Dans les entreprises, il est toujours important de détecter au plus tôt les attaques de pirates. Une analyse comportementale permet de raccourcir le "dwell time" des attaques réussies.
Les hacks sont souvent dépeints dans les films comme une sorte de vol de banque numérique : les pirates franchissent les mécanismes de protection de leur cible de manière spectaculaire et n'ont ensuite que quelques minutes pour voler les données convoitées, tandis que la sécurité informatique tente désespérément d'arrêter les attaquants. . La réalité est bien différente, car la plupart des cybercriminels s'installent en réalité sur le réseau et y passent parfois des mois ou des années avant d'être découverts. Si vous avez autant de temps, vous pouvez bien sûr causer beaucoup de dégâts, et le temps de séjour est l'un des indicateurs les plus importants lors de l'analyse des piratages réussis pour déterminer la gravité d'une attaque. Dans de nombreux cas, même quelques heures d'accès peuvent entraîner la compromission d'une quantité importante de données.
Les attaquants passent 56 jours dans l'environnement cible avant d'être détectés
Dans un rapport récent, le temps de séjour médian mondial des cybercriminels avant la détection était de 56 jours. Cette valeur était nettement meilleure que celle de l'année précédente, lorsque les attaquants disposaient encore de 78 jours avant d'être découverts. Dans certains cas, cependant, les violations sont passées inaperçues pendant plusieurs années, avec de graves conséquences pour toutes les personnes impliquées. L'une des raisons pour lesquelles les attaques peuvent passer inaperçues pendant si longtemps est l'étalement croissant des réseaux de la plupart des entreprises. Plus ces réseaux deviennent grands, dispersés et désorganisés, plus il est facile pour les criminels de rester cachés. Une fois sur place, les attaquants naviguent sur le réseau sans être détectés, analysant et exfiltrant les données au fur et à mesure. Bien sûr, pour les entreprises qui détiennent des données sensibles sur les clients ou des données de recherche secrètes, c'est un cauchemar d'imaginer que des attaquants pourraient rester non détectés sur le réseau pendant des mois, voire des années. De nombreux exemples montrent à quel point ces fuites de données durables sont graves pour les entreprises concernées.
Le cauchemar de la sécurité informatique : les attaquants du réseau non détectés pendant des années
Il existe d'innombrables exemples d'entreprises qui ont été victimes de piratages réussis qui ont coûté des milliards de dollars en dommages. Le fournisseur de services financiers américain Equifax, par exemple, a perdu 2017 % de sa valeur boursière après qu'une importante fuite de données a été connue en 35, a dû accepter d'immenses dommages à sa réputation et payer plus d'un demi-milliard de dollars américains d'amendes. Le cas de Cathay Pacific en 2018, dans lequel 9,4 millions de données passagers ont été compromises, est également mythique et quasi inégalé en termes de durée de séjour. L'enquête de Cathay Pacific a duré plus de six mois pour découvrir une série de révélations choquantes : la première date connue d'accès non autorisé au réseau remonte à près de quatre ans, en octobre 2014. Les attaquants n'ont donc pas été détectés sur le réseau pendant quatre ans ! Et comme si cela n'était pas assez embarrassant pour la sécurité informatique de Cathay Pacific, la vulnérabilité par laquelle les attaquants avaient pénétré était facile à exploiter et, de plus, était de notoriété publique depuis longtemps.
Les deux cas servent d'avertissements de ce qui peut arriver dans le pire des cas et d'exemple que les dommages peuvent être limités si la faille de sécurité informatique est détectée le plus tôt possible. Il est reconnu depuis longtemps que chaque organisation est vulnérable et que ce n'est qu'une question de temps avant qu'une faille de sécurité ne se produise. Cela pose la question des solutions et des compétences dont la sécurité informatique a besoin pour pouvoir détecter au plus tôt ces activités malveillantes.
L'analyse avancée du comportement fournit un bien meilleur système d'alerte précoce
Apparemment, les compétences et les solutions utilisées ne sont pas au point dans de nombreuses entreprises alors que les attaquants disposent en moyenne de deux mois pour se mettre à l'aise dans un environnement cible. Lorsqu'il s'agit de prévenir complètement les attaques ou de réduire leur temps d'attente, de nombreuses équipes de sécurité sont dans une position plutôt perdue. Parce que de nombreuses solutions de sécurité courantes produisent avant tout une chose : de fausses alarmes. Les équipes doivent passer beaucoup de temps à traiter manuellement le flot d'alarmes. Cela laisse peu de temps, voire pas du tout, pour s'engager dans le processus encore plus long de recherche d'attaquants qui ont déjà pénétré le réseau et de leur élimination.
L'analyse comportementale est une technologie nettement plus efficace que l'évaluation manuelle des alertes de sécurité. Cela peut aider à identifier plus efficacement les activités suspectes des utilisateurs ou du réseau. Les solutions d'analyse comportementale exploitent les journaux d'incidents de sécurité préexistants, ce qui signifie qu'elles connaissent déjà l'étendue et le contexte complets des détails des événements connexes. Par conséquent, les analystes de la sécurité n'ont plus besoin de passer au crible un grand nombre de journaux d'événements pour créer manuellement des chronologies d'incidents. En éliminant ce processus chronophage, les failles de sécurité potentielles peuvent être détectées beaucoup plus rapidement, ce qui permet aux équipes de sécurité de traquer rapidement les attaquants et d'éliminer pratiquement le temps d'attente des attaquants.
Conclusion : analyser le comportement des utilisateurs et des entités permet de détecter les menaces plus tôt
Les réglementations modernes en matière de confidentialité sont plus strictes que jamais, ce qui signifie que les entreprises ne peuvent tout simplement plus se permettre d'être complaisantes en matière de sécurité des données. Mais comme les réseaux sont désormais plus vastes et plus dispersés que jamais, les protéger avec des outils de sécurité traditionnels et une analyse manuelle n'est plus rentable. Les nouvelles technologies, telles que l'analyse comportementale avancée, éliminent les démarches fastidieuses que nécessitaient les anciens outils, évitant les faux positifs et aidant à détecter les menaces réelles beaucoup plus tôt.
[idboîteétoile=17]