Travailler dans le domaine de la cybersécurité peut donner l’impression de mener une bataille perdue d’avance. Les cybercriminels peuvent accéder au réseau d’une entreprise en quelques minutes, alors qu’il faut souvent des mois aux analystes en cybersécurité pour détecter une violation. Le nombre de cyberattaques est en forte augmentation, tandis que le secteur de la cybersécurité fait face à une pénurie de compétences qui ne cesse de croître. De plus, les analystes en cybersécurité doivent trouver toutes les vulnérabilités de l’infrastructure pour protéger correctement le périmètre, tandis que les adversaires n’ont besoin d’en trouver qu’une pour pénétrer au sein du système.

Les acteurs malveillants ont le dessus, alors comment les entreprises peuvent-elles tirer leur épingle du jeu dans le paysage des menaces actuel ?

La domination des adversaires exige une approche axée sur les objectifs

Il est impossible de protéger l’ensemble d’une infrastructure contre les cybercriminels. Ils sont dominants, et il est peu probable que cette tendance ne change. Les cyberattaques sont inévitables, ce qui révèle le besoin pour les analystes de passer d’une approche préventive à une approche orientée objectif, introduite par SANS SEC511. Au lieu d’essayer d’empêcher les compromissions, l’approche axée sur les objectifs vise à empêcher les attaquants d’obtenir ce qu’ils veulent, à savoir généralement des données ou un contrôle important du système. En fin de compte, les analystes n’ont pas besoin de protéger l’ensemble de l’infrastructure. Ils doivent protéger les ressources critiques.

La clé du succès avec l’approche orientée objectif est la visibilité sur le réseau pour permettre aux analystes de détecter une violation. Les cybercriminels laisseront toujours des traces de leur passage, mais les analystes doivent mieux connaître l’ennemi afin de voir : comment ils pensent et comment ils fonctionnent. Par exemple, les attaquants utilisent toujours des évaluations de vulnérabilité dans le cadre d’une surveillance active ou passive. Ainsi, une équipe de sécurité solide fera de même pour tenter de garder une longueur d’avance. Les analystes doivent comprendre les tactiques, les techniques et les procédures utilisées par les acteurs malveillants.

La connaissance de l’environnement est impérative

Les cybercriminels suivent généralement le même processus lors d’une attaque. D’abord, ils essaient de découvrir l’environnement et de le mapper. Ensuite, ils essaient de localiser les ressources critiques. Enfin, ils voleront ou exploiteront ces ressources. Pour qu’une équipe de sécurité soit en mesure d’empêcher que de telles attaques ne soient lancées, elle doit connaître son environnement et ses ressources critiques.

L’équipe de sécurité doit mapper l’infrastructure en évaluant ses défenses, en définissant quelles sont les informations qui peuvent en fournir une vue d’ensemble et quel est le niveau de détail requis. De plus, l’équipe doit comprendre les applications critiques et leur emplacement, les données sensibles et leur emplacement, identifier les utilisateurs privilégiés et localiser les transitions réseau essentielles. Une fois le mapping terminé, il est nécessaire d’observer les mouvements au sein de l’infrastructure pour avoir une vue d’ensemble sur ce qui se passe au sein des systèmes, applications, bases de données, environnements Cloud et systèmes d’exploitation.

Le contexte est roi

Les analystes ont besoin d’un contexte pour faire la distinction entre les mouvements attendus et inattendus au sein d’une infrastructure. Ils peuvent obtenir du contexte à partir de renseignements open source, de répertoires internes, de bases de données de gestion de configuration, de listes statiques et dynamiques et de tableaux contenant les comptes utilisateur, le réseau et la localisation les plus exposés. Le point le plus crucial pour comprendre les observations est le log. Une équipe de sécurité solide veillera à ce que personne ne puisse se déplacer dans l’infrastructure sans être enregistré.

La surveillance des logs en temps réel est un puissant outil de cybersécurité. Il fournit une connaissance de la situation et permet aux analystes de déterminer avec plus de confiance si un mouvement au sein de l’infrastructure ou en particulier autour d’une ressource critique est attendu ou inattendu. Les analystes peuvent détecter un cybercriminel franchissant le périmètre et stopper l’attaque. De plus, ils peuvent utiliser l’apprentissage automatique pour détecter les anomalies et augmenter les chances d’empêcher l’attaquant d’accéder aux ressources critiques.

Contacter Logpoint

Contactez-nous et découvrez
pourquoi les entreprises
leaders dans leur secteur
choisissent Logpoint: