Défense interne : Cybersécurité avec une vue intérieure. En raison du danger, les organisations renforcent leurs défenses contre les cyberattaques de l'extérieur. Cependant, ils oublient souvent de regarder à l'intérieur. Les nouvelles technologies aident à arrêter les attaquants qui sont déjà sur le réseau.
Pour les cybercriminels, la crise corona et ses conséquences signifient une ruée vers l'or - jamais auparavant de nombreuses entreprises n'ont été aussi vulnérables qu'aujourd'hui. Cependant, la sécurité informatique rattrape lentement son retard pour sécuriser la surface d'attaque accrue causée par les employés distribués - et augmente les murs de sécurité autour de l'entreprise et de ses employés travaillant à domicile. De nombreuses organisations négligent le fait que les solutions utilisées ne sont dirigées que vers l'extérieur et non vers l'intérieur - là où les dangers parfois plus grands se cachent.
Les cyber-extorqueurs sont de plus en plus ciblés
Le chiffrement des données par ransomware est un bon exemple de menaces extérieures. Ils sont largement diffusés par les attaquants utilisant le principe de l'arrosoir, et le succès des criminels a tendance à être aléatoire, en fonction de l'employé qui a cliqué sur un e-mail de phishing. Mais même si les données ont été cryptées, les entreprises peuvent utiliser des outils de décryptage, des logiciels de récupération ou de simples sauvegardes pour contrer et récupérer les données.
En réponse, de nombreux cyber-extorqueurs sont de plus en plus ciblés. Ils ciblent de plus en plus leurs attaques sur les organisations dont les données sont considérées comme plus précieuses ou pour lesquelles le potentiel de préjudice à la réputation est le plus élevé. Parce que ces entreprises sont plus disposées à payer une rançon - même si c'est pour le fait que les données ne deviennent pas publiques. À cette fin, les criminels étudient les victimes potentielles individuellement et de manière très détaillée afin de pouvoir évaluer avec précision le potentiel d'une attaque réussie. En fin de compte, ils décident quelles organisations attaquer en fonction des attentes de profit. Ces nouvelles menaces beaucoup plus ciblées nécessitent une réponse différente des attaques plus aveugles des ransomwares.
Les nouvelles menaces nécessitent des réponses plus intelligentes
Du point de vue des opérations de sécurité informatique, une grande partie du défi de la défense contre les cybercriminels réside dans la détection et l'investigation d'attaques potentielles à l'aide d'indicateurs de compromission (IOC). Il peut s'agir d'adresses IP suspectes et/ou sur liste noire, d'URL de phishing connues et de signatures de fichiers malveillants. Idéalement, les outils de sécurité classiques utilisant ces IOC, tels que la détection des intrusions, les pare-feu et la sécurité des terminaux, empêchent les organisations d'être victimes d'une attaque réussie avant elles.
Des outils classiques pour des attaques classiques
Cette approche peut fonctionner pour les ransomwares, où les données sont immédiatement chiffrées après une attaque réussie. Avec les attaques ciblées, les criminels doivent parcourir le réseau pendant un certain temps pour trouver les bonnes données qui valent la peine d'être volées. Les entreprises peuvent avoir des pétaoctets de données stockées dans de nombreux endroits différents. Afin d'accéder à ces précieuses données, les criminels doivent investir beaucoup plus de temps et d'efforts. Cependant, les outils de sécurité orientés vers l'extérieur ne peuvent pas détecter les initiés compromis car, à première vue, ils sont tout à fait légitimes sur le réseau. Pour détecter les attaques à ce stade, les organisations ont besoin d'autres outils de sécurité. Et comme les criminels peuvent parfois rester longtemps sur le réseau, il est important de les détecter le plus tôt possible avant qu'ils ne causent plus de dégâts.
Le facteur temps offre un avantage à la sécurité informatique
Egon Kando est vice-président régional des ventes pour l'Europe centrale, méridionale et orientale chez Exabeam (Photo : Exabeam).
Parfois, les criminels peuvent passer des mois, voire des années au sein d'une infrastructure, se donnant beaucoup de mal pour ne pas être détectés alors qu'ils se frayent un chemin à travers la chaîne de défense jusqu'aux joyaux de la couronne de données de l'entreprise. Cependant, cela offre également de petits avantages à la défense : d'une part, ils ont plus de temps pour rechercher les intrus par rapport aux ransomwares - et d'autre part, les criminels laissent des traces lorsqu'ils se déplacent dans le réseau.
La sécurité informatique peut utiliser ces opportunités pour empêcher que des choses pires ne se produisent, à condition qu'elle dispose des outils nécessaires pour orienter la vision de la sécurité vers l'intérieur. Parce que les IOC sont invariablement tournés vers l'extérieur, ce qui les rend inutiles pour détecter les attaquants déjà sur le réseau.
SIEM et UEBA : La défense centrale efficace
Les solutions SIEM (Security Information and Event Management) compilent les journaux à partir de diverses sources et les analysent pour détecter un comportement réseau normal et suspect. La dernière génération de SIEM est basée sur UEBA (User Entity Behavior Analytics), qui repose sur des algorithmes d'apprentissage automatique et surveille en permanence le comportement des utilisateurs et des appareils du réseau. Par exemple, lorsque des fichiers inhabituels sont consultés ou que des applications visibles sont en cours d'exécution. Cette analyse des données du journal réseau doit être automatisée car il y en a tout simplement trop pour que les équipes de sécurité puissent les examiner manuellement de manière efficace et en temps réel.
Raccourcir les réactions aux attaques
Cependant, identifier les comportements suspects n'est qu'une partie du travail. Car désormais il faut réagir au plus vite pour prévenir les dommages imminents ou les limiter au maximum. Afin de pouvoir définir l'étendue de la réaction, l'incident doit faire l'objet d'une enquête complète. Cela inclut la création d'une chronologie qui montre toutes les activités des utilisateurs et des appareils impliqués et évalue si elles sont normales ou inhabituelles. Une fois cela fait, la réponse peut être planifiée et mise en œuvre. Les équipes de sécurité informatique sont soutenues par des solutions SOAR (Security Orchestration, Automation and Response) pour l'automatisation et l'orchestration des mesures de défense nécessaires à l'aide de divers produits de sécurité. SOAR est, pour ainsi dire, le libéro de la défense, qui réagit aux attaques de manière ciblée le plus rapidement possible après détection et analyse.
Les playbooks dédiés peuvent automatiser entièrement les mesures d'atténuation, telles que l'isolement d'un hôte ou l'interdiction d'une adresse IP pour limiter l'impact. Outre des temps de réponse plus rapides, cela réduit le temps moyen de récupération (MTTR) dans les scénarios critiques où le temps est essentiel.
Ne jamais se sentir en sécurité
Même si les solutions de défense externes telles que la détection des intrusions, les pare-feu et la sécurité des terminaux n'ont pas sonné l'alarme, la sécurité informatique dans les entreprises doit toujours s'attendre à ce que les cybercriminels se trouvent d'une manière ou d'une autre dans le réseau - et les attaquants essaient de les traquer de manière proactive. Pour ce faire, elle a besoin de solutions de sécurité tournées vers l'intérieur.
En savoir plus sur Exabeam.com
À propos d'Exabeam Exabeam signifie Smarter SIEM™. Exabeam permet aux organisations de détecter, d'enquêter et de répondre plus efficacement aux cyberattaques, afin que leurs équipes de sécurité et de menaces internes puissent travailler plus efficacement. Les organisations de sécurité n'ont plus à vivre avec des prix gonflés, des attaques distribuées manquées et des menaces inconnues, ou des enquêtes manuelles et des contre-mesures. Avec la plate-forme de gestion de la sécurité Exabeam, les analystes de la sécurité peuvent collecter un nombre illimité de données de journal, utiliser l'analyse comportementale pour détecter les attaques et automatiser la réponse aux incidents, à la fois sur site et dans le cloud. Exabeam Smart Timelines, séquences de comportement des utilisateurs et des entités créées grâce à l'apprentissage automatique, réduit encore le temps et la spécialisation nécessaires pour détecter les tactiques, techniques et procédures des attaquants. Exabeam est financé par Aspect Ventures, Cisco Investments, Icon Ventures, Lightspeed Venture Partners, Norwest Venture Partners, Sapphire Ventures et le célèbre investisseur en sécurité Shlomo Kramer. Plus d'informations sont disponibles sur www.exabeam.com. Suivez Exabeam sur Facebook, Twitter, YouTube ou LinkedIn.