Les institutions financières font face à un flux ininterrompu de cyberattaques de la part d’États, de groupes de hackers et d’individus malveillants. Et si elles sont les cibles les plus intéressantes en termes de risque, de réputation et de valeur, elles sont également les plus difficiles à atteindre. Les cybercriminels qui s’attaquent aux institutions financières doivent redoubler d’ingéniosité et de patience. Le secteur financier tout entier a investi en masse dans la cybersécurité. Affichant un taux d’adoption parmi les plus élevés, il fait aujourd’hui appel aux technologies et aux fournisseurs les plus performants et efficaces du marché.

Il n’est d’ailleurs que très rarement fait mention d’attaques massives, dans la presse ou ailleurs, ciblant les entreprises de ce secteur, qui ont beaucoup à nous apprendre. Elles figurent notamment parmi les premières entreprises à avoir adopté les technologies de protection des endpoints, EDR, qui garantit une visibilité totale et une réponse rapide face aux cyberattaques, et désormais des technologies XDR, qui s’imposent aujourd’hui comme leur norme de référence pour la cybersécurité.

De fait, les récentes évolutions en matière de détection et de réponse étendues (XDR) sont une mine d’or pour les entreprises financières qui subissent une pression énorme pour sécuriser non seulement les données critiques de leurs clients, mais aussi leurs propres collaborateurs et leur réputation dans un secteur où la confiance est reine. Elles sont constamment menacées par les acteurs malveillants et doivent donc toujours garder une longueur d’avance.

La technologie XDR va permettre d’identifier la moindre menace qui pourrait causer d’importants dommages à une institution financière.

Pour être efficace, une solution XDR doit fournir aux établissements du secteur des informations sur une attaque dans un format accessible, quel que soit le niveau de compétence de l’analyste. Ces renseignements doivent également s’étendre au-delà des endpoints pour inclure les services SaaS, la messagerie électronique et les infrastructures Cloud. Une solution XDR doit regrouper les informations provenant de l’ensemble des endpoints, services et identités d’utilisateur. La technologie doit identifier les indicateurs de compromission (IOC), autrement dit les données dérivées des entrées de log suggérant une activité malveillante, comme les indicateurs d’hôte et de réseau, qui mettent en lumière les outils et les composants d’une attaque.

Les équipes de sécurité ont recours aujourd’hui à divers outils pour avoir une visibilité sur les endpoints. Malheureusement, trop peu de ces outils ont été spécialement conçus pour cela. Les logiciels antivirus et les pare-feux, par exemple, sont incapables de neutraliser les cybermenaces modernes.

Gérer le déluge de données des endpoints et la saturation d’alertes

Même lorsqu’une entreprise utilise une solution conçue pour offrir une visibilité sur les endpoints et le réseau étendu, l’équipe de sécurité est souvent inondée d’alertes peu contextualisées, au lieu d’avoir accès à des renseignements sur les incidents importants. La visibilité est alors bien moindre que ce dont les institutions financières ont besoin. En ce sens, la technologie XDR leur sera d’une aide précieuse pour répondre aux risques émergents et avancés.

Les outils de sécurité qui recueillent de grandes quantités de données sur les endpoints à partir des centaines de milliers de serveurs et d’ordinateurs d’une banque, mais qui sont incapables d’analyser les causes premières des incidents ou de corréler les données entre les machines, sont davantage un fardeau qu’un atout pour les équipes de sécurité.

Ils ne fournissent tout simplement pas aux analystes de sécurité de contexte sur la cause première, l’étendue de l’attaque et les mesures à prendre suite à l’alerte. Les opérateurs perdent alors un temps précieux à interroger manuellement des ensembles de données pour répondre à des questions clés. La saturation d’alertes entraîne des erreurs humaines et allonge le délai de réponse. Il devient donc plus difficile de détecter une menace furtive qui se fait passer pour un utilisateur ou une machine légitime.

Les solutions XDR doivent fournir aux équipes de sécurité une visibilité sur les activités potentiellement malveillantes au niveau des endpoints et du réseau étendu, mais aussi les renseignements les plus précis possible sur ces activités malveillantes, corrélés sur l’ensemble des plates-formes, des appareils et des utilisateurs surveillés.

Depuis l’arrivée de la technologie XDR, les équipes de sécurité ont à leur disposition bien plus que de simples indicateurs de compromission pour protéger l’entreprise.

Ils peuvent utiliser ce que l’on appelle les indicateurs de comportement (IOB). Ces chaînes plus subtiles de comportements malveillants peuvent révéler une attaque dès son lancement, ce qui explique pourquoi elles sont si efficaces pour détecter des campagnes avancées comme les récentes attaques SolarWinds.

Les solutions XDR de pointe offrent une approche centrée sur les opérations pour détecter et neutraliser les attaques en recherchant automatiquement des comportements spécifiques et anormaux que les autres solutions ne parviennent pas à identifier. En analysant les indicateurs de comportement, l’entreprise peut non seulement obtenir une visibilité et des informations exploitables sur une chaîne d’attaques active, mais aussi utiliser cette même suite de comportements malveillants pour se protéger d’attaques similaires à l’avenir.

La technologie XDR est ainsi essentielle pour éliminer les obstacles à la détection et au traitement efficaces des menaces, notamment les tâches de gestion des logs et de collecte des données, les cycles de maintenance et de déploiement des agents, ainsi que les processus d’interrogation complexes et sans fin visant à extraire des données et à détecter les comportements. L’approche XDR décloisonne les données et centralise les informations contextuelles sur les identités et les appareils dans un tableau de bord d’analyse unique.

En étendant les capacités de détection et de réponse à tout l’écosystème informatique dont les environnements d’entreprise modernes sont composés, elle permet aux entreprises de services financiers de reprendre l’avantage sur les cybercriminels. Avec une telle technologie, les équipes techniques peuvent identifier, comprendre et stopper toute opération malveillante sur l’ensemble de la pile informatique, que ce soit dans les environnements sur site, mobiles ou Cloud. Les institutions financières ont donc tout intérêt à adopter une solution XDR dans les mois à venir.
___________________

Par Yossi Naar, cofondateur de Cybereason, Directeur de la vision d’entreprise