Alliancy

Couvrir l’angle mort de votre cybersécurité

[EXCLUSIF] Face au paysage actuel des menaces avancées, une défense approfondie, à plusieurs niveaux, a longtemps été considérée comme une meilleure pratique. En cybersécurité, la première ligne de défense (en dehors d’une solide formation et de la maintenance des systèmes) se situe généralement autour du périmètre : antivirus, nouvelle génération de firewalls et de systèmes de prévention d’intrusion (IPS). Parmi les autres niveaux éventuels de défense figurent les systèmes de gestion d’informations et d’événements de sécurité (SIEM), de prévention des pertes de données (DLP), ou encore les plus récentes solutions de détection et de réponse sur les postes de travail (EDR).

Arabella Hallawell, directrice marketing produits pour les menaces avancées, Arbor Networks

Or ces niveaux présentent un « angle mort » : après le moment où un adversaire a franchi le périmètre mais avant qu’il n’ait piraté des systèmes stratégiques et exfiltré des données. Il est en effet difficile aujourd’hui de repérer, suivre et déjouer rapidement les malwares avancés et les campagnes d’attaque précisément à ce stade. Il faut donc une visibilité en temps réel sur l’activité des menaces potentielles après l’intrusion initiale, tandis que les adversaires explorent votre réseau, recherchent des points faibles et préparent l’exfiltration de données.

L’angle mort actuel de la cybersécurité

Le problème est que les défenses périmétriques peuvent alerter sur les menaces connues mais ne disposent d’aucune visibilité sur les opérations de reconnaissance de l’adversaire, ses mouvements latéraux, le rehaussement des droits d’accès, ni sur les autres systèmes susceptibles d’être piratés. La raison en est que les systèmes DLP et EDR signalent les accès suspects et/ou le vol de ressources critiques. Malheureusement ils ne sont pas conçus pour détecter, encore moins suivre, les comportements liés aux attaques en cours sur le réseau.

Les systèmes SIEM peuvent certes offrir plus de visibilité mais ils sont défensifs par nature, ne réagissant qu’à des indicateurs connus, ce qui n’est pas optimal pour la recherche proactive de mouvements latéraux suspects ou d’activités imputables à des malwares nouveaux ou inconnus. Le filtrage et la hiérarchisation des véritables indicateurs d’infection (IoC) parmi le déluge d’alertes peuvent constituer un défi de taille. En outre, il est difficile et long d’obtenir une vision d’ensemble d’une campagne d’attaque à l’œuvre sur le réseau.

Les menaces les plus dangereuses aujourd’hui ne sont pas de simples malwares mais des campagnes d’attaque orchestrées par des acteurs humains. Le composant malveillant lui-même est conçu pour être discret et contourner les niveaux de sécurité en passant inaperçu. Et cela marche souvent : de nombreux piratages ne sont pas détectés jusqu’à ce qu’un tiers alerte la victime.

Meilleure visibilité après intrusion

Une visibilité rapide et flexible sur les techniques de l’attaquant est nécessaire après l’intrusion initiale (qu’elle soit détectée ou non) et avant que les données ou systèmes ne soient davantage compromis, à savoir la reconnaissance interne, les mouvements latéraux, les communications externes, les identifiants détournés ou volés. Avec une meilleure visibilité après intrusion, les entreprises peuvent :

L’automatisation en renfort des capacités humaines

 

Compte tenu de l’étendue, de la quantité de données et de la vitesse de l’environnement des menaces, la visibilité après intrusion doit être automatisée autant que possible. Cependant, les campagnes d’attaque complexes sont menées par des auteurs humains et, comme le démontrent déjà nos expériences d’intelligence artificielle, aucune machine analytique n’est plus complexe ni élaborée que l’esprit humain. L’automatisation ne saurait donc remplacer les défenseurs humains en première ligne mais plutôt seconder et renforcer leurs capacités.

 A mesure que se développe la compréhension des comportements menaçants et des processus à repérer, l’automatisation devient plus praticable… et essentielle. La situation évolue rapidement mais trois catégories se dégagent d’ores et déjà :

Le véritable combat contre une campagne d’attaque avancée commence une fois que l’intrusion s’est déjà produite. Il devient alors crucial d’avoir une visibilité en temps réel sur les techniques de l’attaquant. Grâce à cette visibilité après intrusion, les adversaires éprouvent plus de difficulté à se dissimuler, tandis que vous avez plus de facilité pour contrer leurs attaques. L’heure est donc venue pour les entreprises de couvrir l’angle mort de leur cybersécurité.

Quitter la version mobile