211service.com
Une meilleure cybersécurité signifie trouver les inconnues inconnues
En association avec Cortex Xpanse de Palo Alto Networks
Au cours des derniers mois, les serveurs Microsoft Exchange ont été comme des amis dans un frénésie d'alimentation des requins . Les acteurs de la menace ont attaqué des failles critiques du jour zéro dans le logiciel de messagerie : une cybercampagne incessante que le gouvernement américain a décrite comme exploitation nationale et internationale généralisée qui pourraient affecter des centaines de milliers de personnes dans le monde. Gagner en visibilité sur un problème comme celui-ci nécessite une compréhension complète de tous les actifs connectés au réseau d'une entreprise. Ce type de suivi continu des stocks ne s'adapte pas au fonctionnement des humains, mais les machines peuvent le gérer facilement.
Pour les dirigeants d'entreprise ayant de multiples priorités post-pandémiques, le moment est venu de commencer à donner la priorité à la sécurité. Il est pratiquement impossible de nos jours de diriger une entreprise de presque n'importe quelle taille où si votre informatique tombe en panne, votre entreprise est toujours capable de fonctionner, observe Matt Kraning, directeur de la technologie et co-fondateur de Cortex Xpanse, un fournisseur de logiciels de gestion de surface d'attaque récemment acquis. par Palo Alto Networks.
Vous vous demandez peut-être pourquoi les entreprises ne corrigent pas simplement leurs systèmes et font disparaître ces problèmes. Si seulement c'était si simple. À moins que les entreprises n'aient mis en place un moyen de trouver et de suivre leurs actifs, cette question soi-disant simple est un casse-tête.
Mais les entreprises ont du mal à répondre à ce qui semble être une question simple : à savoir, combien de routeurs, de serveurs ou d'actifs possèdent-elles ? Si les responsables de la cybersécurité ne connaissent pas la réponse, il est impossible de transmettre ensuite un niveau précis de vulnérabilité au conseil d'administration. Et si le conseil d'administration ne comprend pas le risque - et est aveuglé par quelque chose d'encore pire que les attaques d'Exchange Server et de SolarWinds 2020 - eh bien, l'histoire s'écrit presque d'elle-même.
C'est pourquoi Kraning pense qu'il est si important de créer un ensemble minimum de normes. Et, dit-il, les conseils d'administration et les cadres supérieurs doivent être au moins au courant, à certains égards, des risques de cybersécurité et de l'analyse de ces mesures. Parce que sans ce niveau de compréhension, les conseils d'administration ne posent pas les bonnes questions et les responsables de la cybersécurité n'ont pas les bonnes conversations.
Kraning pense que la gestion des services d'attaque est un meilleur moyen de sécuriser les entreprises grâce à un processus continu de découverte d'actifs, y compris la découverte de tous les actifs exposés à l'Internet public, ce qu'il appelle des inconnues inconnues. De nouveaux actifs peuvent apparaître de n'importe où et à tout moment. Il s'agit en fait d'un problème qui peut être résolu en grande partie grâce à de nombreuses technologies en cours de développement, explique Kraning. Une fois que vous savez qu'un problème existe, le résoudre est en fait assez simple. Et c'est mieux non seulement pour les entreprises, mais pour l'ensemble de l'écosystème d'entreprise.
Afficher les notes et les liens :
Un programme de leadership à entreprendre demain , Enquête mondiale auprès des PDG, PwC
Transcription complète
Laurier Ruma : De MIT Technology Review, je m'appelle Laurel Ruma, et voici Business Lab, l'émission qui aide les chefs d'entreprise à donner un sens aux nouvelles technologies qui sortent du laboratoire et arrivent sur le marché.
Notre sujet aujourd'hui est la gestion de la surface d'attaque. D'où viendra votre prochaine faille de cybersécurité ? Les entreprises ont de plus en plus de choses connectées à leur Internet, y compris des réseaux en constante expansion et une infrastructure vieillissante. Et à mesure que les attaquants deviennent plus créatifs, les cadres devront également le faire.
Deux mots pour vous : inconnues inconnues.
Mon invité est Matt Kraning, qui est le directeur de la technologie et co-fondateur d'Expanse, qui a été récemment acquis par Palo Alto Networks. Matt est un expert en optimisation à grande échelle, en détection distribuée et en algorithmes d'apprentissage automatique exécutés sur des systèmes massivement parallèles. Avant de co-fonder Expanse, Matt a travaillé pour la DARPA, y compris un déploiement en Afghanistan. Matt est titulaire d'un doctorat et d'une maîtrise de l'Université de Stanford. Cet épisode de Business Lab est produit en association avec Palo Alto Networks. Bienvenue, Mat.
Matt Kraning : Merci beaucoup. Très heureux d'être ici.
Laurier : Dès le début, vous avez été un expert des algorithmes de détection distribuée à grande échelle et d'apprentissage automatique exécutés sur des systèmes massivement parallèles. Comment cette expertise vous a-t-elle amené à co-fonder une entreprise dans le domaine de la gestion des surfaces d'attaque ?
Mat : Eh bien, je vais dire quelques choses. La gestion de la surface d'attaque est ce que nous avons fini par appeler cela, mais c'était en fait un très long voyage vers cela et nous n'avons pas vraiment commencé en sachant que c'est exactement ce que cela s'appellerait ou ce que nous ferions précisément. Il n'y a donc même pas de catégorie Gartner, qui est une certaine façon de valider l'existence pour un segment de marché. Cela sort toujours. Donc le domaine de la gestion des surfaces d'attaque, on s'est inventé en fait. Et beaucoup d'inventions signifient qu'il y a beaucoup de découvertes là-dedans.
Contrairement à de nombreuses entreprises de sécurité et d'informatique d'entreprise où, dans de nombreux cas, la plupart des entreprises fondées se lancent généralement sur un marché existant - elles font généralement une avancée progressive ou évolutive en plus de ce qui a déjà été inventé - nous avons en fait pris une autre approche et a dit : 'Nous sommes vraiment, avec un regard neuf, en train de demander :' Qu'est-ce qui n'est pas servi sur le marché aujourd'hui ?' Et a eu l'idée de : 'Internet, avec toutes ses promesses, est-il sera-t-il un passif stratégique pour les organisations, et non plus seulement un atout stratégique ? »
Nous avons développé de nombreuses techniques et technologies pour considérer l'ensemble d'Internet comme un ensemble de données : pour recueillir, en continu, des informations sur Internet, ce qui est vraiment l'origine de nos connaissances à la fois du milieu universitaire et de notre travail dans le domaine de la défense. et les communautés du renseignement, dans des endroits comme la DARPA et à divers endroits dans les agences de renseignement américaines. Et nous avons dit, en fait, qu'il semble y avoir tout un tas de choses cassées sur Internet, et étonnamment, beaucoup d'entre elles sont en fait associées à de très grandes et très importantes entreprises. C'est en grattant cette question qui nous a en fait conduit à la fois à fonder Expanse, puis à créer ce qui serait le premier et est le produit phare de ce qui est maintenant connu sous le nom de gestion de la surface d'attaque, qui consiste vraiment à comprendre tous les atouts que vous avez, comprendre les risques qu'ils pourraient poser, puis résoudre les problèmes.
Mais lorsque nous avons fondé Expanse en 2012, nous ne savions pas qu'il s'agirait de gestion de la surface d'attaque. Nous n'avions même pas le nom de gestion de la surface d'attaque. Au lieu de cela, il était très axé sur les problèmes : 'Nous voyons beaucoup de choses étranges et dangereuses sur Internet et de nombreuses vulnérabilités de sécurité'. Double-cliquons souvent dessus et voyons s'il existe un moyen de créer une entreprise autour de cela.
Laurier : Et à quel point Internet a-t-il changé au cours de ces neuf courtes années, n'est-ce pas ? Lorsque vous parlez de cet ensemble de données et que vous essayez de trouver des informations sur les principaux risques de sécurité, à quel point cela a-t-il été difficile à trouver ? Avez-vous regardé autour de vous et vu, 'Oh, regardez, il y a des ensembles de données entiers, vous pouvez facilement remonter jusqu'à ces entreprises. Ils fuient. Ou, 'Les choses ne sont pas sécurisées.'
Mat : J'adore l'expression, 'Tout est évident une fois que vous connaissez la réponse.' Je pense qu'au départ, l'un des principaux défis est que, même pour montrer l'ampleur de ce problème, vous devez en fait rassembler les données. Et la collecte des données n'est pas facile, en particulier sur une base continue ou régulière, vous devez en fait avoir beaucoup d'expérience en ingénierie système, beaucoup d'expérience en systèmes distribués pour collecter des données sur tout. Je pense que ce qui a rendu notre approche unique, c'est que nous nous sommes dit : 'Et si nous rassemblions des données sur chaque système sur Internet ?' Ce qui est en fait rendu possible par de nombreux avantages de coût rendus possibles par des choses comme le cloud computing, mais aussi des avantages logiciels à la fois en open source et des choses que nous écrirons nous-mêmes. Et puis, plutôt que de partir de choses que vous savez sur une entreprise et d'essayer d'évaluer ses risques, nous avons dit : ' Pourquoi ne pas commencer par tout ce qui se trouve sur Internet, puis essayer de le réduire à ce qui est intéressant ?'
Et beaucoup de très bonnes idées en sont sorties là où encore une fois, presque par accident, nous avons commencé à découvrir que nous trouverions en fait beaucoup, beaucoup plus de problèmes de sécurité que les organisations n'en connaissaient réellement sur elles-mêmes. Quand je parle aux organisations, je ne parle pas aux petites entreprises. Je parle des services militaires. Je parle des entreprises du Fortune 500, des entreprises du Fortune 100, des entreprises du Fortune 10. Même les clients les plus grands, les plus complexes, mais aussi les meilleurs financiers, les plus élitistes avaient des problèmes de sécurité. Et ce qui a vraiment été notre découverte et notre parcours dans la création de la catégorie, dans la création de la gestion de la surface d'attaque en tant qu'idée, c'est que nous trouvons toutes ces vulnérabilités de sécurité et tous ces actifs dans des endroits éloignés n'importe où sur Internet, et ils se produiront pour une multitude de raisons.
Mais c'était en fait intéressant parce que même si les défis et les risques de sécurité étaient très réels, les vrais symptômes que nous avons trouvés, que nous avons découverts, étaient en fait que les organisations n'avaient pas de moyen efficace pour suivre tous les actifs qu'elles avaient en ligne et pour évaluer simultanément la posture de sécurité de ces actifs et simultanément réparer, corriger et atténuer les risques de ceux qui s'opposent à l'organisation.
Et je pense que c'était l'une des choses très intéressantes, c'est qu'en regardant en arrière, nous pouvons maintenant dire : 'De toute évidence, vous voulez faire toutes ces activités.' Mais parce que nous faisions en fait quelque chose de nouveau qui n'avait jamais été fait auparavant, c'était une nouvelle catégorie, nous avons dû découvrir tout cela en partant du point de vraiment, 'Il semble y avoir beaucoup de choses cassées sur Internet. Nous ne savons pas exactement pourquoi, mais allons enquêter.
Laurier : C'est une bonne façon d'y penser, en commençant par un endroit différent, puis en revenant en arrière. Ainsi Matt, selon un récent sondage PwC auprès de plus de 5 000 PDG dans le monde, 47 % sont extrêmement préoccupés par la cybersécurité. Maintenant, 47 % ne me semble pas être un grand nombre, ne devrait-il pas être plus proche de 100 % ?
Mat : Je dirais que tous les PDG à qui j'ai parlé s'en inquiètent à un certain niveau. Et je pense que cela dépend beaucoup de l'endroit où ils se trouvent. Dans l'ensemble, ce que nous avons remarqué est une très forte augmentation, en particulier au cours des cinq dernières années, de l'attention des PDG et des conseils d'administration aux problèmes de cybersécurité. Là où je pense que nous avons vu un décalage, bien qu'il y ait quelques exceptions dans ce domaine, c'est que beaucoup d'outils et de présentations qui vont, en particulier pour un public exécutif, pour les risques de cybersécurité ne transmettent pas efficacement tout ce que ces personnes besoin de prendre des décisions efficaces. Et je pense que c'est difficile pour diverses raisons, en particulier parce que de nombreux PDG et conseils d'administration n'ont pas nécessairement la formation technique complète pour le faire. Mais je pense qu'à ce jour, l'industrie n'a pas réussi à fournir ces outils. Et je pense que nous allons voir de plus en plus de changements là-bas.
Je l'assimile vraiment à l'état des finances avant Sarbanes-Oxley qui commençait essentiellement à exiger que les PDG suivent une formation, ainsi que les conseils d'administration, pour commencer à comprendre certaines mesures financières, pour mettre en place certains contrôles. Je pense qu'au niveau supérieur, nous allons devoir voir quelque chose comme ça dans les années à venir être mis en œuvre d'une manière ou d'une autre pour dire qu'il existe un ensemble minimum de normes et que les conseils d'administration et les cadres supérieurs doivent être au moins au courant d'une certaine manière sur les risques de cybersécurité et l'analyse de ces mesures. En ce moment, j'ai vu beaucoup de gens dire : « Je suis inquiet à ce sujet, mais je ne sais pas non plus vraiment où aller ensuite » ou « Je suis au courant ». Nous avons un rapport. Nous avons embauché une entreprise. Ils avaient cette présentation qui avait tout un tas de diapositives PowerPoint avec beaucoup de graphiques qui auraient des lumières d'arbre de Noël qui faisaient fondre mon cerveau. Et je ne pouvais pas vraiment comprendre les concepts.
Je pense que les gens comprennent, mais nous n'en sommes encore qu'aux premiers jours de, comment avez-vous des contrôles efficaces sur cela ? Et puis, comment avez-vous réellement des programmes robustes autour de cela ? Encore une fois, nous devons aller dans cette direction parce que de plus en plus de conseils d'administration doivent considérer cela comme un aspect fondamental de leur entreprise, d'autant plus que pratiquement toutes les entreprises aujourd'hui, peu importe dans quelle industrie vous êtes, quelle taille, votre société fonctionne réellement sur l'informatique. Il est pratiquement impossible de nos jours de gérer une entreprise de presque n'importe quelle taille où si votre informatique tombe en panne, votre entreprise est toujours en mesure de fonctionner. Et en raison de la compréhension de la cybersécurité à ces niveaux, la surface d'attaque en faisant désormais partie, il est très important que les organisations puissent comprendre, car sinon vous exposerez votre organisation à un très grand risque en ne être capable d'évaluer correctement des choses comme ça.
Laurier : Ouais. Et cela revient au vieil adage selon lequel chaque entreprise est une entreprise technologique. Mais c'est peut-être un exemple plus précis de ce qu'il en est. Pourriez-vous décrire brièvement ce qu'est la gestion de la surface d'attaque, peut-être pour ce public de cadres ?
Mat : La façon dont nous décrivons la gestion de la surface d'attaque est qu'il s'agit en fait d'un processus en trois étapes où toutes les étapes sont effectuées en continu sous forme de cycle, mais c'est un processus et une procédure par lesquels vous, ou vraiment un fournisseur, dans ce cas Expanse ou Palo Alto Networks, découvrez en permanence tous les atouts dont dispose une organisation. Dans notre cas, de la surface d'attaque externe, tous les actifs que vous avez sur l'internet public. Et c'est un processus continu parce qu'à tout moment, et je peux y revenir plus tard, mais à tout moment, de nouveaux actifs peuvent apparaître de n'importe où sur Internet. Vous devez donc disposer d'un processus de découverte continu qui dit : 'À un moment donné, je ne sais peut-être pas tout sur mes actifs, je devrais donc disposer de mécanismes pour recueillir des informations sur n'importe quel endroit où ils pourraient se trouver et essayer de les associer à mon organisation'.
En même temps, dès qu'un actif est découvert, vous devez avoir les moyens de l'évaluer à travers une variété de caractéristiques différentes. Dans de nombreux cas, si j'ai découvert un nouvel actif, cet actif est-il vraiment nouveau ? Et si ce n'est pas le cas, alors faites correspondre, normalisez, dédupliquez cela avec d'autres choses. S'il s'agit d'un nouvel actif, dans la plupart des cas, il ne sera en fait pas géré. Alors, comment puis-je réellement démarrer une série d'activités pour dire : 'C'est un atout qui existe avec le mien, mais il existe généralement en dehors d'un ensemble prévu de contrôles de sécurité'. Alors, comment puis-je démarrer un processus pour à la fois évaluer quels contrôles doivent être mis en place et ensuite le mettre sous gestion. » Et la troisième partie de l'évaluation consiste également à comprendre quel est le risque que cela pose immédiatement à mon organisation pour m'aider à prioriser les activités.
La dernière étape est ce que nous appelons l'atténuation. Une fois que vous avez évalué tout ce que vous avez découvert, que faites-vous réellement à ce sujet ? Quelles actions prenez-vous et comment le faites-vous de manière hautement automatisée et efficace. Et pour nous, il y a deux étapes principales que l'atténuation implique. J'ai mentionné la priorisation, mais c'en est une, la gestion des systèmes. Dans de nombreux cas, cela signifie également que pour la plupart des systèmes associés à nos gros clients, cela signifie en fait les retirer directement d'Internet, nous les plaçons donc derrière un VPN ou un autre type d'appareil d'entreprise, ou en faisant sûr qu'ils sont alors connus et ensuite mis à jour parce que dans de nombreux cas, le véritable symptôme des problèmes de sécurité que nous trouvons se trouve être autour du fait qu'un actif n'a pas été géré pendant très longtemps et peut contenir des éléments de sécurité des vulnérabilités qui ont été découvertes plus tard simplement parce que vous auriez des correctifs de sécurité qui existent pour des problèmes de sécurité connus qui n'ont pas été appliqués.
Dans certains cas, comme les attaques zero-day, il est en fait beaucoup plus important de savoir où se trouvent tous les actifs afin de pouvoir les corriger dès que possible. Mais pour la grande majorité des actifs que nous découvrons pour nos clients et aidons à gérer leur surface d'attaque, le vrai problème est que les actifs ne sont tout simplement pas connus. Et pour les dirigeants, la véritable clé est que les processus et outils existants que de nombreuses entreprises utilisent peuvent être très bons de ce côté de la sécurité, mais ils supposent que les réseaux sont effectivement beaucoup plus statiques.
Laurier : Alors, quelles sont les ramifications d'une entreprise qui ne connaît pas sa surface d'attaque réelle ?
Mat : Le plus important et le plus évident est un risque accru de violation. Je pense que c'était un adage pendant une grande partie des années 2000, aidé en grande partie par les fournisseurs, que tout a commencé par le phishing par e-mail. Et il y a de très, très grands fournisseurs de sécurité de messagerie qui continuent de diffuser ce message selon lequel chaque incident de sécurité est en fait un e-mail de phishing et que les humains sont le maillon le plus faible lorsqu'ils cliquent sur des choses, et achètent donc plus de sécurité de messagerie.
Je ne pense pas que ce soit mal. Je pense qu'il est en fait exact que la sécurité est une grande chose, vous pouvez l'acheter. Mais c'est aussi beaucoup plus facile à atténuer, surtout maintenant avec beaucoup de bons outils, comme vous avez en fait une visibilité totale sur tous les e-mails envoyés aux employés car ils doivent passer par un serveur de messagerie central. Il s'agit en fait d'être capable de détecter les mauvaises choses sans avoir besoin de savoir qu'il y a, par exemple, des e-mails envoyés sur lesquels vous n'aviez pas de visibilité.
Je pense qu'en revanche, ce que nous avons vu, en particulier plus récemment au cours de la dernière décennie et même des cinq dernières années, c'est que certaines des pires violations absolues, celles qui causent des centaines de millions à des milliards de dollars de dommages, ne viennent pas du phishing. Ils proviennent en fait d'actifs généralement inconnus et non surveillés et qui, dans de nombreux cas, se trouvaient en fait sur l'Internet public. Je pense donc que certains des plus grands exemples de cela sont en fait des choses comme l'attaque WannaCry, qui a causé, on estime à plus de 10 milliards de dollars de dégâts dans le monde, la fermeture d'entreprises entières, remettant la plupart du système de santé du Royaume-Uni sur stylo et du papier pour les jours réels.
Et les véritables ramifications sont, vous avez toutes ces voies supplémentaires pour entrer parce qu'il y a tellement plus d'actifs qui sont en ligne qui ne sont pas suivis par les organisations, et c'est en fait ainsi que les attaquants entrent parce qu'il s'avère qu'il y a très des moyens efficaces et automatisés permettant aux attaquants de comprendre, de rechercher et d'exploiter ces surfaces d'attaque. Et les ramifications sont assez audacieuses. Vous voyez la plupart des soins de santé d'un pays du premier monde réduits à un stylo et du papier pendant des jours. Très, très sérieux car il ne s'agit pas seulement de pirater le courrier électronique de quelqu'un, il s'agit en fait de pirater l'infrastructure critique du réseau lui-même.
Laurier : En parlant d'infrastructures critiques, une autre attaque récente est l'usine de traitement de l'eau en Floride, où un attaquant a pu modifier à distance la composition chimique de l'eau pour y ajouter de la lessive, ce qui aurait pu empoisonner toute une communauté. Alors, l'infrastructure est un enjeu énorme pour les très grandes entreprises, comme les stations d'épuration ou les sociétés pétrolières et gazières, etc.?
Mat : Absolument. Dans ce cas, à ma connaissance, le vecteur d'attaque était en fait un serveur d'accès à distance que quelqu'un de cette usine avait laissé ouvert, était sur Internet et a permis à quelqu'un d'entrer. trouver des moyens qui sont effectivement des outils de commodité informatique mais qui peuvent être subvertis par des attaquants parce que les outils de commodité informatique ne sont pas durcis au même degré que d'autres choses qui sont censées être sur Internet et sont laissées de côté comme un question bien sûr. Nous avons cette ligne que nous aimons voir Internet de la plupart des façons comme ce que la plupart d'entre nous ont expérimenté via nos navigateurs Web ou sur notre téléphone. C'est cette très belle expérience utilisateur de configuration et toutes les pages Web que nous consultons sont très belles et agréables et nous y allons.
Et c'est une bonne analogie avec le monde physique comme je suppose, peu de temps après que nous serons tous vaccinés contre le covid-19, nous reviendrons faire du shopping à l'extérieur. Vous pouvez aller dans un Starbucks et le magasin est vraiment sympa, vous avez cette expérience formidable, vous prenez votre café au lait, vous sortez, mais si vous regardez sous tous les fastes des rues, vous avez en fait une infrastructure beaucoup plus ancienne. Vous avez des choses comme pas de tuyaux d'égout et d'autres choses qui sont grasses et qui craquent. Et c'est l'infrastructure qui soutient le plus beau monde au sommet.
Une grande partie de ce que nous considérons comme faisant partie de la surface d'attaque est une analogie informatique selon laquelle la plupart des gens considèrent Internet comme simplement : ' Qu'est-ce qu'il y a dans leur navigateur Web ?' Qu'est-ce qu'il y a au téléphone, ces gentils sites de consommateurs ? Mais il existe toute une infrastructure informatique dorsale qui prend en charge cela. Et c'est un peu grinçant et ce n'est pas toujours bien configuré. Sans quelque chose comme ASM, vous avez des problèmes dans lesquels vous ne connaissez pas réellement l'état de votre réseau car il est si vaste, distribué et complexe. Et comme dans le cas de la Floride, qui soit dit en passant était une organisation plus petite, cela va au cœur de la question de savoir comment savez-vous que quelque chose ne se passe pas ? Quelle que soit la politique de sécurité informatique, le fait d'avoir un service d'accès à distance sur Internet ne devrait pas être autorisé. Mais il est très difficile, même pour les petites organisations, d'avoir une visibilité continue sur ce à quoi je ressemble réellement de l'extérieur ? À quoi je ressemble pour un attaquant avec des outils hérités ?
Laurier : Et c'est un bon exemple d'une attaque qui n'est pas une attaque de phishing. Cela n'a rien à voir avec le courrier électronique. Alors que nous discutons des attaques, dont la plus mémorable cette année encore, SolarWinds et Exchange, comment la mise en œuvre de l'ASM aurait-elle changé ces résultats pour les organisations ? Ou que diriez-vous de ces organisations chanceuses qui ont réellement compris leurs options de gestion de surface d'attaque et ont été capables de trouver cela et de contrecarrer l'attaque ?
Mat : Je parlerai des deux parce qu'un certain nombre de nos clients avaient ces deux types de systèmes et nous les avons aidés à réagir. Je pense aux hacks de Microsoft Exchange, et pour vos auditeurs, un peu de contexte : il y avait en fait un ensemble de jours zéro annoncé pour les ensembles de versions des services de messagerie Microsoft Exchange plus tôt en février et mars de cette année. Très, très dangereux car en effet, ce sont les serveurs de messagerie d'une organisation et si vous suiviez cette chaîne XY, ce qu'elle vous permettait essentiellement de faire était d'envoyer un message à un serveur de messagerie pour vous accorder un accès administratif sans entrave à l'ensemble du courrier serveur. Et il y en avait en fait des centaines de milliers que nous avons détectés en ligne. Et effectivement, si vous y réfléchissez, avoir un attaquant capable de télécharger tout ou la plupart du serveur de messagerie d'entreprise et avec toutes ces informations sensibles qui y sont stockées, est une attaque très sérieuse.
Donc, ce que nous avons remarqué, c'est en fait deux choses, à savoir que les grandes organisations étaient très conscientes de cela et qu'elles appliquaient des correctifs très, très rapidement. Mais nous avons pu aider un certain nombre de clients qui étaient si importants qu'ils ne disposaient même pas d'un ensemble central de serveurs de messagerie. Ainsi, sans Expanse, ils n'auraient pas été en mesure de trouver même tous leurs serveurs de messagerie et de les corriger à temps car ils sont tellement distribués qu'ils avaient en fait besoin d'un inventaire même de leurs serveurs de messagerie. Et il est très difficile d'agréger cela de manière centralisée à moins que vous n'utilisiez un outil ASM comme Expanse. Parce qu'au lieu de cela, dans de nombreux cas, vous utilisez généralement Microsoft Outlook et Microsoft Excel. Vous allez envoyer des e-mails à différentes unités commerciales. Vous allez demander aux responsables informatiques de ces différentes unités commerciales. S'ils sont corrigés, ils renverront des e-mails et des feuilles de calcul. C'est un processus très, très manuel.
Donc, capable de l'identifier et de vraiment les aider en très peu de temps, comme une journée, à trouver et à réparer chaque serveur qu'ils avaient sur leur domaine, ce qui, selon nous, a vraiment, vraiment changé le résultat, car ils pouvaient ont été vulnérables pendant des semaines dans certains cas. Pour SolarWinds également, je pense que les détails sont un peu différents car tous les actifs de SolarWinds ne sont pas nécessairement exposés à Internet. Et aussi dans de nombreux cas, ils étaient là depuis des mois. Dans le cadre de Palo Alto plus large, nous avions d'autres produits capables d'arrêter SolarWinds : l'attaque SolarWinds en particulier, notre cadre de point de terminaison appelé XDR. Mais même là pour SolarWinds, une fois l'attaque connue, les clients ont toujours le problème, ils ne savaient même pas où se trouvaient tous leurs serveurs SolarWinds, ce qui revient encore à ce problème d'inventaire et de choix des capacités, à la fois comme Expanse et d'autres capacités que nous avons maintenant dans le cadre de Palo Alto, nous avons pu aider les clients à comprendre très rapidement partout où ils étaient exposés à SolarWinds afin qu'ils puissent atténuer cela très rapidement. Il y avait donc effectivement un processus en deux étapes. À Palo Alto, nous avons pu empêcher l'attaque de nos clients même sans savoir que la chaîne d'approvisionnement avait été violée. Et puis une fois que c'était plus public, nous avons pu aider tout le monde à identifier tous les serveurs dont ils disposaient et nous assurer qu'ils étaient tous à jour et non infectés par le cheval de Troie de la chaîne d'approvisionnement.
Laurier : C'est vraiment intéressant parce que certaines entreprises peuvent penser : « Oh, eh bien, nous n'avons pas à nous soucier d'usines de traitement de l'eau et d'infrastructures vieillissantes. Mais savez-vous réellement où tout votre courrier est stocké et sur combien de serveurs différents il peut se trouver et sur différentes instances cloud ou ailleurs ? Et quand vous n'avez que quelques heures pour faire ce patch critique, à quelle vitesse pouvez-vous le faire ?
Mat : Exactement. Et la plupart des questions que j'ai posées à nos clients sont simplement : « Comment pouvez-vous être sûr que, effectivement, vos systèmes sont à jour ? » Répondre à des questions même apparemment basiques avec l'informatique existante, si vous n'avez pas Expanse ou ASM, est en fait étonnamment difficile. Je vais donner un autre exemple amusant. Je demande tout le temps aux responsables de la sécurité de l'information : 'Combien de routeurs votre organisation possède-t-elle ?' Cela semble être une question assez basique, on dirait qu'ils sauraient, au moins avec une très bonne approximation, que l'équipe informatique devrait probablement savoir exactement combien de routeurs ils ont. Ce sont des équipements réseau très importants, en particulier au niveau de l'entreprise, ils sont plus chers. Ce n'est donc pas seulement comme ce point d'accès Wi-Fi domestique auquel nous sommes habitués. Ces choses peuvent coûter des dizaines, dans certains cas, des centaines de milliers de dollars pour gérer les charges de travail de niveau entreprise.
Et ce que nous constatons, c'est que lorsque vous posez cette question, il n'y a en fait généralement pas un seul endroit central où tout cela est suivi. Au lieu de cela, il sera suivi par les équipes de développement et informatiques locales de différentes manières. Il sera suivi dans plusieurs feuilles de calcul. Il peut y avoir certains systèmes de gestion informatique locaux qui le savent, mais à la fin, si vous dites par exemple : ' Combien de routeurs avez-vous actuellement ?' Le processus qu'ils utiliseraient pour répondre qui n'entre pas dans un système ou ne se connecte pas, c'est en fait démarrer une chaîne de courrier électronique. C'est en fait l'un des principaux problèmes que la gestion de la surface d'attaque tente de résoudre, c'est-à-dire comment avoir un inventaire précis et à jour de tout afin que vous puissiez ensuite créer une variété de processus en plus de cela, y compris la sécurité ? Mais si vous n'avez pas d'inventaire à jour ou si vous pensez en avoir un, mais ce n'est pas le cas, alors lorsque vous commencez à tirer sur ce fil, beaucoup de processus métier, beaucoup de processus informatiques, beaucoup des processus de sécurité que vous souhaitez appliquer à l'ensemble de votre entreprise, vous vous rendez compte tout à coup : 'Attendez, cela n'est en fait que partiellement mis en œuvre, car si je n'ai pas un inventaire complet, comment puis-je savoir ce qui est passer en revue tous mes actifs plutôt que seulement les actifs que je connais ? » Et c'est de cela dont on parle quand on parle d'inconnues inconnues. Comme vous l'avez mentionné en haut, c'est 'Je connais un certain degré de mes systèmes, mais est-ce que je les connais tous ?' Ce delta peut être tout pour les organisations car la plupart de leurs risques se trouvent dans les parties de leur réseau qu'elles ne savaient même pas étudier.
Laurier : Quelles autres décisions basées sur les données peuvent être prises à partir de ce type de concentration pour savoir réellement où se trouvent tous vos actifs. Sinon, comment cela peut-il aider l'entreprise ?
Mat : Deux domaines dans lesquels cela aide vraiment les organisations sont en fait la gouvernance du cloud et les fusions et acquisitions. En particulier, ce sont des entreprises très tentaculaires. Donc, pour beaucoup de nos clients, ils pourraient en fait avoir des centaines de comptes cloud différents dans les fournisseurs de cloud public, donc AWS, Azure, Oracle, Google, Alibaba dans de nombreux cas, et ils n'avaient aucun moyen de rationaliser cela car ils aurait tout un tas d'équipes de développement différentes et ils ne pourraient pas obtenir quelque chose. Et donc, quand ils disent qu'ils migrent vers le cloud, un refrain typique de nos clients sera du genre 'Oui, nous le sommes'. Nous avons des accords avec Amazon et nous couvrons un peu nos paris. Nous explorons également Azure afin de ne pas être uniquement enfermés dans un seul cloud. Ce que nous constatons, c'est que le client moyen d'Expanse appartient à 11 fournisseurs d'infrastructure différents.
Je ne parle pas de SaaS, je parle d'endroits où vous obtenez réellement comme louer un serveur, mettre des données sur vous-même. C'est incroyable et astronomique et on pourrait se dire : 'Eh bien, oui, vous êtes sur Azure. Vous êtes également sur AWS. Saviez-vous que vous êtes aussi dans DigitalOcean ? Vous êtes aussi à Linode. Votre directeur général en Europe vous a probablement placé dans un hébergement OVH ou Orange. Vous avez quelque chose d'autre dans le centre de données malaisien. Je ne sais pas exactement ce que c'est. Et c'est typique. Un client pour nous appartenait en fait à plus d'une centaine de fournisseurs différents, car il s'agit d'une très grande multinationale. Je pense que c'est là que nous voyons que les plans de gouvernance du cloud des gens par rapport à la réalité du cloud sont radicalement différents. Et les aider à cela leur permettra de migrer à la fois en toute sécurité et rapidement vers le cloud.
Deuxièmement, les fusions et acquisitions. Je pense que c'est quelque chose qui se produit de plus en plus. Comme de nombreuses industries se consolident, il y a eu beaucoup d'activités de fusions et acquisitions plus récemment. Mais quand on y pense, une fusion et acquisition est l'un des plus grands événements de changement informatique qu'une organisation puisse avoir, surtout s'il s'agit d'une acquisition importante. J'en sais donc un peu plus à ce sujet, ayant récemment traversé ce processus avec Palo Alto Networks sur nous-mêmes de l'autre côté de la table, mais le nombre de choses que vous devez intégrer est assez important. Et dans le cas d'Expanse, nous sommes intégrés à l'une des meilleures sociétés de sécurité au monde et nous sommes également relativement petits. Donc, les maux de tête d'intégration ont été presque inexistants, et cela a été un très bon processus.
Mais pour les grandes organisations où vous pourriez, une organisation de 50 000 personnes acquiert une organisation de 10 000 personnes, le nombre d'étapes différentes que vous devez franchir, la quantité d'informatique que vous devez transférer, la quantité d'héritage que vous devez comprendre est gigantesque. Et à bien des égards, ceux-ci ne sont dans de nombreux cas que partiellement mis en œuvre car, en tant qu'acquéreur, vous ne savez peut-être même pas où se trouvent tous les actifs que vous acquérez. Par exemple, pour une compagnie aérienne, il y a eu une série de fusions et nous sommes en mesure de trouver des actifs de la compagnie aérienne fusionnée qui n'existent plus, mais qui étaient toujours sur Internet plus d'une décennie après la fusion.
Ce qui vous donne une idée du temps que prennent certaines de ces choses. C'est l'autre côté de la façon dont nous aidons vraiment nos clients, c'est en fait de comprendre : 'Lorsque vous acquérez réellement un actif, comment terminez-vous réellement ce processus ?' Comment le mesurez-vous ? Comment le surveillez-vous et comment le faites-vous à l'échelle d'Internet plutôt qu'avec un grand nombre de consultants, de feuilles de calcul Excel, de feuilles de papier et d'e-mails ? »
Laurier : Donc, d'après notre conversation d'aujourd'hui, j'ai l'impression que c'est l'avertissement, si vous ne savez pas ce que vous ne savez pas, vous devriez vraiment le comprendre, si vous ne l'avez jamais entendu auparavant. Mais il y a des lueurs d'espoir là-dedans, n'est-ce pas ? Parce que si l'actif existe, vous pouvez au moins le trouver, le suivre et évaluer ce que vous allez en faire, négocier les modifications que vous devez apporter ou l'évaluer pour le ramener à une conformité totale en matière de cybersécurité. Qu'est-ce qui vous donne de l'espoir sur ce qui est possible après avoir vu les trois premiers mois de cette année et ce qui s'est passé avec les attaques, les problèmes persistants que nous allons avoir ? Mais il y a une opportunité là-bas, non? Il y a de l'espoir. Que voyez-vous qui vous rend optimiste quant à la cybersécurité et à ce que nous attendons avec impatience dans les cinq prochaines années ?
Mat : Ouais, je suis en fait assez optimiste même pas à long terme mais même à moyen terme je pense, même dans trois, quatre ans. À court terme, il y aura certainement une mer agitée à venir, mais voici ce qui me rend le plus optimiste. Premièrement, je pense qu'il s'agit en fait d'un problème qui peut être résolu en grande partie grâce à de nombreuses technologies en cours de développement. Et par là, il est clair qu'une fois que vous savez qu'un problème existe, le résoudre est en fait assez simple. Il y a beaucoup d'étapes mécaniques pour s'améliorer. Il y a beaucoup d'automatisations qui peuvent être mises dessus. Et il y a beaucoup de choses à supporter. Mais dans de nombreux cas, la partie la plus difficile consiste à voir ce que vous devez réellement résoudre et à connaître tous les problèmes, puis à être en mesure de les hiérarchiser efficacement, puis de commencer à travailler dessus.
Et je pense en particulier, les choses que j'ai vues sont dans l'industrie, je pense qu'il y a beaucoup de technologies dans les quelques années qui vont rencontrer le battage publicitaire qui existe depuis des années. Je parle beaucoup avec des partenaires de l'industrie. Nous utilisons des quantités importantes de données. Avec mon expérience où j'ai un doctorat de Stanford en recherche opérationnelle et en apprentissage automatique, nous utilisons en fait un véritable apprentissage automatique dans nos produits. Nous utilisons également beaucoup d'heuristiques. Je plaisante en disant que nous avons parfois des classificateurs d'apprentissage automatique pour résoudre un problème. D'autres fois, nous avons des requêtes SQL qui résolvent le problème.
Nous avons des requêtes SQL vraiment bien écrites. Je suis très fier de ceux-là. Mais je pense que l'industrie elle-même, en particulier dans le matériel marketing, on pourrait penser que tout dans la cybersécurité est cette IA automatisée, tout activé par ML. Dans la plupart des cas, mais pas tous, mais dans de nombreux secteurs de l'industrie, et cela est particulièrement vrai dans les startups, c'est juste une ligne à lancer. Et ce que les entreprises appellent vraiment l'IA ne sont que des règles logicielles standard et il n'y a vraiment rien de spécial.
Ou il y a une vieille blague qui dit 'Oh, j'ai ce super truc d'IA'. Qu'est-ce que c'est? Eh bien, nous avons un groupe d'analystes qui sont d'anciens officiers du renseignement, généralement dans le Maryland ou à l'extérieur de Tel-Aviv et ce sont eux qui font tout. Mais nous avons un système qui leur achemine efficacement le travail et c'est notre IA. Et ils sont comme, 'Attendez, ce sont les gens.' Je pense que ce que j'ai vu, c'est que l'automatisation au sens large est une chose réelle. Mais l'automatisation signifie en fait sur le terrain, c'est-à-dire quelque chose qui prenait auparavant des heures et des jours et 10 personnes. Et puis avec le logiciel en ce moment, c'est plutôt comment réduire ça à 15 minutes et deux ou trois personnes ?
Je pense que nous allons voir des gains encore plus importants ou même commencer à retirer complètement les humains de la boucle dans certains processus commerciaux. Et je pense que ce que nous voyons et c'est une grande partie de ce sur quoi nous travaillons et sur lequel je travaille actuellement, c'est qu'au cours des prochains mois et années, une véritable capacité d'apprentissage automatique à grande échelle sera en fait déployée en production. Je pense qu'il y en a qui existent au coup par coup. Il y a beaucoup plus de règles que personne ne veut en parler, mais nous constatons maintenant qu'il y a suffisamment d'assemblage de données, il y a suffisamment de normalisation des données, en particulier dans les grandes entreprises, et que les entreprises sont plus disposées à partager des informations avec les fournisseurs si cela améliore manifestement le service de sécurité qu'ils obtiennent, que nous allons en fait être en mesure de déployer des capacités de plus en plus sophistiquées dans ce sens et que le produit correspond à la réalité. Je pense que c'est ce qu'était au moins l'air du temps du marketing de l'industrie au sens large.
J'en ai vu beaucoup, ils sont très, très réels et ils arrivent beaucoup. Et ils arrivent à une échelle industrielle pour les défenseurs. Et je pense que c'est ce qui m'excite le plus parce que malgré le vieil adage selon lequel les attaquants doivent avoir raison une fois, les défenseurs doivent avoir raison tout le temps, de plus en plus, il est maintenant plus évolutif pour les défenseurs d'avoir raison la plupart du temps et de mettre en place de très vastes réseaux de surveillance afin que si les attaquants glissent une fois, les défenseurs puissent les anéantir complètement lors de cette attaque. Et que les deux affectent asymétriquement les coûts et aussi, je pense, aideront à faire basculer le terrain vers la défense.
Mat : Je pense que lorsque vous aviez des solutions d'IA partielles et des solutions de ML et une automatisation partielle, cela aidait beaucoup plus les attaquants, car ils pouvaient assembler quelques parties différentes, augmenter très fortement certaines choses, puis voir ce qui leur revenait dans un très bon moyen. Je pense que les défenseurs vont pouvoir disposer de capacités similaires qui sont efficaces car ils couvrent en fait tout ce qui se passe dans une entreprise. Et cela va nous permettre de renverser la vapeur.
Laurier :Matt, merci beaucoup de vous être joint à nous aujourd'hui dans ce qui a été une conversation fantastique sur le Business Lab.
C'était Matt Kraning, le directeur de la technologie et co-fondateur d'Expanse, avec qui j'ai parlé de Cambridge, Massachusetts, siège du MIT et du MIT Technology Review, surplombant la rivière Charles.
C'est tout pour cet épisode de Business Lab. Je suis votre hôte, Laurel Ruma. Je suis le directeur d'Insights, la division de publication personnalisée de MIT Technology Review. Nous avons été fondés en 1899 au Massachusetts Institute of Technology. Et vous pouvez également nous trouver dans la presse écrite, sur le Web et lors d'événements chaque année dans le monde entier.
Pour plus d'informations sur nous et sur le salon, veuillez consulter notre site Web à l'adresse technologyreview.com.
Cette émission est disponible partout où vous obtenez vos podcasts. Si vous avez apprécié cet épisode, nous espérons que vous prendrez un moment pour nous évaluer et nous donner votre avis. Business Lab est une production de MIT Technology Review. Cet épisode a été produit par Collective Next. Merci pour l'écoute.
Cet épisode de podcast a été produit par Insights, la branche de contenu personnalisé de MIT Technology Review. Il n'a pas été produit par la rédaction de MIT Technology Review.
