000 que l’on voit apparaître la notion de « surface d’attaque ». Ainsi apparaît-elle depuis dans des articles qui en proposent définitions, modèles formels [1], taxonomies [2], métriques [3], méthodes d’analyses (pour des environnements et applications particuliers tels que BlackBerry [4], Windows [5], Cloud, web browser [6], mobiles [7] ; ou pour des dimensions spécifiques telles que la surface d’attaque humaine [8]...), méthodes de réduction [9].

1.1. Définitions

La notion de surface d’attaque est aujourd’hui centrale en cybersécurité, gestion du risque et de la menace. Les évolutions technologiques incessantes conjuguées à l’expansion accélérée du cyberespace (cloud computing, Internet des objets [10]) contribuent par ailleurs à une remise en question constante de la notion, de son approche.

La « surface d’attaque » désigne « les potentielles vulnérabilités qui...

Cet article est réservé aux abonnés. Il vous reste 96% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite
Références

[1] Pratyusa K. Manadhata, et alt., « A formal model for a system’s attack surface », juillet 2007, 21 pages

[2] Nils Gruschka, Meiko Jensen, « Attack surfaces : a taxonomy for attacks on Cloud services », 2010, IEEE Conference, 3rd international conference on Cloud Computing, pp.276-279

[3] Eric Osterweil, Danny McPherson, Lixia Zhang, « The shape and size of threats: defining a networked system’s attack surface », 2014, IEEE, 6 pages

[4] James O’Connor, « Attack surface analysis of BlackBerry Devices », Symantec Security Response, Ireland, 39 pages (rapport non daté)

[5] James Hoagland, et alt., « Windows Vista Network Attack Surface Analysis », Symantec Advanced Threat Research, 116 pages. (rapport non daté)

[6] Erwan Abgrall et alt., « Empirical investigation of the Web browser attach surface under Cross-site scripting: an urgent need for Systematic security regression testing », 2014 IEEE International Conference on Software Testing, Verification, and Validation Workshops, 8 pages

[7] Mark Sherman, Attack surfaces for mobile devices, Proceedings of the 2nd International Workshop on Software Development Lifecycle for Mobile, pp. 5-8, 2014

[8] Edwards, Matthew, « Panning for gold: Automatically analysing online social engineering attack surfaces », Computers & security, Volume 69, n° 1, août 2017, pp.18-34

[9] Akashdeep Bhardwaj, Sam Goundar, « Reducing the threat surface to minimize the impact of cyberattacks », Network Security, Volume 2018, n° 4, avril 2018, pp. 15–19

[10] Daniel Miessler, « Securing the Internet of Things: mapping attack surface areas using the OWASP IoT Top 10 », RSA Conference 2015, San Francisco, 20-24 avril 2015, présentation PowerPoint, 54 pages

[11] Eric Osterweil, Danny McPherson, Lixia Zhang, « The shape and size of threats: defining a networked system’s attack surface », 2014, IEEE.

[12] Stephen Northcutt, « The Attack Surface Problem », SANS Technology Institute, https://www.sans.edu/cyber-research/security-laboratory/article/did-attack-surface

[13] « Analyse et réduction de la surface d’attaque », site Information-Security, https://www.information-security.fr/analayt-reduction-surface-dattaque/

[14] « Attack your attack surface », rapport de Skybox Security, mars 2016, 13 pages, https://www.skyboxsecurity.com/sites/default/files/Attack%20Surface%20Visualization.pdf

[15] Michael Howard, « Fending off future attacks by reducing attack surface », Microsoft, février 2003

[16] Anil Kurmus et alt., « Attack surface metrics and automated compile-time OS kernel tailoring », 17 pages, https://www.ibr.cs.tu-bs.de/users/kurmus/papers/kurmus-ndss13.pdf - Joshua A. Meek, Wayne Zage, « M.I.D.A.S.: metrics identification of attack surfaces », Master Thesis, Department of Computer Science, Ball State University, Indiana, USA, 2012

[17] Pratyusa K. Manadhata, « Attack Surface Measurement », http://mlsec.info/project/attacksurface/

[18] Eric Osterweil, Danny McPherson, Lixia Zhang, « The shape and size of threats: defining a networked system’s attack surface », 2014, IEEE

[19] Department of Defense, DoD Cybersecurity Discipline, Implementation Plan, octobre 2015 (version amendée en février 2016), 27 pages

[20] Improving Cyber Basics. DoD Cyber Discipline Implementation Plan and DoD Cyber Scorecard, Décembre 2016, 10 slides

[21] Moritz Lipp, et alt., « Meltdown », 2018, 16 pages, https://meltdownattack.com/meltdown.pdf

[22] Department of Defense, « The DoD Cyber Strategy », avril 2015, Washington, 42 pages

[23] Amar Toor, « Singapore will ban civil servants from using the internet », 24 août 2016, site Theverge.com, https://www.theverge.com/2016/8/24/12621508/singapore-internet-ban-public-servants-cyber-attack

[24] Harold Abelson et alt., « Keys under Doormat: mandating insecurity by requiring government access to all data and communications », Computer Science and Artificial Intelligence Laboratory, Technical Report, 6 juillet 2015, 34 pages

[25] Phil Quade, « Executive Insights: using artificial intelligence to rebalance the cyber criminal advantage », 27 février 2018, site Fortinet.com, https://www.fortinet.com/blog/industry-trends/executive-insights--using-artificial-intelligence-to-rebalance-t.html

[26] Miles Brundage et alt., « The Malicious use of artificial intelligence: forecasting, prevention, and mitigation », février 2018, 101 pages

[27] Andrew B. Gardner, « Combatting Advanced Cybersecurity Threats with AI and Machine Learning », RSA Conference 2017, 13-17 février 2017, San Francisco, présentation PowerPoint, 33 pages

[28] Maria Korolov, « How AI can help you stay ahead of cybersecurity threats », site CSOOnline.com, 19 octobre 2017, https://www.csoonline.com/article/3233951/machine-learning/how-ai-can-help-you-stay-ahead-of-cybersecurity-threats.html

[29] Moises Danziger, Marco Aurelio, Amaral Henriques, « Attacking and Defending with Intelligent Botnets », 3-7 septembre 2017, Brésil, 5 pages, XXXV Simposio Brasileiro de Telecomunicaçoes e Processamento de Sinais

[30] « Les deep fakes, des vidéos truquées au fort potentiel de nuisance », 29 mars 2018, Site rts.ch, https://www.rts.ch/info/sciences-tech/technologies/9405974-les-deep-fakes-des-videos-truquees-au-fort-potentiel-de-nuisance.html



Articles qui pourraient vous intéresser...

Les taxonomies se cachent pour ne pas mourir

Magazine
Marque
MISC
Numéro
113
Mois de parution
janvier 2021
Domaines
Résumé

« Attention, nouveau virus ! » Nombreux sont les articles à nous alerter régulièrement, par cette métonymie, sur l’émergence d’un nouveau malware. Pourtant, le terme de virus a-t-il encore un sens aujourd’hui ? Wannacry était-il un ver, ou un ransomware ? NotPetya, un wiper, ou bien un ver ? Et plus encore, au-delà de l’utilisation de termes et expressions se pose la question de la nécessaire catégorisation des incidents de cybersécurité ; pourquoi, comment, à quelles fins ? Essai (critique) de réponse.

Covid-19, télétravail : mise en œuvre d’accès distants sécurisés pour se rapprocher du SI

Magazine
Marque
MISC
Numéro
111
Mois de parution
septembre 2020
Domaines
Résumé

Les mesures de confinement prises par le gouvernement mi-mars 2020 pour contrer la propagation du Covid-19 ont poussé les entreprises et administrations de toutes tailles à promouvoir le télétravail. Cet article présente le retour d’expérience d’une partie de l’équipe EDF en charge des « accès distants sécurisés » pendant cette période.

Télétravail : une sécurité à repenser et une nouvelle organisation à encadrer

Magazine
Marque
MISC
Numéro
111
Mois de parution
septembre 2020
Domaines
Résumé

Entre mode et nécessité, le télétravail nous oblige à repenser notre organisation du travail et les règles de sécurité associées. Comment mettre en place ces nouveaux modèles sans risque pour l’entreprise et ses salariés ?

Introduction au dossier : Télétravail : comment ne pas sacrifier la sécurité ?

Magazine
Marque
MISC
Numéro
111
Mois de parution
septembre 2020
Domaines
Résumé

Le dossier du précédent numéro traitait du concept de « Zero Trust ». Le numéro actuel est en quelque sorte une suite logique : nous passons d’un idéal où l’accès distant est possible « par design », à une réalité où il a fallu faire des choix fonctionnels et être conciliant avec la sécurité.

Surveillance des accès de production en télétravail

Magazine
Marque
MISC
Numéro
111
Mois de parution
septembre 2020
Domaines
Résumé

Il est courant de protéger l'accès aux infrastructures de production au travers de VPN ou de bastions SSH, et beaucoup d’organisations limitent encore ces points d'entrée à leur infrastructure interne. Lorsque l'organisation passe en mode télétravail à 100%, il faut forcément permettre l'accès depuis des adresses IP arbitraires, et se pose alors la question de surveiller ces accès pour détecter et bloquer rapidement une tentative d'accès malveillante.