211service.com
Une fois de plus vers la brèche : ce qu'il faut pour vaincre les cyberattaquants
En partenariat avec Hewlett Packard Enterprise et FireEye
Imaginez ceci : c'est la veille d'une grande fête. La famille et les amis descendent chez vous pour profiter d'un repas relaxant et d'un moment loin du bureau.
Mais tout le monde ne fait pas de pause.
Au milieu de la nuit, le téléphone sonne. Il y a une urgence au travail : une faille de réseau. J'ai reçu des appels aux moments les plus inopportuns, déclare Marshall Heilman, vice-président et directeur exécutif, réponse aux incidents et opérations de l'équipe rouge de la société de cybersécurité Mandiant, une société FireEye. En 2014, j'ai reçu un appel juste avant Thanksgiving. J'ai dû intervenir pour aider une entreprise qui avait été touchée par un attaquant avancé, et c'était sérieux, se souvient Heilman, ajoutant que son équipe a combattu une autre brèche la veille de Noël en 2015. Les membres de l'équipe ont également beaucoup d'histoires à propos, par exemple , étant tellement occupé pendant les vacances que les employés travaillaient tout en essayant d'arroser une dinde en même temps, dit Heilman : Les pirates sont stratégiques à propos des vacances. Ils compromettent les organisations à ces moments-là parce que c'est à ce moment-là qu'ils s'attendent à ce que les défenses soient en panne.
Mais comme Heilman le sait très bien, les pirates n'ont pas besoin d'attendre les vacances pour prendre leurs cibles au dépourvu. Les organisations de toutes tailles sont vulnérables aux violations tout au long de l'année.
Il fut un temps où les experts en cybersécurité utilisaient une analogie avec un château pour décrire de telles attaques - où les ennemis traversent un fossé, escaladent un mur et se faufilent sans être détectés par les chevaliers. Mais Chris Leach, technologue en chef pour les services de sécurité de Hewlett Packard Enterprise (HPE), qualifie cette perspective d'obsolète. L'ancienne tactique consistant à faire surveiller le périmètre par les chevaliers n'est pas la meilleure utilisation des ressources. En raison de l'évolution des menaces et des voies d'accès des soldats camouflés, nous devons détecter les intrus plus rapidement, avant de ils peuvent trouver les joyaux de la couronne.
Andrzej Kawalec, directeur de la technologie pour HPE Security Services, voit également une évolution de la cybersécurité. Aujourd'hui, il y a une énorme asymétrie dans les capacités des attaquants et des défenseurs, dit-il. Aujourd'hui, la plupart des organisations s'appuient sur les murs et les douves d'antan, pensant qu'elles se défendent contre les catapultes et les canons, tandis que les attaquants utilisent à la place des drones et une technologie furtive très ciblée. Et dans les entreprises numériques d'aujourd'hui, note-t-il, les employés et les clients se trouvent souvent à l'extérieur des murs d'une entreprise, par exemple dans les cafés et les espaces collaboratifs sans défenses de périmètre solides. Pendant ce temps, comme Rapport 2016 sur les cyberrisques de HPE trouve, 86 pour cent des organisations manquent actuellement de capacités de cybersécurité adéquates.
Vidéo : Anatomie d'une attaque
Des mois à l'intérieur
Combien de temps les adversaires passent-ils à l'intérieur du périmètre avant d'être détectés ? En 2015, le nombre médian de jours était de 146, selon le Rapport M-Trends 2016 par Mandiant. Bien que la plupart des attaques ne se transforment pas en failles majeures, les menaces constantes de cybersécurité sont une réalité de nos jours, déclare Heilman. Un attaquant réussi peut accéder au réseau au cours d'une semaine, voire en quelques jours seulement, dit-il. 'Donc, si vous ne pouvez pas empêcher une attaque - si vous savez que l'attaquant va entrer quoi qu'il arrive - alors vous voulez le détecter aussi vite que possible, puis y répondre. Kawalec de HPE est d'accord. 'Les gens ont besoin d'un partenaire de sécurité robuste, ou d'un ensemble de partenaires, qui savent comment réagir en temps réel', dit-il.
C'est là qu'interviennent FireEye et HPE. Les deux sociétés, qui proposent des services de réponse aux incidents, d'évaluation des compromis et de détection des menaces aux entreprises du monde entier, répondent chaque année à des milliers de violations de ce type.
Il est nécessaire d'apprendre et de comprendre réellement la cadence - la séquence des événements, dit Kawalec. Cette cadence comprend la recherche et la reconnaissance, l'infiltration, la découverte, la capture et l'exfiltration ou l'extraction de données. Selon Kawalec, il est primordial de comprendre le profil de risque de votre organisation : vous devriez commencer par une question simple : quels sont vos actifs numériques et les cybermenaces auxquelles ils sont confrontés ? Sans cette réponse, vous serez terriblement mal préparé pour répondre en temps réel à une cyberattaque potentiellement dévastatrice.
Le cycle de vie de l'attaque
Résultats du sondage
Défis, risques, tendances et impacts de la cybersécurité
Produit par MIT Technology Review Custom en partenariat avec Hewlett Packard Enterprise Security Services et FireEye Inc.
Que l'auteur soit un hacktiviste, un cybercriminel ou un auteur de menaces parrainé par l'État, la cadence (ou cycle de vie des attaques ) reste essentiellement le même, dit Heilman. Le travail de son équipe s'oriente vers les menaces persistantes avancées (APT), qui sont des situations dans lesquelles les auteurs accèdent à un réseau et y restent longtemps.
Après avoir recherché les systèmes et les personnes d'une entreprise cible, les attaquants passent à l'étape suivante : infiltrer un réseau en exploitant une faiblesse - dans 80 % des cas, en envoyant un e-mail de harponnage, explique Heilman. En faisant cliquer un humain sur un lien ou en ouvrant un fichier, les attaquants peuvent exécuter leur propre code malveillant, ce qui crée souvent une porte dérobée dans le réseau. Cela établit une base à partir de laquelle les attaquants peuvent contrôler leurs activités dans cet environnement.
Vient ensuite l'élévation des privilèges, explique Heilman : ils prennent les droits qu'ils ont obtenus des systèmes qu'ils ont compromis et les transmettent à un administrateur local ou à un administrateur principal, à un accès root ou à tout ce dont ils peuvent avoir besoin pour un meilleur accès à systèmes et données.' Cela se fait souvent en volant des informations d'identification, en déchiffrant des mots de passe ou en exploitant des logiciels vulnérables.
Une fois que les attaquants ont obtenu les droits administratifs, ils ont atteint le statut APT. Ils entreprennent une reconnaissance, se déplaçant latéralement dans les systèmes informatiques de l'entreprise, faisant le point sur ce qu'ils voient, notant les rôles et les responsabilités des personnes clés et l'emplacement des informations qu'ils souhaitent. Les agresseurs maintiennent souvent leur présence ou leur persistance en installant plusieurs portes dérobées dans tout l'environnement. 'Ensuite, ils vont essayer d'accomplir tout ce qu'ils sont venus faire, ce qui revient souvent à voler des informations - propriété intellectuelle, données financières, détails sur les fusions et acquisitions ou informations personnellement identifiables, par exemple, dit Heilman. Lorsqu'ils ont terminé leur mission, les attaquants conservent l'accès dans la mesure du possible, au cas où ils voudraient revenir.
Conseils pour les cibles : pensez comme les méchants
Selon Heilman, la meilleure approche pour vaincre les attaquants est d'adopter leur état d'esprit - ne pas réagir à leurs prochains mouvements, mais les anticiper. Vous devez également reconnaître et détecter les comportements anormaux dans votre organisation.
Kawalec encourage les dirigeants d'entreprise à se familiariser avec le paysage des menaces de leur entreprise. Savoir quels actifs sont les plus critiques, et doivent donc être protégés avec vigilance, est un avantage offensif significatif contre les cybermenaces. 'Comprendre ce qui est précieux dans votre organisation. Qui va essayer d'obtenir ces atouts majeurs? Cela vous donne une vision du risque, dit-il. Comprenez ensuite si vous avez été compromis et où vous êtes vulnérable. Enfin, le plus gros problème : savez-vous exactement ce que vous allez faire lorsque le téléphone sonne en cas de violation ? demande Kawalec. Ce sont les grandes questions auxquelles tout responsable de la cybersécurité ou responsable de la sécurité de l'information devrait pouvoir répondre au nom de son organisation, car s'il ne le peut pas, il est en difficulté.
Comme pour de nombreux autres crimes, les 48 premières heures suivant une violation sont les plus critiques. Mais la rapidité et la qualité de la réponse et de la récupération d'une organisation sont déterminées par ce qui a été fait avant de L'incident. Votre intervention d'urgence initiale dépend entièrement et fondamentalement du travail que vous avez effectué des mois plus tôt : rédiger et comprendre un plan d'intervention en cas de violation, identifier les rôles et les responsabilités des personnes impliquées, en particulier les premiers intervenants, puis former les gens, explique Kawalec. Les exercices sont également cruciaux : exécutez des scénarios et des examens par l'équipe rouge - ou des simulations réalistes - et faites vivre au conseil d'administration de l'entreprise une expérience réelle d'une cyberattaque, dit-il. De cette façon, quand ils en font l'expérience pour de vrai, ce n'est pas la première fois.
Et ce ne sera pas la dernière fois. Comme le documente le dernier rapport sur les risques cybernétiques de HPE, le volume de violations a augmenté, et bien que les attaquants utilisent encore des méthodes relativement anciennes pour faire évoluer les pare-feu et contourner les logiciels antivirus et autres défenses traditionnelles, ils deviennent également plus sophistiqués. Ils adaptent leurs techniques pour contourner les nouvelles technologies de cybersécurité. En outre, ils développent des modèles commerciaux complexes dans lesquels ils collaborent à des attaques, et ils étendent leur portée à l'Internet des objets, y compris les téléphones portables, les tablettes et les services cloud. Tout cela s'ajoute à des dépenses massives pour les organisations : Étude 2015 sur le coût de la cybercriminalité : mondial , menée par le Ponemon Institute et sponsorisée par HPE, estime le coût annualisé moyen de la cybercriminalité pour 252 entreprises de référence à 7,7 millions de dollars en un an seulement, la société de recherche en sécurité signalant que certaines ont perdu jusqu'à 65 millions de dollars.
Faire face à des adversaires de plus en plus sophistiqués nécessite des lignes de défense tout aussi sophistiquées. Dans cet esprit, HPE a développé une norme industrielle Architecture de cyberréférence (CRA) qui fournit aux clients un modèle pour des services avancés de protection contre les menaces et des capacités de réponse aux incidents. Entre autres fonctionnalités, le CRA intègre les informations les plus récentes de FireEye concernant les APT, ces situations dans lesquelles les attaquants établissent des bases solides et font des ravages sur de longues périodes.
Essentiellement, le CRA est un livre de cuisine sur la cybersécurité, explique Leach, de HPE. « L'architecture de référence précise à quoi votre organisation devrait ressembler : les domaines clés, l'étendue des responsabilités et les mesures. Cela va de la partie stratégique - y compris l'exécution d'exercices de réponse au sein d'une entreprise - aux personnes, aux opérations, à ce que vous devriez faire en cas de violation réelle, explique-t-il.
L'architecture comprend également des plans d'utilisation spécifiques, synthétisant les événements communs et les ramenant à l'ARC pour voir s'ils traitent les risques et les risques opérationnels, ajoute Leach. «Le responsable de la sécurité de l'information (CISO) traite probablement les risques de la manière la plus proactive possible. Mais un CISO peut ne pas détenir tous les éléments de cette architecture de référence et, par conséquent, doit s'associer avec d'autres pour obtenir une vue d'ensemble, dit-il. Le CRA est vraiment un précieux guide de bout en bout.
Partenaire avec les experts
Les statistiques indiquent que les entreprises ont besoin d'une aide extérieure en matière de cybersécurité. En 2015, seuls 47 % des violations auxquelles Mandiant a répondu ont été découvertes en interne, par les propres employés d'une entreprise ; dans 53 % des cas, les entreprises ont été informées des violations par des sources externes, telles que les forces de l'ordre, les médias, les clients ou les fournisseurs, voire les attaquants eux-mêmes. Kawalec affirme qu'une telle notification extérieure place les chefs d'entreprise dans une position difficile et réactive. 'Cela signifie qu'ils ont beaucoup de mal à contrôler la situation, à commander et à diriger la réponse appropriée, et aussi à communiquer en position de force', dit-il. Ils doivent se concentrer sur la compréhension et le suivi des comportements des utilisateurs et des systèmes, puis faire correspondre un modèle à quelque chose dont ils savent qu'il n'est pas correct.
De plus en plus d'entreprises mondiales se tournent vers HPE pour des services de remédiation de la cybersécurité étayés par l'expertise avancée de FireEye en matière de détection des menaces, d'intelligence, de méthodologies et de réponse aux incidents. Les analystes des menaces HPE-FireEye s'engagent comme une extension de l'équipe de cybersécurité d'une organisation, fournissant des informations et des renseignements de première ligne. En plus de répondre aux incidents, HPE et FireEye recherchent de manière proactive des indicateurs de compromission dans les environnements de leurs clients.
Avec 10 centres d'opérations de sécurité dans le monde et 5 000 professionnels de la sécurité au service de 10 000 clients, HPE offre une portée mondiale inégalée. De plus, FireEye dispose de six centres d'opérations de sécurité mondiaux assurant une détection et une réponse constantes à 4 400 clients. Ensemble, les deux sociétés forment un puissant partenariat dans le domaine de la cybersécurité, déclare Kawalec. « Lorsque vous considérez les ressources d'une équipe de sécurité typique dans une assez grande organisation, même les grandes équipes de sécurité ne seraient que de 15 à 100 personnes. HPE et FireEye sont en mesure de projeter la capacité de cybersécurité pour un large éventail d'entreprises. C'est pourquoi les gens se tournent vers nous pour obtenir cette aide.
Pour en savoir plus sur la cybersécurité, veuillez explorer ce site Web de ressources HPE-FireEye .
