FAQ sur la gestion de la surface d'attaque externe (EASM)

Ivanti Neurons for External Attack Surface Management (EASM) est issu de partenariats technologiques qui permettent la découverte des biens et la détection des expositions, en respectant des normes bien connues du secteur, comme le cadre MITRE ATT&CK, NIST, OWASP.

1. Protocoles utilisés pour la détection des biens.
   
   Les outils Ivanti Neurons for EASM utilisent des protocoles L4 et L7 pour détecter les ports ouverts et les expositions sur les biens. La couche L4 comprend UDP, TCP et ICMP. La couche L7, elle, englobe un ensemble plus large de protocoles couramment utilisés et de directives établies.

2. Comment les e-mails compromis sont-ils découverts ?
   
   Les outils Ivanti Neurons for EASM découvrent les e-mails en analysant les sources publiquement accessibles, les enregistrements DNS, les référentiels de données de violation et les flux OSINT.

3. Comment détectez-vous les fuites de données ?
   
   Ivanti Neurons for EASM intègre des informations provenant de diverses sources de sécurité fiables pour identifier les expositions potentiellement liées à des fuites de données dans une entreprise. Cela inclut la détection des références d'authentification ayant fuité, des adresses e-mail exposées et d'autres données sensibles que des ennemis pourraient exploiter. En offrant une visibilité précoce sur ces risques, Ivanti aide les entreprises à sécuriser proactivement leur surface d'attaque avant que les menaces ne se matérialisent. Nous regroupons des informations provenant de plusieurs sources vérifiées, notamment des bases de données sur les violations et des flux de recherche de sécurité, ce qui en garantit l'exactitude et la pertinence tout en maintenant une stricte confidentialité autour des méthodes de collecte.

4. Comment détectez-vous les biens, en particulier les domaines latéraux ?
   
   Le mot latéral vient de l'une des tactiques utilisées dans le cadre MITRE ATT&CK « Lateral Movement » (Mouvement latéral). Ivanti combine données accessibles au public et intelligence de sécurité pour cartographier l'écosystème de domaine étendu d'une entreprise. Cela garantit que les équipes de sécurité ont une visibilité complète sur leur surface d'attaque externe sans s'appuyer uniquement sur les inventaires de biens internes.

5. Comment déterminez-vous que le bien est vulnérable ?
   
   Les outils Ivanti Neurons for EASM évaluent les vulnérabilités en fonction de plusieurs signaux, notamment les faiblesses de sécurité divulguées publiquement, les erreurs de configuration et les logiciels obsolètes. Cette approche garantit une détection précise tout en minimisant les faux positifs, ce qui fournit aux équipes de sécurité des informations exploitables pour réduire efficacement les risques.

6. Tous les biens signalés dans EASM peuvent-ils être découverts publiquement ? Les biens sont classés Privé ou Public. Que signifie « privé » dans ce contexte ?
   
   Oui, tous les biens sont découverts publiquement, mais parfois, en raison d'une erreur de configuration DNS, le bien hôte (sous-domaine) peut être résolu sur l'une des plages IP internes. Chaque fois que l'adresse IP d'un bien correspond à l'une des plages IP internes (classes A, B et C), ce bien est marqué Privé.

7. Si une API, un ASN ou un bloc réseau (netblock) est configuré en tant que germe, l'analyse recherche-t-elle exclusivement les API similaires publiées en externe ou ces types de bien spécifiques, ou bien identifie-t-elle également d'autres types de bien, comme les serveurs au sein du même domaine ou d'autres ?
   
   Lorsqu'une API est configurée en tant que germe, l'analyse identifie le serveur qui l'héberge, analyse les ports et détecte les vulnérabilités sur ce serveur. Cependant, elle ne recherche pas les API similaires publiées en externe au-delà du germe spécifié. Pour un ASN (Numéro de système autonome), l'analyse identifie tous les blocs réseau associés (CIDR), énumère les adresses IP distinctes de ces blocs réseau, recherche les ports ouverts et détecte les vulnérabilités. Dans les deux cas, l'analyse se concentre sur l'infrastructure liée au germe, au lieu de rechercher plus largement d'autres types de bien, comme des domaines ou des serveurs non liés, sauf s'ils sont explicitement connectés à l'étendue du germe.

8. Existe-t-il une variation dans les résultats d'analyse lorsqu'on utilise une API, un ASN ou un bloc réseau comme germe, au lieu d'un domaine ou d'une URL ?
   
   Oui, les résultats d'analyse varient en fonction du type de bien germe, car chacun influence l'étendue de la découverte et de la détection des vulnérabilités de différentes manières. Par exemple, si vous utilisez un domaine comme germe, l'analyse peut découvrir les références d'authentification ayant fuité sur Internet et énumérer les sous-domaines. Ces fonctions ne sont pas disponibles avec des germes API, ASN ou bloc réseau, car ils ne possèdent pas le contexte de domaine requis pour ces découvertes. À l'inverse, les germes API et Bloc réseau se concentrent davantage sur les informations de niveau serveur (par exemple, les ports et les vulnérabilités), alors que les germes ASN fournissent une vue plus large de niveau réseau. Cette différence de point de départ donne des résultats différents.

9. Existe-t-il des scénarios ou des cas d'usage particuliers où la définition d'une API ou d'un ASN comme germe est particulièrement efficace pour la découverte des biens ou la détection des expositions ?
   
   Un germe API fonctionne presque comme un germe URL et génère des résultats comparables, comme les détails du serveur, les ports ouverts et les vulnérabilités liées à ce poste client. Cela s'avère particulièrement utile pour identifier les expositions dans des services spécifiques. Les ASN, en revanche, sont particulièrement utiles aux entreprises qui gèrent des centres de données ou de grandes infrastructures réseau. Ces entreprises donnent souvent la priorité à l'identification des ports ouverts et des services qui sont exécutés derrière sur leurs serveurs. Dans ce contexte, un germe ASN est parfait, car il fournit une vue complète du réseau, ce qui permet une découverte des biens et une détection des expositions efficaces sur l'ensemble des plages IP que l'entreprise possède.