Nätverk

Le modèle de liaison unifiée : une nouvelle perspective pour comprendre le cyber-risque

Lucas Morel

Les cybermenaces ne frappent pas seulement vos systèmes : elles se propagent via vos connexions. L’ULM montre comment ces liens cachés alimentent un risque réel.

Lorsque les identifiants d’assistance d’Okta ont été volés en 2023, la violation ne s’est pas arrêtée au fournisseur d’identité. Cela s’est répercuté vers l’extérieur – via les intégrations SaaS, les applications internes existantes et les pipelines de développement en aval. Les systèmes d’Okta n’ont pas été directement exploités. Au lieu de cela, l’attaque s’est propagée à travers les liens discrets qui unissaient ces systèmes entre eux.

La plupart des programmes de sécurité ne modélisent pas ces liens. Le modèle de liaison unifié (ULM) montre pourquoi c’est un problème.

Les équipes de cybersécurité sont confrontées à un volume considérable de données, notamment des inventaires d’actifs, des analyses de vulnérabilités, des flux de renseignements sur les menaces, des SBOM, des alertes de configuration et des tableaux de bord des risques. Cependant, les incidents majeurs continuent de surprendre les organisations.

La question qui se pose n’est pas une question de visibilité, mais de structure. Les outils traditionnels se concentrent sur trois domaines principaux : les hôtes, les vulnérabilités et les adversaires. Souvent, les liens qui déterminent la rapidité avec laquelle une vulnérabilité se propage, jusqu’où une attaque peut s’étendre ou jusqu’à quel point la confiance peut être compromise ne sont pas examinés.

L’ULM déplace le prisme analytique des composants individuels vers les relations qui unissent les systèmes numériques entre eux. La modélisation de la contiguïté, de l’héritage et de la fiabilité fournit un cadre structurel qui intègre la modélisation des menaces, l’analyse des vulnérabilités et la gouvernance.

Pourquoi les modèles actuels ne sont pas à la hauteur

La plupart des cadres de cybersécurité, y compris les cadres NIST et MITRE, traitent implicitement les systèmes comme des ensembles d’actifs et de contrôles. Les registres des risques répertorient les vulnérabilités et leur gravité. Les rapports sur les menaces décrivent les TTP des attaquants. Les diagrammes d’architecture montrent les composants et les réseaux. Mais les liens – la manière dont ces éléments interagissent réellement – ​​sont souvent non documentés, non modélisés et non analysés.

Cet angle mort entraîne trois problèmes majeurs :

  • Risque systémique manqué : Les organisations sécurisent les composants individuels mais ignorent la manière dont les vulnérabilités se propagent via les dépendances (par exemple, Log4j intégré dans des applications tierces).
  • Priorisation inefficace : Sans structure de liaison, les équipes corrigent les CVE de haute gravité sur les systèmes isolés tout en laissant les failles moins bien notées sur les chemins de confiance critiques.
  • Réponse lente aux incidents : Lorsqu’un jour zéro apparaît, les équipes se démènent pour localiser les composants vulnérables. Sans modèles de liens préexistants, l’analyse d’impact devient une question de conjectures.

Le modèle de liaison unifié

Bien que les frameworks NIST Zero Trust Architecture et MITRE ATT&CK soient très utiles, ULM fournit une couche de modélisation structurelle. Les diagrammes de réseau traditionnels se concentrent sur la topologie ; les graphiques d’attaque, quant à eux, modélisent les étapes d’exploitation. L’ULM se concentre sur les liens, le tissu conjonctif.

Il ne s’agit pas d’une simple carte topologique ou d’un graphique d’attaque ; au lieu de cela, l’ULM sert de base conceptuelle pour déterminer à la fois la manière dont les vulnérabilités se propagent et la manière dont les adversaires se déplacent.

Proximité

La contiguïté décrit ce qui est connecté ou accessible :

  • Adjacence réseau (par exemple, VLAN, VPN, peering cloud)
  • Connexions API entre services
  • Relations d’identité fédérée (par exemple, Okta vers SaaS)
  • Partage de données interorganisationnel ou intégrations tierces

La contiguïté détermine la manière dont les attaquants ou les vulnérabilités peuvent traverser les systèmes. Par exemple, un fournisseur d’identité mal configuré peut agir comme une contiguïté de confiance élevée entre les domaines externes et internes.

Héritage

L’héritage décrit les propriétés, vulnérabilités ou comportements transmis le long des chaînes de dépendance ou de contrôle. Par exemple:

  • Dépendances logicielles : une bibliothèque vulnérable qui affecte toutes les applications qui en dépendent.
  • Systèmes d’identité : un identifiant compromis accorde un accès en aval.
  • Pipelines CI/CD : une étape de build malveillante est héritée par tous les artefacts produits.

L’héritage explique comment une seule faille peut se propager à travers les couches, même dans les domaines qui n’ont pas créé ou déployé la vulnérabilité.

Fiabilité

La fiabilité représente la qualité, la confiance et la résilience d’un lien :

  • Les connexions SSO internes à haute confiance diffèrent des VPN des fournisseurs peu surveillés.
  • Les relations de confiance implicites peuvent être exploitées plus facilement que celles explicitement vérifiées.
  • Les contiguïtés trop fiables amplifient l’impact à la fois des vulnérabilités et des adversaires.

La fiabilité détermine l’étendue des dommages qui peuvent être causés lorsqu’un lien est exploité. Une vulnérabilité dans un environnement segmenté et à faible confiance peut être contenue ; la même faille dans un lien de confiance élevée peut déclencher une défaillance systémique.

Contrairement aux modèles de réseau traditionnels qui s’appuient sur une topologie statique ou une accessibilité basée sur IP, l’ULM résume le réseau comme un système de liaisons hétérogènes (logiques, organisationnelles et fonctionnelles) et pas seulement physiques. Cela permet aux défenseurs de modéliser les chemins que les adversaires utilisent réellement, tels que les chaînes de confiance d’identité, les dépendances logicielles ou les contiguïtés implicites d’API.

ULM vs modèles existants

Il existe de nombreuses approches communes de modélisation de la cybersécurité entre l’ULM et les modèles de sécurité existants. Chacun contribue à une meilleure compréhension de l’environnement des menaces tout en abordant généralement un aspect spécifique : composants logiciels, objectifs des attaquants, accessibilité du réseau ou propagation des vulnérabilités. Cependant, aucun autre modèle n’offre une vision structurelle unifiée. L’ULM intègre la contiguïté, l’héritage et la fiabilité, reliant les renseignements sur les menaces et l’analyse de la vulnérabilité pour révéler les voies de risque systémique.

Modèle Se concentrer Utilisation principale
Graphiques de dépendance SBOM Structure des composants statiques Inventaire logiciel, conformité des licences, analyse des vulnérabilités
Arbres d’attaque Objectifs et sous-objectifs logiques de l’attaquant Modélisation des menaces
Graphiques d’attaque Transitions d’état et accessibilité du réseau Tests d’intrusion, analyse des mouvements latéraux
Modèles de propagation des vulnérabilités Comment les failles se propagent à travers les dépendances Analyse du rayon d’explosion, priorisation des correctifs
ULM Liens structurels : contiguïté, héritage, fiabilité Intégration des vues sur les menaces et les vulnérabilités ; analyse du risque systémique

L’ULM ne dépend pas d’un seul phénomène. Il peut décrire les chaînes d’approvisionnement logicielles, les topologies de réseau, les infrastructures d’identité et les relations organisationnelles en utilisant un vocabulaire commun de liens. Cette flexibilité en fait une base solide pour intégrer les évaluations des menaces, les analyses de vulnérabilité et les modèles architecturaux.

La nouveauté de l’ULM ne réside pas dans la liste des vulnérabilités ou des menaces : ce sont des concepts connus. La nouveauté réside dans la modélisation de l’entreprise à travers des liens qui intègrent des relations fonctionnelles, héritées et de confiance. Cela se situe entre la topologie du réseau (routeurs, VLAN, IP) et les graphiques d’attaque (chemins de menace) – et c’est exactement ce qui manque à la plupart des organisations.

Un exemple simple : Okta et au-delà

La plupart des entreprises sont hybrides, avec de nombreuses dépendances internes et externes. La violation d’Okta a commencé par le vol d’identifiants d’assistance, permettant aux attaquants d’accéder aux connexions hautement fiables du fournisseur d’identité. Dans ce cas, l’environnement d’entreprise hybride comprenait les éléments clés suivants :

  • Un fournisseur d’identité externe (IdP), dans ce cas, Okta, pour l’authentification.
  • Plusieurs applications SaaS intégrées via SSO.
  • Applications internes héritées qui font confiance aux assertions de l’IdP sans validation supplémentaire.
  • Un pipeline de développement intégrant des bibliothèques open source dans des extensions internes et SaaS.

Un attaquant a compromis l’IdP en volant des informations d’identification. Grâce à ces contiguïtés, ils ont atteint le SaaS et les applications internes. L’héritage a étendu le compromis en aval, amplifiant l’impact sans exploiter les vulnérabilités individuelles – illustrant comment les liens structurels, et non les défauts isolés, peuvent entraîner une exposition organisationnelle généralisée. Étant donné que l’IdP opérait dans une zone de confiance élevée, sa compromission a eu un effet multiplicateur.

Analysée du point de vue de la vulnérabilité, aucune des applications internes ne peut avoir de CVE critiques. Du point de vue des informations sur les menaces, le profil de l’attaquant était connu. Une perspective de liens aurait pu être utile.

Avantages stratégiques de l’ULM

Une perspective de liaison expose la manière dont les attaquants se déplacent le long de connexions fiables, enchaînant les contiguïtés et les dépendances héritées pour contourner les périmètres renforcés. En cartographiant les relations structurelles (confiance des identités, chaînes d’approvisionnement logicielles et intégrations implicites), les défenseurs peuvent identifier les voies cachées que les listes de vulnérabilités statiques ou les renseignements sur les menaces isolées oublient, révélant ainsi une véritable exposition systémique.

L’ULM fournit une base structurelle pour :

  • Meilleure priorisation : Concentrez les défenses là où les vulnérabilités et les voies des attaquants se croisent.
  • Analyse d’impact plus rapide : Superposez les nouvelles vulnérabilités sur les cartes de liaison existantes pour trouver rapidement les expositions.
  • Intégration menace-vulnérabilité : Relier les TTP des menaces aux voies de contiguïté et de confiance ; mapper les vulnérabilités sur les composants hérités.
  • Aperçu inter-domaines : Décrivez l’informatique, l’OT, l’identité et les chaînes d’approvisionnement dans un seul cadre.
  • Un nouvel angle sur la structure du réseau : Recadrez les réseaux sous forme de graphiques de liaison, et pas seulement de nœuds et de bords.

Commencer

Démarrer avec l’ULM implique de passer d’une perspective à partir d’actifs isolés vers les relations qui unissent les systèmes entre eux. Avant de procéder à la cartographie, les organisations doivent comprendre que les liens – contiguïté, héritage et fiabilité – constituent l’épine dorsale de l’analyse des risques systémiques, permettant une prise de décision plus stratégique, intégrée et anticipative en matière de cybersécurité.

  • Liens d’inventaire, pas seulement des actifs. Cartographiez les contiguïtés (connexions réseau, intégrations API) et les chemins d’héritage (identité, dépendances logicielles).
  • Évaluez explicitement la fiabilité. Identifiez les liens qui sont implicitement fiables ou explicitement vérifiés.
  • Superposez les données sur les vulnérabilités et les menaces. Utilisez des analyses, des SBOM et des informations pour trouver des intersections.
  • Établir des priorités et planifier des scénarios. Demandez : Quelles vulnérabilités héritées reposent sur des contiguïtés à haut niveau de confiance ? Quels adversaires peuvent les exploiter ?
  • Itérer et intégrer. Au fil du temps, intégrez les cartes ULM dans des tableaux de bord, des réponses aux incidents et des exercices sur table.

Une approche systémique plus approfondie

Les attaquants exploitent les espaces entre les deux, et pas seulement les points finaux. Le modèle de liaison unifié offre une approche systématique pour analyser les espaces structurels où les menaces croisent les vulnérabilités. En modélisant les réseaux par le biais de liens plutôt que d’infrastructures, l’ULM offre aux RSSI une façon fondamentalement nouvelle de comprendre comment les systèmes numériques se comportent sous pression, qu’il s’agisse de vulnérabilités, d’adversaires ou des deux.

Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Nikkei-Daten sur Slack-Konto eines Mitarbeiters geleakt
Nikkei-Daten sur Slack-Konto eines Mitarbeiters geleakt
Les packages NPM malveillants contiennent un voleur d'informations Vidar
Les packages NPM malveillants contiennent un voleur d’informations Vidar
Cloud strategy questions
Pourquoi les entreprises ne parviennent-elles pas à résoudre le problème de mauvaise configuration du cloud ?