Comment obtenir un avantage injuste sur les cyberattaquants : cybersécurité du contrôle de mission
Vous n’avez pas pu assister à Transform 2022 ? Découvrez dès maintenant toutes les sessions du sommet dans notre bibliothèque à la demande ! Regardez ici.
La mission principale de chaque organisation infosec est d’atténuer les menaces et les risques. Malheureusement, les attaquants ont un avantage injuste par défaut. Ils choisissent quand attaquer, peuvent échouer autant de fois qu’ils en ont besoin pour réussir et n’ont besoin de réussir qu’une seule fois pour réussir. Ils peuvent utiliser des logiciels et des outils bénins pour cacher leurs intentions et accéder à des outils sophistiqués d’intelligence artificielle (IA) et d’apprentissage automatique (ML) pour échapper à la détection. Et la monétisation de la cybercriminalité a conduit à des attaques sophistiquées plus fréquentes.
Le moyen de déjouer les cyber-attaquants est que chaque organisation d’infosec obtienne un avantage injuste sur les mauvais acteurs en se concentrant sur ce qu’ils peuvent contrôler, plutôt que sur ce qu’ils ne peuvent pas. En plus d’identifier les menaces, les entreprises doivent réfléchir de manière plus globale à la manière dont elles peuvent limiter leur surface d’attaque et rationaliser leurs processus de sécurité internes pour optimiser leur efficacité. Le plus grand défi auquel la plupart des organisations sont confrontées est l’opérationnalisation de la sécurité dans leur environnement. Pour y parvenir efficacement, il faut orchestrer et adapter en permanence les personnes, les processus et la technologie.
Ajouter plus de produits de sécurité ne résout pas le problème
L’accent est mis sur les outils de cybersécurité. Mais avoir trop d’outils crée de la complexité et crée en fait des lacunes qui augmentent la vulnérabilité. Ceci est contre-productif pour l’atténuation des menaces.
La plupart des organisations ne peuvent pas se permettre d’employer des analystes du centre des opérations de sécurité (SOC) à plein temps pour gérer les alertes générées par la myriade de produits dans leur environnement. En conséquence, le travail quotidien des infosecs devient une lutte sans fin pour filtrer et répondre aux alertes, ce qui détourne l’équipe de se concentrer sur la mise en œuvre de processus, de politiques et de contrôles de sécurité pour améliorer la posture et la maturité globales de la sécurité.
Événement
MetaBeat 2022
MetaBeat réunira des leaders d’opinion pour donner des conseils sur la façon dont la technologie métaverse transformera la façon dont toutes les industries communiquent et font des affaires le 4 octobre à San Francisco, en Californie.
Inscrivez-vous ici
Certaines organisations se tournent vers l’externalisation pour gérer les alertes auxquelles leur équipe est confrontée quotidiennement, mais la plupart des fournisseurs de services de sécurité gérés (MSSP) se contentent de saisir les alertes et de les transmettre à l’équipe infosec sans ajouter beaucoup de valeur. Ils deviennent un intermédiaire entre les outils et l’équipe infosec. Le fardeau d’enquêter sur l’alerte, de déterminer s’il s’agit d’un faux positif ou non et de décider de la meilleure façon de réagir s’il s’agit d’un incident réel incombe à l’équipe infosec.
Les fournisseurs de détection et de réponse gérées (MDR) offrent plus de support avec le tri des alertes et l’investigation, mais la plupart ne prennent pas le temps de comprendre en profondeur les environnements de leurs clients. Ils tirent parti de la technologie de détection des menaces pour identifier les menaces, mais en raison de leur manque de compréhension de l’environnement, ils ne sont pas en mesure d’offrir des conseils à leurs clients sur la réponse optimale à un incident donné. La plupart des fournisseurs de MDR font également peu pour recommander des conseils sur les meilleures pratiques pour réduire la surface d’attaque d’une organisation ou donner des conseils sur la façon de réduire les risques en rationalisant les processus internes, les pratiques qui aident à améliorer la maturité de la sécurité d’une organisation au fil du temps.
Adopter une approche intelligente de l’externalisation de la cybersécurité
Dans une étude de Dimensional Research, 79 % des professionnels de la sécurité ont déclaré que travailler avec plusieurs fournisseurs présente des défis importants. Soixante-neuf pour cent conviennent que donner la priorité à la consolidation des fournisseurs pour réduire le nombre d’outils dans leur environnement conduirait à une meilleure sécurité.
La maturité de la sécurité doit être priorisée en instituant un cadre d’évaluation et de prévention continues, en plus de la détection et de la réponse dans un modèle 247, avec des plongées plus approfondies dirigées par l’ingénieur SOC. Le fournisseur de services de détection et de réponse gérés (MDR) optimal, une plate-forme unifiée de personnes, de processus et de technologies qui détient le succès de bout en bout de l’atténuation des menaces et de la réduction des risques, devrait accroître la maturité de la sécurité en utilisant des pratiques d’évaluation, de prévention, de détection et de réponse. . Une analyse des causes profondes (RCA) doit être effectuée pour déterminer la cause d’une attaque, en informant les méthodes préventives pour l’avenir.
Le troisième rapport annuel sur l’état de la cyber-résilience d’Accentureont constaté que des processus de sécurité plus matures entraînaient une amélioration par quatre de la vitesse de détection et d’arrêt des failles, une amélioration par trois de la résolution des failles et une amélioration par deux de la réduction de leur impact.
Comment les organisations peuvent-elles obtenir efficacement un avantage en matière de sécurité sur les attaquants
Le seul avantage d’un défenseur est la capacité de connaître son environnement mieux que n’importe quel attaquant. C’est ce qu’on appelle communément l’avantage du terrain. Pourtant, la plupart des organisations ont du mal à tirer parti de cela pour les raisons suivantes :
- La transformation numérique a entraîné une expansion rapide de la surface d’attaque (par exemple avec des modèles de travail à domicile, apportez votre propre appareil, migration vers le cloud et le SaaS). Il est difficile pour les équipes d’infosec d’obtenir une visibilité et un contrôle cohérents sur le nombre croissant de points d’entrée d’attaque.
- Les environnements informatiques modernes évoluent constamment pour s’adapter à la prochaine innovation commerciale (c’est-à-dire les nouvelles applications). C’est un défi pour les équipes d’infosec de suivre tous les changements et d’adapter la posture de sécurité sans interrompre les opérations informatiques.
- Les équipes informatiques et infosec opèrent généralement dans leurs silos respectifs sans partager les informations de manière productive. Ce manque de communication, associé au fait que l’informatique et l’infosec utilisent des outils différents pour gérer l’environnement, contribue aux défis susmentionnés. Cela est aggravé par le fait que c’est souvent le service informatique qui doit agir pour répondre à une menace détectée (c’est-à-dire supprimer une charge de travail du réseau).
Soyez comme la NASA
Le nœud du problème est que la plupart des organisations ont du mal à opérationnaliser leurs efforts de sécurité. Un fournisseur de services MDR peut vous aider. Mais le fournisseur de services MDR doit aller au-delà de la détection et de la réponse pour fonctionner comme le contrôle de mission de la NASA, tout étant axé sur le résultat et englobant cinq facteurs clés :
Le premier est d’avoir un mission au service du résultat. Il est facile de s’enliser dans les détails et les tactiques, mais tout doit être lié à cet objectif de niveau supérieur qui est le résultat final pour minimiser les risques.
La deuxième étape consiste à gagner en visibilité dans vos surfaces d’attaque potentielles. On ne peut pas sécuriser ce que l’on ne comprend pas, donc connaître le environnement est la prochaine étape. Avec chaque organisation, il existe différents points où un utilisateur non autorisé peut essayer d’entrer ou d’extraire des données (surfaces d’attaque). Un analyste doit être parfaitement conscient de l’emplacement de ces points pour créer un plan de protection stratégique visant à les réduire. L’analyste doit également savoir où se trouvent les actifs critiques et ce qui est considéré comme une activité normale (par opposition à une activité anormale) pour cette organisation spécifique afin de signaler une activité suspecte.
La troisième étape est collaboration. La protection d’une organisation, l’atténuation des menaces et la réduction des risques nécessitent une collaboration active entre de nombreuses équipes. La sécurité doit rester au fait des vulnérabilités, en collaboration avec le service informatique pour les corriger. L’informatique doit permettre à l’entreprise de travailler avec la sécurité pour garantir la sécurité des utilisateurs et des ressources. Mais pour mener à bien la mission, il faut que les dirigeants hiérarchisent leurs efforts. Il faut des finances pour allouer des budgets et des tiers pour fournir des services spécialisés de réponse aux incidents (RI).
Ensuite, il doit y avoir un système. Cela implique de développer un processus qui lie tout pour atteindre le résultat final, en sachant exactement où les gens et la technologie s’intègrent et en mettant en œuvre des outils de manière stratégique comme dernière pièce du puzzle. Comme mentionné précédemment, trop d’outils est une grande partie de la raison pour laquelle les organisations se retrouvent en mode de lutte contre les incendies. Les fournisseurs de cloud aident en fournissant des fonctionnalités intégrées dans le cadre de leurs offres IaaS et PaaS. Dans la mesure du possible, les organisations et leurs fournisseurs de services de cybersécurité doivent tirer parti des capacités de sécurité intégrées de leur infrastructure (c.-à-d. Microsoft Defender, Azure Firewall, Active Directory), réduisant ainsi le besoin d’outils excédentaires. Les équipes Infosec doivent commencer à réfléchir à la façon de développer des systèmes qui leur permettent de se concentrer uniquement sur le le plus important incidents.
La dernière étape est des mesures, qui ne doit pas seulement consister en des métriques orientées vers l’arrière, mais aussi en des métriques prédictives indiquant la préparation à se défendre contre de futures attaques. Pour mesurer l’efficacité de la posture de sécurité, la portée de la mesure doit aller au-delà du temps moyen de détection et du temps moyen de réponse (MTTD/MTTR) pour inclure des mesures telles que le nombre d’actifs critiques non couverts par les technologies EDR et combien de temps il faut pour identifier et corriger les systèmes critiques. Ces mesures nécessitent une compréhension approfondie de la surface d’attaque et des réalités opérationnelles de l’organisation.
Pour la plupart des organisations, l’exécution de stratégies de cybersécurité est difficile en raison d’un manque de ressources et de temps. C’est là qu’un fournisseur de MDR peut changer la donne en dotant une organisation de la technologie, des personnes et des processus nécessaires pour transformer sa posture de sécurité et devenir un adversaire redoutable pour tout attaquant potentiel.
Dave Martin est vice-président de la détection et de la réponse étendues chez Open Systems.
DataDecisionMakers
Bienvenue dans la communauté VentureBeat !
DataDecisionMakers est l’endroit où les experts, y compris les techniciens travaillant sur les données, peuvent partager des informations et des innovations liées aux données.
Si vous souhaitez en savoir plus sur les idées de pointe et les informations à jour, les meilleures pratiques et l’avenir des données et de la technologie des données, rejoignez-nous sur DataDecisionMakers.
Vous pourriez même envisager de contribuer votre propre article !
En savoir plus sur DataDecisionMakers