Malgré l'évolution des cybermenaces, les pratiques courantes associées à la détection des menaces et à la réponse aux incidents restent pour la plupart inchangées. L'incapacité à adapter ou à faire progresser les logiciels, les systèmes et l'approche pour combattre les attaquants signifie que de nombreuses organisations s'appuient sur des processus, des procédures et des services tiers largement inefficaces.
En termes simples, de nombreuses organisations ne profitent pas des capacités, des outils et des approches dont disposent désormais les professionnels de la sécurité défensive.
Quel est le fossé entre la détection et la réponse ?
L'écart de détection et de réponse est le temps écoulé entre le moment où une organisation identifie les indicateurs d'une activité malveillante ou d'une compromission et celui où elle entreprend une activité de triage, de confinement et de réponse. Cet écart existe pour plusieurs raisons – et il a de plus en plus d'impact.
La plupart des fournisseurs de services de sécurité gérés (MSSP) privilégient la détection à la réponse. Le confinement et l'éradication des menaces ne sont pas toujours inclus dans leur offre de services et sont souvent remis au client ou à un tiers. Lorsque la réponse est incluse, elle est souvent lente, entravée par l'absence de procédures opérationnelles communes, des rôles et responsabilités mal clarifiés et une compréhension limitée des systèmes et fonctions qui sont essentiels à l'activité du client.
De plus, le “temps de séjour” des attaquants (le temps que les attaquants passent sur un réseau avant de tenter d'atteindre leur objectif) diminue rapidement, ce qui rend inefficaces de nombreuses solutions de détection et de réponse typiques.
Un rapport de 2022 de Mandiant a estimé que la durée médiane d'une attaque par ransomware sur le continent américain et dans la région EMEA n'était que de quatre jours, et il existe des preuves dans la nature de durées de séjour aussi courtes que 90 minutes. Il y a quelques années, le temps de séjour standard était de plusieurs semaines ou mois, les attaquants persistant pendant de longues périodes avant d'exécuter une attaque. À titre de comparaison, dans son rapport sur les menaces de 2020, Mandiant a déclaré un temps de séjour médian mondial de 56 jours, contre un temps de séjour médian mondial de 78 jours signalé dans la même publication en 2019.
Alors que la baisse du temps de séjour était auparavant considérée comme positive (c'est-à-dire que la détection s'améliorait, ce qui signifie que les attaquants persistaient plus longtemps sans se faire remarquer), la simple réalité est que les attaquants d'aujourd'hui se déplacent beaucoup plus rapidement.
À bien des égards, ce changement est dû à la maturité toujours plus grande de l'écosystème des ransomwares. Il indique que les courtiers d'accès initial (IAB) sont très synchronisés avec les opérateurs de ransomware et que les nouvelles informations et les nouveaux accès sont traités rapidement. Il est moins nécessaire d'être furtif et d'attendre la bonne occasion lorsque le ransomware offre un mécanisme aussi efficace pour “encaisser” rapidement.
Qu'est-ce que cela signifie pour la détection et la réponse aux menaces ? Au cours de la décennie précédente, les stratégies de sécurité les plus avancées et les plus efficaces reposaient sur un état d'esprit de violation présumée – reconnaissant que la compromission était inévitable et qu'il fallait, en réponse, une chasse proactive aux menaces pour détecter les activités malveillantes à l'intérieur du réseau.
La compromission est toujours inévitable et l'état d'esprit de la violation présumée reste essentiel, mais les défenseurs n'ont plus le luxe du temps pour identifier les menaces naissantes.
Comprendre le défi
Pour faire face à l'évolution des cybermenaces, les organisations doivent être en mesure d'identifier les actions malveillantes critiques avec une fidélité plus grande que jamais, avec un confinement et une réponse rapides et décisifs pour stopper les attaques avant qu'elles ne puissent dégénérer en compromission à grande échelle.
Avant tout, les organisations doivent partir du principe que la compromission est inévitable – et planifier en conséquence. Comme les attaques de bout en bout se concluent plus rapidement, l'interception au début du cycle de vie de l'attaque est vitale. Avec autant d'informations sous forme de journaux et d'alertes présentées aux défenseurs dans un environnement d'entreprise typique, il peut être difficile d'identifier avec précision les activités malveillantes.
La seule façon de contrer les menaces est d'exécuter des analyses et des enquêtes claires et cohérentes sur les événements et les alertes pertinents avant que les premiers indicateurs d'activité malveillante ne puissent mûrir tout en évitant un excès bruyant d'alertes et en devenant le garçon (service) qui crie au loup.
Aujourd'hui, les praticiens de la sécurité défensive disposent d'outils et de flux abondants pour les aider à identifier les activités malveillantes et la vulnérabilité. Mais avec moins de temps à consacrer à la consommation et à l'investigation de ces flux, l'abondance d'outils (lorsqu'elle n'est pas exploitée dans le cadre d'une structure de sécurité défensive cohérente) a pour effet d'agrandir la botte de foin et de rendre l'aiguille de l'activité malveillante encore plus difficile à trouver. Les attaquants continueront à gagner jusqu'à ce qu'il soit moins cher et plus facile de se défendre que d'attaquer.
Surmonter le fossé de la détection et de la réponse : cinq étapes pratiques
1. Assurer une bonne cyber hygiène et garantir une base de référence sécurisée : Les bases de sécurité continuent de fournir une base essentielle pour que des contrôles plus adaptés et ciblés fonctionnent efficacement. Sans une base de référence sécurisée, il est impossible de mettre en œuvre de manière fiable des contrôles plus intelligents ou ciblés. Une base de référence fiable garantit que le “rayon d'explosion” d'une compromission est contenu et que les cyberattaques perturbatrices et destructrices ne paralysent pas l'entreprise au-delà de la zone d'infection initiale.
À la base, une bonne cyberhygiène signifie un réseau bien architecturé et géré avec des fondamentaux de sécurité en place. Par exemple, avec une gestion des identités et des accès étroitement contrôlée (idéalement avec une fourniture d'autorisations basée sur les rôles et juste à temps), et une séparation et une ségrégation robustes empêchant toute compromission à l'échelle du système. Les organisations doivent assurer une large visibilité des actifs qui forment leur réseau et comprendre les chemins par lesquels les ressources, les systèmes et les informations sont accessibles. En particulier, comprendre l'interconnectivité entre les composants du réseau et la façon dont les applications cloud et tierces sont intégrées peut mettre en évidence l'impact potentiel et l'ampleur d'un compromis. Cela montre également où des contrôles supplémentaires sont nécessaires pour atténuer les risques.
2. Mettez en œuvre des contrôles et des ensembles d'outils robustes pour prendre en charge les opérations de sécurité pilotées par l'homme : Une bonne visibilité du réseau avec des contrôles automatisés de prévention et de détection est nécessaire pour combattre la plupart des menaces génériques, avec un jeu d'outils adapté fournissant le contexte et la capacité d'effectuer l'identification, le confinement et la réponse à l'échelle du réseau.
Bien qu'il existe de nombreux outils puissants prêts à l'emploi, leur réglage et leur adaptation pour offrir des avantages spécifiques aux défenseurs permettront toujours d'extraire plus de valeur qu'avec un déploiement générique. Il est essentiel de comprendre la valeur d'un outil en fonction du rôle spécifique qu'il jouera et de la façon dont ses capacités contribuent à l'écosystème de sécurité plus large pour éviter les dépenses inutiles.
La pile de sécurité doit présenter des informations claires, concises et exploitables pour les défenseurs et la capacité de collecter des informations et de répondre aux menaces du réseau à distance. Une prévention, une détection et une réponse autonomes robustes à des événements spécifiques sont également essentielles et peuvent alléger les frais généraux manuels, mais elles ne remplacent pas encore de manière fiable l'intervention humaine lorsqu'il s'agit de répondre à un incident ou à un schéma d'événements plus large.
3. Contrôle le champ de bataille : Les “chemins d'attaque” représentent les chemins les plus courants sur ton réseau que les attaquants doivent emprunter pour atteindre leurs objectifs. Dans un réseau bien contrôlé, il y aura moins de chemins d'attaque bien définis qui illustrent les façons les plus probables pour les attaquants de traverser le réseau à partir d'un point logique de violation.
De façon réaliste, seul un sous-ensemble de contrôles de sécurité s'appliquera à ces chemins d'attaque. Cela signifie que les alertes de détection haute-fidélité peuvent être conçues pour fournir des indicateurs très précis d'activité malveillante en corrélation avec un objectif clair de l'attaquant et un impact commercial associé.
Une approche de sécurité axée sur le chemin d'attaque est efficace lorsqu'il existe une base de contrôles fiable. Si le réseau est trop poreux, le nombre de chemins d'attaque possibles sera trop vaste pour qu'ils puissent “contrôler le champ de bataille”. Penser en termes de chemins d'attaque peut aider les organisations à redéfinir ce qui détermine la criticité des actifs afin de mieux refléter leur importance dans l'écosystème de sécurité.
Il y aura toujours des zones de réseau moins sécurisées ou des zones qui présentent plus de difficultés à identifier les chemins d'attaque les plus répandus. Cependant, l'établissement des “inconnus connus” est une étape précieuse pour améliorer la posture de sécurité et peut guider les activités d'amélioration futures.
4. Intégrez la première réponse pour un triage et un confinement sans faille : La plupart des services de réponse aux incidents peuvent être décrits comme des services “post-mortem”, caractérisés par une gestion des incidents sur le terrain plus axée sur la limitation des dommages, le nettoyage et la reconstruction que sur la lutte contre les menaces en direct, “sur le clavier”. Par conséquent, les attaques seront probablement découvertes dans leurs derniers stades, avec un minimum de possibilités d'interception avant que les dommages ne se produisent.
En intégrant de manière transparente le triage et le confinement initial à la détection, autrement appelée “première réponse”, les organisations peuvent réduire l'écart entre la détection et la réponse afin de s'attaquer aux menaces naissantes avant qu'elles ne se transforment en compromission à grande échelle.
Nous encourageons un état d'esprit de réponse “active” – en intégrant les capacités de réponse entre les solutions des fournisseurs et les outils en place et en étant prêt à les exploiter comme une extension de la détection des menaces. Associer des cas d'utilisation de réponse clairs à des détections clés (telles que celles dérivées des chemins d'attaque) signifie que des actions de réponse décisives et prédéterminées peuvent être prises pour contenir et (si possible) éradiquer la menace.
Les contre-mesures automatisées sont la solution optimale. Lorsque cela n'est pas possible, inciter les analystes à lancer des étapes à partir d'un livre de jeu prédéfini peut être tout aussi efficace – et peut faire la différence entre un compromis partiel et une catastrophe à l'échelle de l'entreprise.
5. Planifie, répète et affine la réponse à l'incident : Un livre de jeu solide de scénarios d'incidents pertinents et une équipe bien rodée et entraînée peut faire toute la différence en cas de crise. Aujourd'hui, la réponse aux cyberincidents est une entreprise à l'échelle de l'entreprise, qui exige que les fonctions opérationnelles essentielles et la direction générale communiquent et collaborent efficacement.
Cependant, même un effort de réponse réussi peut entraîner une compromission partielle, avec un impact associé sur la capacité à fonctionner normalement. Les organisations doivent planifier et répéter la réponse à des scénarios d'incidents spécifiques à haut risque (comme une compromission par ransomware à grande échelle) et comprendre clairement leurs plans de continuité des activités.
Pour minimiser l'impact des incidents, les organisations doivent comprendre leurs tolérances d'impact (la perturbation maximale tolérable d'un service commercial important) et leurs objectifs de temps de récupération (le temps qu'une entreprise doit consacrer à la restauration de ses processus à un niveau de service acceptable) et entreprendre des projets d'amélioration pour garantir la maîtrise des risques.
Un exercice de gestion de crise adapté et engageant est un excellent déclencheur pour les organisations qui cherchent à s'exercer à la réponse aux incidents et à mettre en évidence les points sur lesquels il faut travailler pour comprendre et améliorer la résilience opérationnelle. Il est fréquent que les organisations, en particulier dans les secteurs industriels non axés sur la technologie, sous-estiment à quel point elles dépendent de leurs systèmes et infrastructures numériques.
En se concentrant sur ces cinq domaines fondamentaux et en évaluant continuellement les points forts et les possibilités d'amélioration, les organisations peuvent minimiser l'écart de détection et de réponse et améliorer de manière significative leur posture de sécurité grâce à leur capacité à prévenir, détecter, répondre et se remettre des cyberattaques.
Matt Lawrence est responsable de Defensive Security & ; et Dan Green est responsable des solutions chez Jumpsec
Tu pourrais aussi lire :
Externaliser les systèmes informatiques et la gestion des données peut être une fausse économie:
___________________________________________________________________________________________
Si tu aimes ce site Web et que tu utilises l'annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports détaillés sur les directeurs, en t'inscrivant à l'abonnement. Abonnement Premium.
- Individuel 5 £ par mois ou 50 £ par an. S'inscrire
- Multi-utilisateur, entreprise & ; Comptes de bibliothèque disponibles sur demande
Renseignements sur la cybersécurité : Capturé Organisé & Accessible
