Sachant qu’elles disposent d’un arsenal d’outils majoritairement conçus pour protéger des actifs spécifiques, les équipes informatiques sont souvent condamnées à une défense cloisonnée de leur entreprise. Autrement dit, une solution assurera la sécurité des charges de travail dans le Cloud, tandis qu’une autre se limitera à prévenir les attaques sur les endpoints. Comme l’on peut s’y attendre, ce type d’approche se traduit par une stratégie de défense qui traite chaque attaque comme un événement isolé distinct. Dans un paysage des menaces où les cybercriminels emploient une multitude de techniques, et ciblent de nombreux utilisateurs et appareils en même temps, une telle vision laisse inévitablement les équipes dans le brouillard.
Il suffit de regarder les récentes attaques à l’encontre de la chaîne logistique de SolarWinds. Pendant des mois, les pirates ont mené des activités malveillantes sur les systèmes de plusieurs entreprises en laissant des traces de leur présence. Pourtant, ces indices ont vite été noyés sous un flot interminable d’alertes non corrélées. En l’absence d’informations contextuelles indispensables pour faire le lien entre ces différentes attaques, l’ampleur de cette opération d’envergure internationale est passée inaperçue.
Inadéquation de l’approche centrée sur les alertes
Malheureusement, la grande majorité des outils de sécurité traditionnels aujourd’hui disponibles sont centrés sur les alertes. Ils bombardent l’entreprise de notifications et signalent chaque activité suspecte dans le système sans vraiment offrir de renseignements utiles. C’est aux défenseurs qu’il incombe d’établir un lien entre chaque événement.
Ce principe est, par nature, inefficace. Chaque événement exige une intervention manuelle, ce qui accroît les risques d’erreurs humaines et réduit considérablement la capacité de l’entreprise à évoluer en toute sécurité. Réagir à des attaques individuelles peut certes faire reculer un adversaire, mais il s’agit d’une solution temporaire.
La sécurisation d’infrastructures réseau complexes à l’aide d’une approche cloisonnée centrée sur les alertes laisse aux cybercriminels une marge de manœuvre suffisante pour s’enfoncer profondément dans le réseau. Toute tentative de détection, de suivi ou d’élimination d’une attaque devient alors pratiquement impossible. En traitant le symptôme et non la cause, les entreprises sont prises dans une spirale infernale : elles consacrent chaque année plus d’argent à la sécurité, mais ont toujours un train de retard sur les cybercriminels.
L’arbre qui cache la forêt
Pour déjouer efficacement une attaque, les défenseurs doivent rapidement détecter la menace, la neutraliser avec habileté et, plus important encore, s’assurer que l’entreprise est prête à repousser le prochain assaut.
Les équipes de sécurité doivent pouvoir réagir et éradiquer une menace en quelques minutes, et non en plusieurs jours ou semaines. Il leur faut penser, s’adapter et agir suffisamment vite pour que l’attaquant n’ait pas le temps d’ajuster ses tactiques.
Une approche centrée sur les opérations, définissant l’attaque du début à la fin ainsi que les tactiques et techniques utilisées par les cybercriminels, facilite cette démarche car elle permet aux défenseurs d’envisager l’attaque depuis son origine jusqu’à sa propagation aux endpoints.
Des représentations visuelles multi-étapes leur fournissent un aperçu en temps réel de l’attaque à l’échelle de tous les appareils et utilisateurs. Ils sont ainsi en mesure de réagir de manière rapide et appropriée avant qu’elle n’ait des conséquences désastreuses.
Une approche centrée sur les opérations permet en outre d’automatiser un certain nombre de réponses afin d’accélérer encore le délai de résolution. De cette façon, les équipes de sécurité peuvent accorder davantage de temps à des initiatives de sécurité stratégiques moins chronophages qu’à la réponse aux alertes.
Enfin, les renseignements offerts ne sont utiles que s’ils sont exploitables. Les produits traditionnels ne sont hélas pas capables de les traiter et de les stocker, ni même de les rendre immédiatement accessibles à des fins d’enquête. En se privant des indicateurs clés d’une attaque potentielle, les entreprises se mettent en situation de vulnérabilité.
L’adoption d’une stratégie centrée sur les opérations est essentielle si l’on veut accélérer la détection et la résolution, et ainsi consacrer davantage de temps et de ressources à des initiatives de sécurité plus efficaces. Grâce à cette approche, les entreprises peuvent prendre le dessus sur leurs adversaires de manière pérenne.
___________________
Par Yossi Naar, Directeur de la vision d’entreprise et cofondateur de Cybereason