Comment penser comme l’ennemi peut améliorer les défenses en cybersécurité des représentants étatiques et locaux…

La cybersécurité est généralement concentrée exclusivement sur une défense périmétrique, bien délimitée, afin de tenir à l’écart les utilisateurs malveillants. Mais aujourd’hui, il est difficile de les en éloigner indéfiniment. Je me risquerais même à le dire :  il est fort probable que votre système d’information ait déjà été compromis mais que vous ne le sachiez pas encore.

Les différents rapports d’informations annonçant qu’une collectivité est touchée par une attaque de type ransomware continuent de le prouver : les assaillants adaptent sans cesse leurs techniques d’attaque afin de contourner les moyens de sécurité mis en place par les communes, départements, ou régions.

Jusqu’à présent, la mise en œuvre des mesures de sécurité a été largement ‘réactive’ mais se concentrait sur un périmètre large. La plupart des RSSI pensaient que les hackers tentaient habituellement de passer par les points d’accès les plus exposés. Ils ont donc mis en place des solutions pour les bloquer avant même que les attaques aient lieu, instaurant des alertes lors des menaces ou des indicateurs de compromission. Mais les menaces actuelles, en particulier celles provenant des cybercriminels, sont beaucoup plus difficiles à bloquer, surtout si on s’en tient juste à détecter les activités suspectes aux points d’entrées.

Il est désormais temps de réévaluer la manière dont nous défendons les réseaux en pensant comme les adversaires et en adoptant une approche défensive proactive.

Repenser la cybersécurité

Il est essentiel de comprendre les méthodes d’attaque de l’adversaire et les comportements associés afin de pouvoir évoluer.  MITRE ATT&CK est une framework qui peut nous y aider.

Selon le MITRE, un organisme à but non lucratif qui fédère des centres de recherche et développement, « ATT&CK est un modèle de comportement d’adversaire qui décrit les mesures qu’un adversaire peut prendre pour compromettre et agir dans un réseau ».
Cette infrastructure apporte aux personnes chargées de la recherche des menaces un vocabulaire commun pour décrire les tactiques des assaillants et fournir aux équipes les outils de base pour établir leurs propres hypothèses sur la potentielle intrusion et la recherche des menaces.

Améliorer  votre programme de recherche des menaces avec ATT&CK nécessite que vous vous concentriez assez tôt sur la collecte de données dans le processus. Une recherche des menaces réussie implique de rechercher dans toutes les données de sécurité disponibles afin de déterminer ce qui est pertinent, ce qui est bénin et ce qui peut représenter une réelle menace. Cela implique de collecter et d’analyser tout ce qui se trouve sur vos systèmes d’information : applications, bases de données, endpoint, passerelle API et pare-feux aussi bien sur votre réseau local que dans le cloud, les réseaux locaux et à distance comme les applications, les bases de données à points de terminaison, les plateformes, les clouds, les passerelles API, les logs et les pare-feux.

En d’autres termes, vous ne pouvez pas trouver une aiguille dans une botte de foin sans la botte de foin.

Une recherche aussi réactive que les menaces

Le cœur d’une bonne défense, c’est la vitesse. La sécurité est l’une des rares tâches au monde dans laquelle nous échouons constamment, mais cela ne veut pas dire que nous échouons en tant que société ou individus. Des incidents de sécurité arrivent chaque jour, comme un ordinateur portable compromis ou un serveur attaqué. Mais les équipes de sécurité qui réussissent sont celles qui arrêtent l’incident avant qu’il ne devienne une intrusion.

La clé d’une réponse rapide est la capacité de cibler l’incident de manière globale et plus rapidement que l’adversaire qui tente de voler ou d’endommager vos données. La quantité croissante de données crée le défi supplémentaire de rallonger la durée de recherche. L’indexation et la recherche doivent être réalisées  en temps réel pour tenir compte des nouvelles informations qui arrivent dans le système, et toutes les données des sites distants doivent être incluses afin de s’assurer d’avoir une couverture la plus complète.

Heureusement, des produits existent pour répondre à ces exigences, permettant aux analystes de sécurité d’automatiser le processus d’enrichissement, de filtrage, d’analyse et de visualisation des informations rapidement et de manière cohérente. Cela permet aux équipes d’opérations IT et de sécurité de donner la priorité aux tâches plus stratégiques et de se concentrer sur le fait d’amener l’intelligence humaine dans le processus de “threat hunting”.
Identifier les systèmes vulnérables, ainsi que ce à quoi ressemble la « normalité » pour un environnement en particulier, aide les “threat hunters” à détecter les incohérences qui pourraient indiquer une intrusion.

Nous sommes dans le même bateau

La communauté de la sécurité sait que les gouvernements d’État et locaux ont des ressources limitées. C’est pourquoi des organisations comme MITRE et l‘ANSSI sont en première ligne pour aider à partager les ressources, les bonnes pratiques et les informations sur les nouvelles menaces et les solutions potentielles.
Avec l’aide d’experts gouvernementaux, industriels et académiques, ces groupes offrent un large éventail d’idées, y compris comment développer une stratégie de recherche des menaces adaptée à l’environnement informatique, au budget et à la culture d’une entreprise.

La cybersécurité est un problème technologique, mais aussi un problème humain. Lorsqu’ils font face à de nouveaux défis, les gens se tournent souvent vers une nouvelle technologie, mais ce sont les analystes sécurité qui développent de nouvelles idées, des approches et une veille sur les menaces pour empêcher les utilisateurs malveillants de compromettre les systèmes qui sont si importants pour nos institutions.
___________________

par Sébastien Michel, Principal Solutions Architect chez Elastic