[EXCLUSIF] Face au paysage actuel des menaces avancées, une défense approfondie, à plusieurs niveaux, a longtemps été considérée comme une meilleure pratique. En cybersécurité, la première ligne de défense (en dehors d’une solide formation et de la maintenance des systèmes) se situe généralement autour du périmètre : antivirus, nouvelle génération de firewalls et de systèmes de prévention d’intrusion (IPS). Parmi les autres niveaux éventuels de défense figurent les systèmes de gestion d’informations et d’événements de sécurité (SIEM), de prévention des pertes de données (DLP), ou encore les plus récentes solutions de détection et de réponse sur les postes de travail (EDR).
Arabella Hallawell, directrice marketing produits pour les menaces avancées, Arbor Networks
Or ces niveaux présentent un « angle mort » : après le moment où un adversaire a franchi le périmètre mais avant qu’il n’ait piraté des systèmes stratégiques et exfiltré des données. Il est en effet difficile aujourd’hui de repérer, suivre et déjouer rapidement les malwares avancés et les campagnes d’attaque précisément à ce stade. Il faut donc une visibilité en temps réel sur l’activité des menaces potentielles après l’intrusion initiale, tandis que les adversaires explorent votre réseau, recherchent des points faibles et préparent l’exfiltration de données.
L’angle mort actuel de la cybersécurité
Le problème est que les défenses périmétriques peuvent alerter sur les menaces connues mais ne disposent d’aucune visibilité sur les opérations de reconnaissance de l’adversaire, ses mouvements latéraux, le rehaussement des droits d’accès, ni sur les autres systèmes susceptibles d’être piratés. La raison en est que les systèmes DLP et EDR signalent les accès suspects et/ou le vol de ressources critiques. Malheureusement ils ne sont pas conçus pour détecter, encore moins suivre, les comportements liés aux attaques en cours sur le réseau.
Les systèmes SIEM peuvent certes offrir plus de visibilité mais ils sont défensifs par nature, ne réagissant qu’à des indicateurs connus, ce qui n’est pas optimal pour la recherche proactive de mouvements latéraux suspects ou d’activités imputables à des malwares nouveaux ou inconnus. Le filtrage et la hiérarchisation des véritables indicateurs d’infection (IoC) parmi le déluge d’alertes peuvent constituer un défi de taille. En outre, il est difficile et long d’obtenir une vision d’ensemble d’une campagne d’attaque à l’œuvre sur le réseau.
Les menaces les plus dangereuses aujourd’hui ne sont pas de simples malwares mais des campagnes d’attaque orchestrées par des acteurs humains. Le composant malveillant lui-même est conçu pour être discret et contourner les niveaux de sécurité en passant inaperçu. Et cela marche souvent : de nombreux piratages ne sont pas détectés jusqu’à ce qu’un tiers alerte la victime.
Meilleure visibilité après intrusion
Une visibilité rapide et flexible sur les techniques de l’attaquant est nécessaire après l’intrusion initiale (qu’elle soit détectée ou non) et avant que les données ou systèmes ne soient davantage compromis, à savoir la reconnaissance interne, les mouvements latéraux, les communications externes, les identifiants détournés ou volés. Avec une meilleure visibilité après intrusion, les entreprises peuvent :
- rechercher proactivement les campagnes téléguidées par des individus et procéder à des investigations pour vérifier le présence de menaces actives tapies à l’intérieur de leur réseau. Lorsque la vitesse est essentielle, les équipes informatiques peuvent mieux faire lien entre les alertes, les systèmes et les comportements.
- optimiser les opérations et investissements SOC existants dans les outils de sécurité en place, par exemple accélérer la reconnaissance des faux positifs et la hiérarchisation des véritables menaces.
- bloquer l’exfiltration de données et déjouer les campagnes d’attaque dans leur intégralité, suivre les mouvements latéraux des adversaires, les systèmes touchés ou les charges malveillantes implantées et éliminer tous les composants de l’attaque avant qu’elle ne commette des dommages.
L’automatisation en renfort des capacités humaines
Compte tenu de l’étendue, de la quantité de données et de la vitesse de l’environnement des menaces, la visibilité après intrusion doit être automatisée autant que possible. Cependant, les campagnes d’attaque complexes sont menées par des auteurs humains et, comme le démontrent déjà nos expériences d’intelligence artificielle, aucune machine analytique n’est plus complexe ni élaborée que l’esprit humain. L’automatisation ne saurait donc remplacer les défenseurs humains en première ligne mais plutôt seconder et renforcer leurs capacités.
A mesure que se développe la compréhension des comportements menaçants et des processus à repérer, l’automatisation devient plus praticable… et essentielle. La situation évolue rapidement mais trois catégories se dégagent d’ores et déjà :
- Automatisation du workflow : intégration et automatisation du workflow SOC au quotidien, comprenant des processus hétérogènes, parfois des communications manuelles par téléphone ou e-mail, ou l’utilisation de tableurs. Cette démarche est similaire à l’automatisation du help desk informatique dans les années 1990.
- Automatisation de l’analyse : intégration de davantage d’informations contextuelles sur les menaces pour une analyse assistée par automatisation, allant de la recherche en contexte à une élimination plus rapide des faux positifs grâce à la corrélation automatique des données issues de différents systèmes. Renseignement automatique des investigations SOC avec des informations contextuelles sur les menaces, ainsi que des indicateurs spécifiques sur l’utilisateur, l’adresse IP destinataire (avec données de réputation) et le port employé. En l’occurrence, l’automatisation peut non seulement réduire les tâches manuelles mais permet aussi un triage plus efficace et rapide des alertes.
- Automatisation de la réponse aux menaces : automatisation des contre-mesures sur les postes de travail et les réseaux afin de réagir aux menaces avant que des données ne soient exfiltrées. Développement de guides de sécurité et de contre-mesures « prêtes à l’emploi », spécifiant par exemple qu’une attaque confirmée de malware implique une mise en quarantaine du système hôte et un blocage de l’adresse IP au niveau du firewall.
Le véritable combat contre une campagne d’attaque avancée commence une fois que l’intrusion s’est déjà produite. Il devient alors crucial d’avoir une visibilité en temps réel sur les techniques de l’attaquant. Grâce à cette visibilité après intrusion, les adversaires éprouvent plus de difficulté à se dissimuler, tandis que vous avez plus de facilité pour contrer leurs attaques. L’heure est donc venue pour les entreprises de couvrir l’angle mort de leur cybersécurité.