janvier 15, 2021

Prenez ces petites mesures pour empêcher les cyberattaques de créer de gros problèmes pour vous

Ce vieil adage «la meilleure attaque est une bonne défense» est tout aussi vrai avec l'IT qu'avec la NFL.

Janvier
15, 2021

5 min de lecture

Les opinions exprimées par les contributeurs de Entrepreneur sont les leurs.

À une époque où le travail à distance et ses risques de sécurité accrus sont devenus la norme, les difficultés persistantes à protéger les réseaux d’entreprise suggèrent que le statu quo ne fonctionne pas. C’est pourquoi les équipes de sécurité informatique passent d’une approche passive à une approche active. La MITRE Corporation (une organisation à but non lucratif qui gère des centres de recherche et de développement financés par le gouvernement fédéral) a récemment introduit son cadre Shield dans lequel il déclare clairement qu'une défense active est essentielle pour surmonter les menaces d'aujourd'hui. Les chefs d'entreprise qui connaissent les dernières stratégies et recommandations placent leurs entreprises en position de force pour rester en sécurité.

Le concept de défense active

Shield est une base de connaissances de défense active développée à partir de plus d'une décennie d'engagement ennemi. Avec lui, le MITRE tente de rassembler et d'organiser ce qu'il a appris en matière de défense active et d'engagement de l'adversaire. Ces informations vont des considérations de haut niveau et prêtes à l'emploi des RSSI sur les opportunités et les objectifs à des conversations plus axées sur les praticiens sur les tactiques, techniques et procédures que les défenseurs peuvent utiliser. Ce dernier cadre vise à encourager la discussion sur la défense active, comment elle peut être utilisée et ce que les équipes de sécurité doivent savoir.

Définition de la défense active

La défense active couvre un éventail d'activités, y compris l'engagement de l'adversaire, la cyber capacités défensives et cyber-tromperie. Cela implique l'utilisation d'actions offensives et de contre-attaques limitées pour empêcher un adversaire de prendre un territoire ou des actifs numériques. Prises ensemble, ces activités permettent aux équipes informatiques d'arrêter les attaques en cours et d'obtenir plus d'informations sur le perpertrateur. Ensuite, ils peuvent se préparer plus complètement aux attaques futures.

Comme le note MITRE, la pile de sécurité moderne doit inclure des capacités de déception pour vraiment dissuader et gérer les adversaires. Dans la nouvelle cartographie des tactiques et techniques de Shield, la tromperie est prédominante dans huit tactiques de défense actives – canaliser, collecter, contenir, détecter, perturber, faciliter, légitimer et tester – ainsi que 33 techniques défensives.

La vérité sur la tromperie

Les acteurs de la menace ciblent sans relâche les réseaux d'entreprise, toute personne de des attaquants de l'État-nation voyant des informations propriétaires à des criminels plus banals cherchant à causer chaos et obtenir des informations personnelles qu'ils peuvent exploiter. Les analystes estiment que les violations critiques des réseaux d'entreprise ont été multipliées par trois à six, selon les cibles.

Alors que les dirigeants envisagent leur stratégie de sécurité, ils doivent non seulement comprendre ce que signifie la défense active, mais aussi ce qu'est réellement la tromperie. Une idée fausse répandue est que la tromperie est synonyme de pots de miel, qui existent depuis longtemps et ne sont plus efficaces. Et pour les rendre aussi réalistes que possible, il faut beaucoup de gestion afin que si les attaquants s'engagent avec un pot de miel, ils ne puissent pas détecter qu'il ne s'agit pas d'un vrai système et donc savoir qu'ils sont en train de se faire prendre.

Il est donc temps d'éclaircir cette notion. En vérité, la technologie de la tromperie et les pots de miel ne sont pas synonymes. C’est ainsi que la tromperie a commencé, mais elle a beaucoup évolué depuis. La tromperie d'aujourd'hui utilise l'approche du fil d'Ariane / de l'artefact trompeur qui conduit les attaquants sur une fausse piste, ce qui déclenche des alertes afin que les défenseurs puissent trouver et arrêter les attaquants en temps réel. Seuls les utilisateurs non autorisés savent que les tromperies existent, car elles n'ont aucun effet sur les systèmes quotidiens, de sorte que les faux positifs sont considérablement réduits. Ces aspects de la technologie de tromperie ajoutent une valeur financière à l'organisation de la sécurité informatique.

En outre, certaines organisations perçoivent à tort que la tromperie est trop complexe et produit relativement peu de retour sur investissement. Les organisations de sécurité pourraient profiter de l’utilisation de la technologie de déception – qui est légère et a un faible coût de maintenance – mais certaines hésitent parce qu’elles pensent que c’est une approche écrasante et complexe dont elles ne tireront pas suffisamment profit. Cependant, en utilisant des aides technologiques comme l'automatisation et l'IA la tromperie élimine la complexité pour laquelle elle était auparavant connue.

Les organisations ont tendance à penser à la tromperie d'un point de vue technologique, mais c'est faux; il doit être pensé du point de vue d'un cas d'utilisation. Par exemple, la détection est un élément fondamental de tout programme de sécurité. Tout le monde a besoin de meilleures capacités de détection, ce qui fait partie intégrante de ce que font les outils de tromperie d’aujourd’hui.