Renverser la vapeur face à l’agent de menace de demain

Il est loin le temps où tous les travailleurs devaient faire la navette entre leur domicile et leur lieu de travail. Si certains employés préfèrent travailler au bureau en permanence, beaucoup se réjouissent de la volonté des employeurs d'offrir à leurs employés des possibilités de télétravail. des alternatives flexibles comme les modèles à distance et les modèles hybrides.

Les recherches montrent que le personnel britannique se rendait au bureau 3,8 jours par semaine en moyenne avant la pandémie, ce chiffre ayant chuté à 1,4 jour par semaine en 2022.

S'il ne fait aucun doute que la nouvelle normalité améliore les cultures d'entreprise et fait avancer une nouvelle frontière centrée sur l'amélioration de l'expérience de l'employé, dans le cas de la sécurité, elle a eu des implications dramatiques. Les membres du personnel n'accèdent plus tous à l'internet derrière un périmètre de sécurité – où les applications étaient toutes contrôlées et où les VPN pouvaient être utilisés à distance, le cas échéant, pour reproduire des sessions sûres.

Aujourd'hui, les employés peuvent facilement utiliser l'internet pour accéder aux réseaux d'entreprise hébergeant des données sensibles et personnelles au sein d'applications clés et de plateformes SaaS à partir d'une série d'appareils situés dans divers endroits. En conséquence, le navigateur web est devenu la plus grande surface d'attaque et la plus grande cible pour les acteurs de la menace, qui sont nombreux à en tirer parti et à l'exploiter avec succès.

Ces changements dans les modes de travail ont mis à mal les méthodes sur lesquelles les praticiens de la sécurité s'appuyaient traditionnellement pour sécuriser leurs organisations. En effet, les entreprises ont été contraintes de réévaluer leurs besoins commerciaux et de développer des feuilles de route stratégiques entièrement nouvelles, laissant les RSSI se démener pour trouver des moyens d'intégrer les meilleures pratiques en matière de sécurité.

La compréhension des exigences de sécurité modernes s'améliore

Au cours des trois dernières années, la situation s'est heureusement quelque peu éclaircie. Aujourd'hui, les organisations exigent généralement un ensemble cohérent de politiques de sécurité pour tous les utilisateurs – qu'il s'agisse d'un employé au bureau ou d'un ingénieur faisant la navette et utilisant un réseau cellulaire. Quel que soit l'appareil qu'ils utilisent et l'application qu'ils doivent utiliser, il doit y avoir un cadre de sécurité clair qui guide les meilleures pratiques universelles.

Malheureusement, les pare-feu et les VPN ne sont tout simplement pas conçus pour cela. Au lieu de cela, les organisations font désormais appel à des services en nuage qui peuvent gérer efficacement des autorisations de sécurité complètes et fournir des informations clés, détaillant exactement l'identité de chaque utilisateur et ce à quoi il peut accéder sur le réseau de l'entreprise.

Ce processus est devenu très intelligent. Des dispositifs de sécurité plus avancés peuvent gérer les privilèges et évaluer la posture de sécurité en permanence, en adaptant les autorisations en fonction du type d'utilisateur, de l'endroit où il se trouve, des systèmes auxquels il essaie d'accéder et du moment où il essaie d'y accéder.

Il est essentiel que les entreprises s'adaptent de cette manière. Non seulement la sécurité est devenue une entreprise plus complexe avec de nombreux éléments en mouvement, mais elle est aussi devenue un enjeu majeur pour les entreprises. le paysage des menaces a également changé de manière spectaculaire.

Selon la base de données Statista Perspectives de la cybersécuritéLe coût mondial de la cybercriminalité a été estimé à 8,44 billions de dollars en 2022, soit sept fois plus que les 1,16 billions de dollars rapportés en 2019. Par conséquent, la sécurité est fondamentalement devenue une question de conseil d'administration. Elle ne peut pas être une réflexion après coup. Au contraire, le RSSI doit désormais jouer un rôle majeur dans la prise de décision de l'entreprise.

Les RSSI sont là pour apporter une valeur ajoutée, en appliquant la sécurité comme partie intégrante de la pile technologique. Pour y parvenir efficacement, ils doivent avoir une compréhension permanente de chaque nouveau produit, de la manière dont les clients les utiliseront et du fonctionnement interne de l'architecture qui sous-tend chaque solution.

Responsabilité ne repose pas uniquement sur le RSSI. Cependant, une culture dans laquelle la sécurité devient une priorité absolue doit être instillée dans toute l'organisation. Une culture dans laquelle la sécurité devient une priorité majeure doit être instillée dans l'ensemble de l'organisation – chaque entreprise aura des modèles et des structures de main-d'œuvre différents, et de nombreuses fonctions doivent penser à la sécurité de manière plus active.

Il est intéressant de noter qu'un Gartner a révélé que 88 % des conseils d'administration considèrent la cybersécurité comme un risque pour l'entreprise plutôt que comme un simple problème informatique. La menace des ransomwares et des tenues de menace soutenues par des États-nations a modifié la perception de la cybersécurité, les dirigeants étant de plus en plus conscients des défis à relever.

Renforcer les défenses face aux menaces évasives et complexes

Cette reconnaissance croissante offre aux RSSI la possibilité de combler le fossé entre les professionnels techniques et la direction générale. Ils jouissent désormais d'une plus grande influence sur les discussions au sein du conseil d'administration, ce qui leur permet de veiller à ce que les meilleures pratiques soient plus facilement inculquées. Toutefois, compte tenu de la progression constante des nouvelles menaces, il s'agit là du strict minimum requis.

Aujourd'hui, le navigateur est le nouveau bureau. Alors qu'auparavant il fallait se rendre dans une salle de conférence pour organiser une réunion, les employés passent aujourd'hui 75 % de leur temps de travail sur un navigateur web ou à l'aide d'applications de conférence web. Malheureusement, comme nous l'avons mentionné, les acteurs de la menace sont conscients de cette situation et des possibilités qu'elle offre, et adaptent leurs techniques en conséquence.

L'utilisation de méthodes d'attaque évasives par des acteurs malveillants a considérablement augmenté, leur permettant de contourner les outils de sécurité traditionnels tels que les passerelles web sécurisées (SWG), les pare-feu, les outils de détection du phishing et les moteurs d'analyse des logiciels malveillants.

Connues sous le nom de “Highly Evasive Adaptive Threats” (HEAT), ces attaques exploitent activement le navigateur web comme vecteur d'attaque, rendant presque obsolètes une dizaine d'années d'investissements de sécurité axés sur la protection du périmètre du réseau.

C'est une réalité frustrante qui a contraint de nombreux services de sécurité à reconstruire entièrement leurs défenses à partir de zéro. Pourtant, les dangers de l'HEAT ne peuvent être ignorés. Les recherches menées par le Menlo Labs a révélé une augmentation de 224 % des attaques HEAT au second semestre 2021 – une trajectoire qui semble s'être poursuivie jusqu'en 2022. Menlo Security a également interrogé l'an dernier 505 décideurs informatiques d'entreprises comptant au moins 1 000 employés aux États-Unis et au Royaume-Uni. Plus de la moitié (55 %) des organisations sont confrontées à des menaces web avancées au moins une fois par mois, et une sur cinq y est confrontée chaque semaine.

Plusieurs signes sont de plus en plus inquiétants.

• Les pirates cherchent désormais à contourner l'authentification à deux facteurs par des campagnes d'ingénierie sociale pour accéder aux actifs de l'entreprise, par exemple. Il est clair que les attaques par navigateur ne sont pas seulement de plus en plus courantes, mais aussi de plus en plus efficaces. En effet, près des deux tiers des personnes interrogées (62 %) dans le cadre de notre enquête ont vu un appareil compromis par une attaque basée sur un navigateur au cours des 12 derniers mois seulement.

• En outre, il est clair que certaines de ces attaques auraient pu être évitées. En effet, l'enquête montre que moins de trois organisations sur dix ont mis en place des solutions de protection contre les menaces avancées sur tous les terminaux utilisés pour accéder aux applications et aux ressources de l'entreprise, tandis que près de la moitié (45 %) n'ont pas mis en place de solutions de protection contre les menaces avancées. n'ont pas ajouté de nouvelles fonctionnalités à leur pile de sécurité réseau au cours de l'année précédente.

Adopter une culture de la sécurité d'abord

Pour beaucoup, la question de la hiérarchisation des priorités continue de se poser. Compte tenu du paysage des menaces, la sécurité doit plus que jamais être une priorité. Pourtant, aborder les choses de cette manière est plus facile à dire qu'à faire dans le cas des organisations qui ont toujours procédé à des changements opérationnels avant de mettre en œuvre des adaptations de sécurité par-dessus.

Il s'agit d'adopter une culture de la sécurité d'abord – un changement qui peut être accéléré grâce à quelques stratégies simples.

Plus précisément, les RSSI devraient s'attacher à sensibiliser davantage le personnel à la sécurité, en permettant à chacun d'être plus apte à repérer les activités suspectes telles que les tentatives d'ingénierie sociale. La bonne nouvelle, c'est qu'un nombre croissant de fonctions prennent conscience de leur responsabilité en matière d'hygiène de sécurité. Les RSSI peuvent opérationnaliser cette mentalité, mais il devient de la responsabilité de chacun de l'adopter.

En outre, les organisations devraient veiller à ce que les paramètres de sécurité s'étendent à tous les points d'extrémité capables d'accéder au réseau de l'entreprise. Cela peut contribuer grandement à permettre aux entreprises de contrecarrer tout type de menace. La prise de conscience la plus importante est peut-être qu'il n'y a pas de solution miracle lorsqu'il s'agit de la cybersécurité d'une organisation. Les principes de bonne gestion doivent s'appliquer, notamment en ce qui concerne le recrutement, une bonne formation et l'exécution d'une feuille de route tournée vers l'avenir tout en donnant la priorité à la sécurité.

Bien sûr, tout le monde est à la recherche du prochain gadget brillant ou de la technologie miracle capable d'assurer la sécurité de tous, mais la réalité est que les équipes les plus fortes sont celles qui sont constamment délibérées dans leurs intentions, qui prennent plus de temps pour diriger le navire tout en le faisant d'une manière sûre et sécurisée et qui sont exécutées en fonction des besoins de l'entreprise.

Isoler le point final

Dans le cas des menaces liées aux navigateurs, un bon point de départ pour l'atténuation consiste à supprimer autant que possible l'interaction et le trafic de l'utilisateur à partir des navigateurs eux-mêmes. Cela peut sembler impossible étant donné l'importance du navigateur dans les modèles de travail modernes, mais c'est facilement réalisable avec les bonnes solutions de soutien.

La technologie d'isolation peut être utilisée pour isoler le point final du navigateur Internet, en le réécrivant et en le délivrant ensuite comme un flux propre.

Cela empêche tout code malveillant d'atteindre les terminaux des utilisateurs en déplaçant le point d'exécution vers un conteneur jetable, basé dans le nuage, qui agit comme un sas numérique entre le navigateur et les réseaux de l'entreprise. Cela réduit également le nombre d'alertes qui parviennent au centre des opérations de sécurité (SOC), ce qui peut exacerber la fatigue des alertes – un problème majeur auquel sont confrontés les professionnels de la sécurité alors qu'ils tentent de faire face aux exigences de la nouvelle normalité.

Lutter contre la fatigue des alertes de sécurité

Nous sommes convaincus que cette approche deviendra bientôt le modèle dominant en matière de sécurité sur l'internet. Il ne s'agit pas nécessairement d'éliminer la détection et l'identification proactives. Il s'agit plutôt de créer des environnements de travail propres tout en réduisant considérablement la charge que représentent les alertes et les faux positifs pour le SOC.

Les équipes de renseignement sur les menaces examinent déjà d'énormes quantités de données. Elles ne veulent pas avoir à en examiner encore plus pour trouver une aiguille dans une botte de foin. Plus les clients pourront remédier à la fatigue des alertes tout en améliorant leur posture de sécurité, mieux ce sera.

Nick Edwards est VP Product at Menlo Security

A lire également :

Les stratégies de cybersécurité doivent évoluer en même temps que l'entreprise:

___________________________________________________________________________________________

Si tu aimes ce site web et que tu utilises l'annuaire complet des fournisseurs de services (plus de 6 500), tu peux obtenir un accès illimité, y compris la série exclusive de rapports approfondis sur les directeurs, en souscrivant à un abonnement Premium.

• Individuel : £5 par mois ou £50 par an. S'inscrire

• Comptes multi-utilisateurs, d'entreprise et de bibliothèque disponibles sur demande

Renseignements sur la cybersécurité : Capturé, organisé et accessible