XDR ne suffit pas à protéger votre organisation : l’importance de la détection et de la réponse des adversaires

Il est plus difficile que jamais de protéger nos infrastructures, notre gouvernement et nos entreprises contre les victimes d’adversaires compétents et bien financés. De la vulnérabilité Log4j au piratage SolarWinds en passant par la cyberattaque Colonial Pipeline, les organisations sont plus vulnérables que jamais aux cyberattaques. En réalité, 87 % des entreprises de 11 pays ont été victimes de cyberattaques au cours des trois dernières années.

Alors, que peut faire de plus votre équipe de cybersécurité ? Après tout, ils sont confrontés à des obstacles incroyables, allant de ressources limitées et d’une pénurie de compétences à une infrastructure de sécurité décentralisée et une surface d’attaque qui se propage rapidement dans toutes les directions.

De toute évidence, il est temps d’adopter une nouvelle approche, qui vous aide à garder une longueur d’avance sur l’adversaire en allant au-delà de la défense en profondeur, de la détection réactive et des capacités de réponse à une stratégie de sécurité proactive alimentée par les renseignements sur les menaces.

Les stratégies de défense proactive commencent par connaître l’adversaire

À mesure que des adversaires émergent, les DSI, les RSSI, les analystes SOC et les analystes des menaces doivent être en mesure d’évaluer rapidement le risque et l’impact potentiel sur l’entreprise. Par exemple, le CIO d’une banque de détail peut avoir connaissance d’une attaque contre des banques dans sa zone géographique et vouloir savoir si sa banque est exposée à un risque d’attaque.

Si l’équipe de sécurité du DSI dispose à portée de main des informations sur les menaces appropriées sur l’adversaire et peut corréler ces informations avec les données de télémétrie de son environnement, elle peut répondre aux questions qui aident à déterminer son risque et les mesures d’atténuation à prendre, notamment :

• Comment sont-ils impactés ?
• Quel est le risque en ce moment ?
• L’organisation est-elle déjà attaquée ?
• Existe-t-il déjà des indicateurs de compromission (IOC) de la menace dans l’environnement de la banque ?
• La communauté financière a-t-elle vu la menace dans le passé ?

Répondre à ces questions nécessite des quantités massives d’intelligence et de données mondiales. Et avec des équipes de sécurité débordées et en sous-effectif, les organisations ont besoin d’un moyen de conserver toutes les données et informations de télémétrie pour les rendre pertinentes et exploitables. Aujourd’hui, l’automatisation d’une approche de la sécurité proactive et axée sur l’adversaire est le seul moyen de gagner contre les attaquants.

C’est pourquoi vous avez besoin d’une détection et d’une réponse de l’adversaire

Détection et réponse étendues (XDR) donnent à votre équipe de sécurité une visibilité sur tous vos points de contrôle, en collectant des données de télémétrie et en les corrélant pour accélérer la détection, rationaliser les enquêtes et aider les analystes à faire plus avec moins de travail. Mais même les meilleures solutions XDR ne peuvent pas aider à prédire ce qui peut arriver ensuite.

Ce dont vous avez besoin, c’est de la détection et de la réponse de l’adversaire (ADR). ADR vous donne des outils, tels que le Cadre MITRE ATT & CK pour une carte de l’attaque potentielle ainsi que l’intelligence globale nécessaire pour comprendre votre ennemi afin que vous puissiez mieux défendre votre organisation. ADR est XDR qui est alimenté par des informations pertinentes et exploitables sur les menaces à grande échelle.

L’ADR vous aide à comprendre où sont basés vos adversaires et qui ils ciblent, ainsi que leurs tactiques, techniques et procédures (TTP) et leurs objectifs. Grâce à cette compréhension, vous pouvez prévoir leurs prochains mouvements et protéger votre entreprise de manière proactive. Avec une approche ADR, vous pouvez adopter une stratégie de cyberdéfense basée sur les risques, en tirant parti de l’apprentissage automatique, de l’analyse et de l’automatisation comme catalyseurs pour vous aider à vous concentrer sur les adversaires qui comptent, puis à les déjouer.

Le renseignement sur les menaces est la base d’un ADR efficace

La Threat Intelligence ne se limite pas à connaître un nom de domaine ou une adresse IP utilisée par un attaquant. Votre équipe a besoin d’accéder à un référentiel complet de renseignements sur les menaces et à des outils qui enrichissent le contexte entourant les menaces, corrèlent automatiquement les renseignements sur les menaces avec les données de télémétrie et transforment d’énormes quantités de données en renseignements pertinents et exploitables pour éclairer la prise de décision.

Sans renseignements sur les menaces, vous ne pouvez pas effectuer de MARC. Les acteurs malveillants partagent des TTP, ils transmettent des informations qui aident leurs collègues cybercriminels et ils travaillent ensemble pour être plus efficaces. Mais nous tous, bons acteurs, sommes freinés par un manque de partage persistant.

En tant que cybercommunauté, nous devons adopter le modèle de partage de renseignements des acteurs malveillants. Nous avons besoin de communautés de confiance où vous pouvez partager et écouter afin que chacun puisse être plus vigilant 24×7. Pour en savoir plus sur les communautés de partage de renseignements sur les menaces, consultez Les cercles de confiance d’Anomali et les portails communautaires de partage. Pour un exemple concret des avantages du partage de renseignements sur les menaces, regardez le webinaire « Partage de renseignements : la clé pour arrêter les violations est de faire équipe.”

Partager des informations et garder une longueur d’avance sur les adversaires avec une approche ADR est le seul moyen de gagner aujourd’hui.

Pour en savoir plus sur la détection des adversaires, regardez ce webinaire : « Anomali Threat Day : Évolution de la chasse aux menaces vers la chasse à l’adversaire à l’aide de Threat Intelligence, présenté par Cybersixgill.”

_{Karen Buffo}

_{Directeur Marketing, Anomali}

_{Karen Buffo est directrice du marketing chez Anomali. Elle apporte plus de 15 ans d’expérience dans le domaine de la sécurité mondiale, avec une expérience dans le développement et l’exécution de stratégies de marketing de premier plan, créant de la valeur pour les clients, les actionnaires et les employés. Avant Anomali, Karen était CMO de Symantec, un rôle auquel Broadcom l’a nommée après son acquisition de la société. Chez Symantec, elle a défini et mis en œuvre sa stratégie marketing globale dans toutes les activités afin de renforcer sa marque et de stimuler la croissance de l’activité de cybersécurité. Avant Symantec, Oracle l’a choisie pour superviser les communications mondiales de son bureau exécutif. Dans ce rôle, elle a supervisé le développement, la mise en œuvre et la supervision des communications internes et externes de la direction ainsi que le leadership éclairé de l’entreprise. L’expérience diversifiée de Karen dans l’habilitation des entreprises et le marketing mondial s’est prêtée à une vision holistique des entreprises et de leurs capacités, opportunités et moteurs uniques. Cela l’a amenée à fournir constamment une valeur durable aux entreprises qu’elle a servies. Karen est une conférencière reconnue dans l’industrie, un mentor et une contributrice à la communauté de la cybersécurité. Karen est titulaire d’un baccalauréat en sciences de la consommation et en administration des affaires de la California State University à Sacramento.}