Construire une protection adaptée aux menaces : connaissez votre ennemi, votre champ de bataille et vous-même
Publié: 2021-12-28
Dans le paysage récent des cybermenaces, il est plus important que jamais de comprendre d'où les attaques probables pourraient provenir et comment elles pourraient frapper votre entreprise.
La cybercriminalité à l'échelle mondiale s'est développée pour générer environ un seul billion de billets verts sur la situation financière de la planète - un chiffre plus important que le PIB de la Belgique.
Avec les entreprises qui ont numérisé la grande majorité de leurs informations et procédures, tous ces biens électroniques présentent désormais une chance concentrée qui a une surface d'attaque plus grande qu'à tout moment.
La productivité, le confort et les performances ont été les moteurs de la révolution électronique, façonnant un monde dans lequel nous sommes tous interconnectés et où le Web se marie parfaitement avec le hors ligne. L'attaque contre le ransomware du pipeline colonial plus tôt cette année a été un rappel brutal de la façon dont une cyberattaque peut avoir un impact sur la planète physique en ayant la source d'essence sur la côte est des États-Unis.
Les gourous de la sécurité ont déjà averti que les pirates pourraient se concentrer sur les stimulateurs cardiaques, les pompes à insuline ou les voitures connectées. Les points finaux deviennent à tout moment plus diversifiés et dispersés. Ce ne sont plus seulement des PC et des serveurs, mais aussi des téléphones, des appareils photo, des alternatives CVC, des imprimantes, des montres, des haut-parleurs intelligents et bien plus encore. Le risque de ransomware est désormais endémique. Et l'augmentation des crypto-monnaies a donné aux cybercriminels les moyens d'effectuer des transactions anonymes et sans danger.
Tout cela pris collectivement a rendu probable un écosystème de danger catastrophique. Les cyberattaques deviennent de plus en plus difficiles à surmonter et ont des répercussions encore plus importantes. les entreprises devront devenir plus intelligentes et agir plus rapidement pour faire face de manière proactive aux menaces auxquelles elles sont confrontées.
L'investissement dans les technologies de sécurité n'est pas suffisant. Nous avons actuellement observé un réveil de la « présomption de violation » parmi les entreprises - une transformation dans le sens d'une augmentation des capacités de réponse et de récupération en plus des plans de cyberprotection réguliers. Sachant qu'une agression n'est pas un sujet de « si », mais de « quand », les organisations doivent disposer de plans fiables de réaction aux incidents, de gestion de crise et de reprise après sinistre.
Être en mesure de déterminer, de protéger, de détecter aussi bien que de réagir et de mieux faire face aux menaces est impératif : ces capacités sont les briques constitutives d'un système complet de cyber-résilience. Mais la cyber-résilience consiste également à réduire la menace - comprendre quelles activités de cybersécurité auraient les effets les plus significatifs sur votre entreprise et hiérarchiser vos mesures de protection de manière appropriée. Vous devez avoir une très bonne connaissance de vos agresseurs potentiels et de leurs techniques pour établir un plan de sécurité en fonction des menaces et des menaces.
Soyez cyber champ de bataille prêt
Le hasard est une fonction de probabilité et d'effets indésirables. Une fonction qui est extrêmement susceptible de se matérialiser, mais qui a des effets minimes, offre considérablement moins de possibilités au total qu'une fonction qui n'est pas susceptible, mais entraînerait une blessure principale.
Par conséquent, les entreprises veulent d'une part évaluer lesquelles de leurs propriétés ont la plus grande probabilité de rester attaquées et, d'autre part, quelle est la valeur de ces actifs pour elles. Vous ne pouvez reconnaître totalement votre zone exploitable que si vous comprenez la probabilité d'être attaqué en utilisant un vecteur d'attaque individuel. Étudier votre adversaire et sa façon de courir est donc une partie cruciale de cette approche basée principalement sur la menace.
Vous devrez connaître votre ennemi, votre champ de bataille et vous-même. Les entreprises doivent analyser avec prudence leur stock individuel - informations, méthodes et personnes leur champ de bataille - la communauté ainsi que leurs attaquants potentiels.
Réaliser l'ennemi est la section la plus difficile. Qui sont les acteurs du danger fascinés par votre entreprise et pourquoi vous voient-ils comme une cible accrocheuse ? Quelles sont leurs motivations et leurs objectifs ? Comment font-ils le travail - quelles méthodes, approches et traitements (TTP) utilisent-ils et comment sont-ils applicables à votre environnement naturel individuel ? Où attaqueraient-ils le plus probablement et comment compromettraient-ils votre entreprise ou vos clients ?
Une fois qu'une organisation a acquis cette connaissance approfondie, elle peut décider des priorités modifiées par les menaces pour les contrôles de sécurité et les investissements appropriés. Anticiper ce que l'attaquant pourrait faire vous aidera à identifier les lacunes de vos défenses et à décider de l'endroit où renforcer la sécurité. À l'inverse, il est extrêmement difficile de créer un logiciel de cyber-résilience productif si vous ne comprenez jamais les méthodes que les attaquants vont utiliser contre vous.
Adopter une posture offensive commence par comprendre votre ennemi
Alors, comment faites-vous pour identifier et vous familiariser avec votre éventuel agresseur ? Les outils Threat Intelligence garantissent généralement de fournir les solutions, mais lorsqu'ils peuvent jouer un rôle critique dans tout système de sécurité, ils sont finalement des réponses réactives principalement basées sur des indicateurs de compromission. Ils ont tendance à contenir beaucoup trop d'informations non filtrées, avec des indicateurs de menace en constante évolution. En revanche, l'étude des TTP d'un adversaire doit être une ligne de conduite proactive et ciblée. Heureusement, il existe un certain nombre de ressources open source accessibles pour aider les entreprises à comprendre comment les acteurs de la menace opèrent.
Les bases de données MITRE ATT&CK sont une bonne position de départ, en tant que bibliothèque assez accessible de méthodes et de stratégies d'adversaires reconnues. Il comprend des détails sur la conduite des cyber-adversaires, reflétant les différentes phases du cycle de vie d'un assaut et les plates-formes qu'ils sont censés cibler, et fournit un cadre couramment utilisé par les chasseurs de dangers, les équipes rouges et les défenseurs pour classer et évaluer les agressions.
Le ThaiCERT donne une autre encyclopédie utile des acteurs du danger. Cependant, il n'existe pas de stock unique et complet de tous les attaquants - et les adversaires peuvent souvent fonctionner sous des apparences distinctes.
Pour certaines des informations les plus récentes, les fournisseurs de protection surveillent les acteurs et publient ces informations. Par exemple, les profils de menace sont proposés gratuitement sur le forum de discussion Cyber Danger Administration de Datto, où leur équipe de gestion des menaces partage les profils de danger, les signatures et les détails sur les menaces qui se concentrent sur la communauté locale MSP et leurs clients SMB. Il n'y a pas si longtemps, la plupart des profils supplémentaires impliquent l'équipe de hackers APT29 parrainée par l'État russe, également connue sous le nom de Cozy Bear et Darkish Halo, les proches de LockBit du ransomware et du tristement célèbre groupe de cybercriminalité Wizard Spider.
Chaque profil comprend une vue d'ensemble des acteurs, leurs motivations, les TTP, les atténuations ou défenses possibles, les options de détection et les atouts supplémentaires. Les scientifiques ont également cartographié les acteurs dans le cadre MITRE ATT&CK et les garanties de protection vitale CIS pour rendre les informations facilement exploitables.
Placer les cyber-adversaires dans leur zone : comprendre, hiérarchiser, surveiller, tester
Une fois que vous avez acquis les informations nécessaires sur les acteurs à risque qui pourraient se cacher, la simulation de leurs méthodes vous aidera à déterminer où vous avez le plus grand risque de publicité dans votre entreprise – et ce que vous pouvez faire pour atténuer ce risque. En procédant à la rétro-ingénierie de leurs violations précédentes, vous pouvez hiérarchiser et effectuer en toute confiance les contrôles de sécurité les plus efficaces contre des acteurs distincts.
Pour faciliter l'examen de vos configurations, il existe une gamme d'instruments gratuits open-up qui émulent des adversaires spécifiques, tels que Caldera (qui exploite le produit ATT&CK) ou Atomic Pink Group de Pink Canary.
L'émulation de l'adversaire est distincte du test de pénétration et de l'équipe cramoisie en ce qu'elle utilise un scénario pour tester les TTP d'un adversaire unique. Les techniques humaines peuvent-elles être à la fois prévenues ou détectées dans votre environnement ? Il est essentiel de sonder le savoir-faire technologique, les processus aussi efficacement que les gens pour bien comprendre comment vos défenses fonctionnent toutes ensemble. Répétez ce système jusqu'à ce que vous soyez enfin prêt à gagner la bataille contre cet adversaire.
Les PME doivent le faire au minimum lorsqu'une année civile ou chaque fois qu'il y a une nouvelle menace principale, les entreprises beaucoup plus grandes et les MSP tous les trimestres, bien que pour les entreprises, un programme de défense informé des menaces soit un effort continu et un travail acharné.
En outre, toute entreprise doit respecter les contrôles de sécurité vitaux du CIS - au minimum, consacrer suffisamment de temps aux contrôles du groupe de mise en œuvre 1 (IG1) pour une cyber-propreté cruciale.
Le facteur principal est simplement de commencer. Il n'est pas nécessaire d'avoir à se sentir confus par l'entreprise. Commencez par une évaluation étape par action vers CIS IG1 : même investir une heure tous les 7 jours dans une solution basée sur les risques et les menaces vous aidera à augmenter votre stabilité globale.
Une bonne connaissance des acteurs pauvres du profil de risque d'une entreprise est essentielle pour mettre en place un logiciel de sécurité efficace et adapté aux menaces qui assure la cyber-résilience. Au fur et à mesure que les entreprises commenceront à se sentir plus comme des pirates informatiques, elles seront en mesure de prendre des décisions bien mieux informées des dangers et seront mieux équipées pour se protéger elles-mêmes.
Ryan Weeks, RSSI, Datto