La sécurité doit devenir agile pour forcer les attaquants à échouer

« The quick and the dead » est à la fois le titre d’un western de Sam Raimi (« Mort ou vif » en français) et une phrase anglaise tirée de la traduction du Nouveau Testament de William Tyndale. Le mot quick (« rapide » en français), vient de l’ancien anglo-saxon pour « vivant », et rien ne pourrait être plus approprié. Car être rapide, c’est être vivant. C’est on ne peut plus vrai dans le domaine de la cybersécurité, où nous sommes littéralement engagés dans une course asymétrique contre un adversaire intelligent capable de s’adapter en permanence. C’est pourquoi la sécurité est en fin de compte une question de vitesse.

Sam Curry, responsable de la sécurité, Cybereason

Sam Curry, responsable de la sécurité, Cybereason

L’adversaire est innovant, motivé, souvent bien financé, et il bénéficie des avantages de l’asymétrie : il n’a besoin d’avoir raison qu’une seule fois pour réussir, tandis que le défenseur est condamné à jouer un jeu parfait en permanence. Et compte tenu des gains importants que peut espérer un attaquant compétent, l’expertise technique et les capacités opérationnelles de ces groupes augmentent bien plus rapidement que celle des défenseurs (dont les primes au résultat sont bien en deçà des gains des attaquants)

 

 

La première étape pour être à l’épreuve du futur est d’être… à l’épreuve du présent !

Cela signifie être rapide et adaptable au présent et chercher à itérer le plus rapidement possible pour suivre au plus près le rythme des progrès de l’attaquant. En un mot, la sécurité doit être plus agile avec les personnes, les processus et la technologie.

Cependant, dans le domaine des technologies, le terme « agile » est particulièrement chargé, car il est au cœur de la révolution DevOps, qui consiste à produire du meilleur code, plus rapidement, et à mieux aligner les environnements de développement et de production.

Pour beaucoup, le mouvement agile peut sembler un peu révolutionnaire, voire militant. Il s’agit, après tout, d’un changement complet de l’approche traditionnelle de l’ingénierie logicielle, en plaçant l’utilisateur au centre des préoccupations, en mettant l’accent sur le pragmatisme et — sacrilège — en laissant les développeurs pousser du code en production !

A lire aussi : Des systèmes OT de plus en plus connectés, une sécurité de plus en plus complexe

Le manifeste agile, cependant, ne concerne pas que le développement logiciel : il contient des leçons extrêmement précieuses et peut conduire à une révolution similaire pour la sécurité de l’information si nous appliquons correctement ses principes essentiels :

  • L’utilisateur n’est pas à blâmer
  • Les règles de sécurité doivent tenir compte du comportement humain
  • Il est important de se concentrer sur les processus
  • Il faut assumer les résultats et veiller à leur amélioration progressive
  • La collaboration en mode transverse est importante

La perfection est l’ennemi du bien, disait Voltaire. C’est pourquoi l’amélioration progressive doit être placée au cœur des opérations de sécurité pour que celles-ci prétendent être efficaces sur le long terme.

Par exemple, les indicateurs de compromission (IOC) ne sont plus nécessairement l’alpha et l’oméga de la lutte contre les attaques perfectionnées (APT), comme l’a notamment démontré l’opération SoftCell (parmi d’autres).

Dans le cadre de l’opération SoftCell, chaque copie de malware, du fameux « China Chopper » au désormais vénérable « Poison Ivy », avait une signature unique. Chaque fois qu’il était utilisé chez une victime, la signature du code malveillant déposé était unique. Cela signifie que ce n’est pas parce que l’équipe de défense a pu l’identifier quelque part qu’elle sera en mesure de le traquer ailleurs. Pire : la recherche de hashes sur des sources publiques non seulement ne donnait aucun résultat, mais pouvait aussi permettre à l’attaquant de suivre les progrès des défenseurs en direct !

A lire aussi : Dossier sécurité : ceux qui font bouger les lignes

Toujours à l’affut, l’adversaire a donc trouvé le moyen de rendre les indicateurs de compromission (IoC) quasi inutiles. Dans une telle attaque, la seule fois où un IoC est détecté, c’est que l’attaquant a fait une erreur ou qu’il lance une diversion pour augmenter le rapport bruit/signal.

Bien entendu, les IoC auront toujours un rôle à jouer, ne serait-ce que pour réduire le bruit général ou identifier les attaques les moins perfectionnées ; mais la sécurité est un jeu dynamique qui se joue dans un environnement chaotique face à un adversaire intelligent. Tout ce que nous faisons de statique et de prévisible peut devenir un handicap. Cela peut sembler l’antithèse de la plupart des processus maîtrisés, mais ce n’est pas le cas. Il s’agit simplement de la nouvelle réalité des opérations de sécurité, dont le principe fondamental est désormais celui de l’adaptation en continu.

Et cela doit devenir le mantra des opérations de sécurité future : être agile et choisir l’amélioration continue. Cela, évidemment, conduit à faire évoluer les sources de télémétrie de sécurité, telles que l’EDR ou le XDR. L’approche SIEM historique, qui consiste à « tout capturer », devra laisser la place à une automatisation fiable, sélective, adaptive et surtout difficile à prévoir par les attaquants. C’est la différence entre un mode actuel où les défenseurs doivent être bons en permanence et un monde futur ou les attaquants sont condamnés à la perfection… et donc s’attendre à échouer à un moment ou un autre !