2 innovations qui peuvent faire pencher la balance en matière de cybersécurité

Par John Davis, général de division à la retraite de l’armée américaine et vice-président et chef de la sécurité fédérale de Palo Alto Networks

Quelles innovations critiques peuvent modifier l’équilibre de la cybersécurité, offrant à ceux d’entre nous qui sont chargés de défendre nos organisations plus de capacités contre ceux qui nous feraient du mal ?

Il ne s’agit pas seulement d’un exercice théorique. C’est quelque chose que nous tous dans la cybersécurité devons comprendre – et une priorité clé de la sécurité nationale.

J’ai longuement réfléchi à cette question dans le cadre de mon rôle de conseiller auprès de plusieurs de mes anciens collègues et autres dirigeants du gouvernement américain. À mon avis, il existe deux développements clés interdépendants qui peuvent modifier le paradigme de la cybersécurité. Elles sont:

1. Innovations dans l’automatisation.
2. Analyses avancées basées sur des logiciels – y compris les mégadonnées, l’apprentissage automatique, l’analyse du comportement, l’apprentissage en profondeur et, éventuellement, l’intelligence artificielle.

Je ne dis pas que ces innovations peuvent inverser l’avantage historique que l’attaque a eu sur la défense. Mais une meilleure utilisation de l’automatisation, combinée à des analyses avancées basées sur des logiciels, peut contribuer à uniformiser les règles du jeu.

Les cybermenaces sont de plus en plus automatisées grâce à une technologie de pointe. Malheureusement, la défense a continué d’employer une stratégie basée principalement sur la prise de décision humaine et les réponses manuelles prises après que des activités de menace se sont produites.

Cette stratégie réactive ne peut pas suivre le rythme des menaces hautement automatisées qui opèrent à grande vitesse et à grande échelle. La défense a perdu – et continuera de perdre – jusqu’à ce que nous, dans la communauté de la cybersécurité, combattions les machines avec les machines, les logiciels avec les logiciels.

La prévention est la clé

Toute bonne stratégie défensive doit être complète avec protection, détection, réponse, récupération et résilience. La prévention est essentielle, en particulier dans l’environnement complexe d’aujourd’hui. C’est là que nous n’avons pas suffisamment investi, et là où l’automatisation et l’analyse avancée peuvent faire une énorme différence.

Tout d’abord, permettez-moi de définir ce que j’entends par prévention, en commençant par comprendre le processus de base des cyberattaques, parfois appelé cycle de vie des cybermenaces. Ce processus comprend sept étapes :

1. Sondage;
2. Développer un mécanisme de livraison pour atteindre une victime ou une cible ;
3. Exploitation d’une vulnérabilité dans l’environnement réseau ;
4. Installation de code malveillant ;
5. Établir un canal de contrôle ;
6. Accroissement des accès privilégiés ;
7. Déplacement latéral dans l’environnement réseau.

Ces étapes se produisent généralement dans cet ordre, mais pas toujours. La dernière étape définit une attaque réussie, qui pourrait chiffrer des données contre une rançon ; exfiltrer des données sensibles ; exposer des informations embarrassantes ; ou perturber/détruire des systèmes, appareils ou données ciblés.

Les cybercriminels modernes peuvent se frayer un chemin à travers le processus d’attaque plus rapidement que jamais grâce à des logiciels et des machines avancés.

Mais le processus prend encore du temps, permettant aux défenseurs de voir et d’arrêter une menace à n’importe quelle étape du processus. Pour ce faire, cependant, les défenseurs doivent avoir une visibilité complète sur leur environnement réseau et être en mesure de fournir automatiquement des protections partout. Par conséquent, ils ont besoin à la fois de capteurs et de points d’application. Le simple fait de voir une activité malveillante sans pouvoir l’arrêter ne changera pas la dynamique entre l’attaque et la défense.

S’attaquer à la vitesse et à l’échelle

L’automatisation permet aux équipes de sécurité de combattre les machines avec les machines et d’économiser leur ressource la plus précieuse (les personnes) pour faire des choses que seules les personnes peuvent faire mieux et plus rapidement que les machines. Cela inclut la chasse et une analyse approfondie et haut de gamme. Toute autre approche ne suivra jamais la vitesse et l’ampleur des cybermenaces modernes.

Les analyses avancées basées sur des logiciels permettent aux équipes de sécurité de combattre les logiciels par les logiciels. Ils permettent de déployer des capteurs et des points d’application dans tous les endroits critiques d’un environnement réseau. Plus important encore, ils permettent l’intégration entre les capteurs et les points d’exécution.

Grâce à des analyses avancées, tout type de comportement suspect dans un environnement réseau peut être rapidement mis en correspondance avec le processus d’attaque utilisé par tous les acteurs ou organisations de menace connus. L’analyse peut même identifier une menace jamais vue auparavant ou une menace potentielle qui ne correspond pas directement à une mauvaise signature ou activité connue.

À l’aide d’algorithmes d’apprentissage automatique, une décision peut être rendue en temps quasi réel (moins de 10 minutes, c’est l’état de l’art aujourd’hui) et une protection peut être fournie automatiquement pour arrêter la menace partout dans l’environnement d’entreprise de l’organisation sans avoir besoin pour toute intervention humaine.

Les défenseurs ont accès à une énorme quantité de données provenant des réseaux, des terminaux et des clouds. Le bon type de données comprend des indicateurs de cyber-menace de compromis ainsi que des informations contextuelles. Cela fait ne pas incluent les politiques traditionnelles et les mines terrestres juridiques telles que les informations personnellement identifiables, les informations de santé protégées, la propriété intellectuelle ou les données liées à la surveillance.

En exploitant ces données, il est possible d’agir rapidement et à grande échelle avec un degré de précision très élevé, atteignant des taux de faux positifs inférieurs à 1 %. La clé de ce type de défense efficace est une visibilité et des contrôles de sécurité complets, continus et cohérents sur tous les éléments de l’environnement réseau d’une organisation, du réseau au cloud (public, privé, hybride, multi, SAAS) en passant par les terminaux et les appareils IoT. .

Bloquer les menaces, atténuer les risques

Les protections de cybersécurité qui tirent parti de l’automatisation et des analyses avancées sont disponibles aujourd’hui et s’améliorent au fil du temps, avec davantage de types de données appropriés pour conduire des décisions et des protections automatisées.

Dans le meilleur des cas, l’utilisation de ces deux innovations permet aux équipes de sécurité de voir et d’arrêter les cybermenaces avant qu’elles ne réussissent, offrant un avantage pour la défense. Dans le pire des cas, ils laissent les équipes de sécurité limiter les dégâts d’une attaque réussie à un niveau de risque jugé acceptable.

Pourquoi est-ce si important? L’élimination ou la réduction de l’avantage que la cyber-infraction a sur la défense est essentielle pour créer un cyberespace plus stable. Traditionnellement, lorsque l’attaque a l’avantage, cela crée une énorme instabilité. Lorsque la défense a l’avantage, elle crée un environnement plus stable.

Nous vivons dans un monde caractérisé par un niveau d’instabilité inacceptable dans le cyberdomaine. Les risques d’erreur de calcul, d’interprétation erronée ou même d’erreur simple sont tout simplement trop élevés. L’utilisation efficace de l’automatisation et des analyses avancées basées sur des logiciels peut aider à uniformiser les règles du jeu entre l’attaque et la défense et créer une posture de cybersécurité beaucoup plus efficace pour toute organisation.

À propos de John Davis :

John est un général de division à la retraite de l’armée américaine et vice-président et directeur fédéral de la sécurité de Palo Alto Networks, où il est chargé d’étendre les initiatives de cybersécurité et la politique mondiale pour le secteur public international et d’aider les gouvernements du monde entier à prévenir avec succès les cyber-violations.