Récent recherche indique que les organisations de 10 000 employés ou plus maintiennent généralement près de 100 outils de sécurité. Et pourtant, des entreprises mondiales bien établies continuent d’être la proie de cyberattaques. Par exemple, le processeur de paiement NCR a récemment connu une attaque de rançongiciel ce qui a provoqué des pannes de réseau en aval dans de nombreux systèmes de back-office de restaurants et de points de vente. Avec la perspective d’une récession en 2023 rapports suggère que les responsables de la sécurité de l’information (CISO) percevront de plus en plus des budgets serrés. Alors, comment les entreprises peuvent-elles concentrer leurs investissements limités dans la cybersécurité sur les contrôles les plus importants ?
Étant donné que les cyberrisques opèrent dans le contexte d’un environnement de menace, d’entreprise et de technologie hautement dynamique, il est important de définir un contexte pour la manière dont nous mesurerons les performances de la cybersécurité. Comme récemment Michael Chertoff il a remarquéde bons programmes de cybersécurité fonctionnent avec un niveau élevé de transparence, d’exactitude et de précision.
Éléments d’un bon programme de cybersécurité
Transparence il provient de l’utilisation de cadres de sécurité faisant autorité provenant d’endroits comme l’Institut national américain des normes et de la technologie (NIST) ou l’Organisation internationale de normalisation (ISO) qui sont reproductibles et auditables. Cela signifie que ces cadres définissent généralement des procédures à un haut niveau d’abstraction (“l’accès à distance est contrôlé”… comment ?) et doivent être couplés à une analyse plus détaillée des techniques de menace probables pour s’assurer que exactement cartographier ces menaces. Nous devons être aussi exact O surface d’attaque nous résolvons avec une vérification spécifique.
Selon le type d’attaque, différentes protections sont utilisées : systèmes d’exploitation pour ordinateurs portables, serveurs Web, technologies d’utilisateur à distance, technologies cloud ou logiciels de productivité des utilisateurs tels que les navigateurs et les e-mails qui peuvent être compromis par des acteurs malveillants. obtenir un premier accès aux systèmes de votre entreprise.
Dans cette optique, nous pouvons diviser les investissements en cybersécurité en trois catégories : 1) les contrôles qui protègent contre les menaces de manière particulièrement efficace, 2) les mesures qui vérifient que ces contrôles fonctionnent comme prévu, et 3) les options, qui automatisent les deux autres.
Des contrôles qui protègent efficacement contre les menaces
Par où les entreprises devraient-elles commencer ? Tout comme les médecins utilisent les profils des patients pour hiérarchiser les mesures préventives, les diagnostics et les thérapies pour gérer les risques spécifiques aux patients, nous pouvons utiliser les profils d’entreprise pour nous aider à comprendre l’éventail des menaces potentielles. Comme pour le Covid-19, le rançongiciel est un risque qui s’applique universellement, mais certaines organisations (par exemple, les fournisseurs de technologie) doivent également s’inquiéter d’être ciblées comme des tremplins dans les environnements des clients, comme ce fut le cas dans le récent rapport largement rapporté. 3CX pirater. Dans cet esprit, nous pouvons nous concentrer sur les contrôles qui empêchent ces menaces.
Il est facile pour les pirates de modifier les signatures d’attaque (des éléments tels que le code malveillant que les systèmes antivirus peuvent détecter). Il est beaucoup plus difficile pour les attaquants de modifier leurs méthodologies de base, appelées tactiques, techniques et procédures (TTP). MITRE Corporation Techniques tactiques ennemies et connaissances générales (ATT&CK) est l’approche la plus complète et la plus fiable pour cataloguer les acteurs de la menace, leurs motivations et les TTP, ouvertement disponible aujourd’hui – et son utilisation est gratuite. Les entreprises peuvent utiliser ATT&CK pour se familiariser avec les techniques de menace contre lesquelles elles doivent se défendre en fonction de leur profil commercial. ATT&CK associe également chaque technique aux contre-mesures de sécurité correspondantes, ce qui permet d’aligner les investissements sur les menaces.
Minimiser l’accès initial.
L’étape de base consiste à minimiser la probabilité qu’un adversaire obtienne un accès initial. ATT&CK nous dit qu’ils existent neuf façons dont les acteurs de la menace peuvent entrer dans une organisation cible – y compris le phishing, l’exploitation de services distants externes et la compromission de comptes valides. Les entreprises doivent tenir compte de ces neuf points d’accès potentiels et les traiter ou accepter consciemment le risque de ne pas le faire et hiérarchiser la manière dont les contrôles appropriés seront mis en œuvre au fil du temps.
Les dernières M-Trends annuelles de Mandiant message suggère que l’exploitation des vulnérabilités dans les applications accessibles au public (telles que les bogues logiciels qui permettent aux acteurs de la menace de contourner l’authentification et d’exécuter du code à distance) est la technique d’accès initial la plus courante observée lors des enquêtes, de sorte que les ressources qui corrigent les vulnérabilités disponibles sur Internet sont des contrôles particulièrement impressionnants. Pour les environnements centrés sur le cloud, la dernière recherche de Google rapporte que la compromission de compte valide (soit par des informations d’identification faibles ou des informations d’identification divulguées) représente plus de la moitié de tous les incidents observés sur sa plate-forme, soulignant l’urgence des solutions d’authentification multifacteur (MFA) (en particulier lorsque les organisations migrent les charges de travail vers des environnements cloud ).
Défense en profondeur.
Les entreprises doivent planifier les éventualités où un attaquant obtient un accès initial, par exemple en trouvant un ordinateur avec une connexion Internet sans MFA ou en incitant quelqu’un à visiter un site Web infecté. Quoi alors ?
Nous pouvons utiliser la base de connaissances ATT&CK pour identifier et traiter les techniques couramment utilisées par les groupes d’acteurs menaçants avec un soutien au sein de l’organisation cible. Ces techniques peuvent représenter des “points indices” qui, s’ils sont perturbés, peuvent éclairer ou vaincre la campagne d’un adversaire. Par exemple, signaler des menaces provenant de Mandiant, Canari rouge et Laboratoires Picus tous mettent en évidence la façon dont les mauvais acteurs ont utilisé interpréteurs de commandes et de scripts comme PowerShell pour exécuter des commandes ou des scripts. Les acteurs de la menace responsables de la rupture des vents solaires utilisé Ligne de commande PowerShell et Windows tout au long de la campagne. En établissant des commandes, des scripts et des activités utilisateur “normaux”, les entreprises peuvent détecter et répondre à l’utilisation malveillante de cette technologie.
La bibliothèque ATT&CK identifie également les contrôles qui offrent une large couverture contre les comportements que les acteurs de la menace sont susceptibles d’utiliser. Par exemple, de nombreuses sources de données nécessaires pour détecter un large éventail de comportements menaçants sont capturées et analysées à l’aide d’outils de détection et de réponse aux points finaux (EDR) qui fournir visibilité et réponse automatisée aux intrusions sophistiquées en comparant les événements du système au comportement connu de l’adversaire (y compris les techniques de shell et de script mentionnées ci-dessus).
Précision il s’agit également de concentrer le déploiement de ces outils là où ils comptent le plus : sur les « atouts de grande valeur » de l’organisation. Les définitions peuvent être difficiles, mais certains systèmes sont très ciblés par les acteurs de la menace car ils remplissent des fonctions critiques pour la confiance et sont les tremplins vers tout le reste. Après SolarWinds incidentLe National Institute of Standards and Technology (NIST) des États-Unis a défini une telle liste logiciel critique.
Par exemple, les systèmes d’identité et d’accès relèvent de la définition du NIST : ce sont des défenses essentielles en soi, et les données sur les incidents montrent que les acteurs de la menace s’efforcent souvent d’obtenir des informations d’identification hautement privilégiées sur des systèmes de contrôle d’accès centralisés tels que Microsoft Active Directory, avec résultats dévastateurs. Une fois les informations d’identification en main, l’adversaire se fait passer pour le titulaire légitime des informations d’identification et l’activité ultérieure est beaucoup plus difficile à détecter. Le maintien de l’intégrité de ces systèmes est donc une priorité essentielle.
La flexibilité.
Pour les actifs de grande valeur, investir dans des contrôles tels que les sauvegardes hors ligne qui permettent la survie est primordial, en particulier dans les situations à faible probabilité et à conséquences élevées où le déchiffrement n’est pas possible. Par exemple, en novembre 2022, Microsoft signalé cette variante malware destructeur des campagnes largement diffusées en Ukraine depuis le début de la guerre sont désormais utilisées pour attaquer des organisations logistiques en Pologne.
Vérification des contrôles
Dans notre travail avec les clients, nous avons constaté que les contrôles ne sont souvent pas entièrement déployés ou ne fonctionnent pas comme prévu. Notre expérience n’est pas unique, c’est pourquoi la Cybersecurity and Infrastructure Security Agency (CISA), le Federal Bureau of Investigation (FBI) et la National Security Agency (NSA) ensemble recommandé vérification de l’efficacité des contrôles. Le même processus de modélisation des menaces décrit ci-dessus peut également être utilisé pour concentrer les efforts de test sur l’émulation des techniques de menace pertinentes afin de garantir que les contrôles de votre entreprise fonctionnent comme prévu.
Automatisation
Tenter de gérer, vérifier, corriger et surveiller manuellement l’état de la sécurité, c’est-à-dire déterminer exactement où les contrôles de sécurité sont déployés et s’ils fonctionnent comme prévu, devient difficile, voire impossible. Récent enquête a souligné que les organisations continuent de connaître une croissance rapide des environnements technologiques (de 2022 à 2023, les augmentations étaient généralement de 137 % pour les applications, de 188 % pour les appareils et de près de 30 % pour les utilisateurs) et des risques (augmentation de 589 % de 2022 à 2023). Le volume global de données total est estimé atteindre 175 zettaoctets (un zettaoctet équivaut à mille milliards de gigaoctets) d’ici 2025 (contre 33 zettaoctets en 2018).
Le renforcement de la sécurité passera donc de plus en plus par l’automatisation. L’orchestration de sécurité et la réponse automatisée (SOAR) sont déjà bien connues dans la communauté de la sécurité, tout comme les mises à jour logicielles automatiques lorsque cela est possible (qui peuvent être gérées plus facilement pour les systèmes d’exploitation des utilisateurs finaux et les technologies de productivité telles que les navigateurs). Trois autres formes d’automatisation méritent d’être notées :
- Suivi de l’emplacement de l’actif et de tout déclin connexe (par exemple, lorsque des serveurs connectés à Internet sont laissés en ligne sans mot de passe, ce qui est répété à plusieurs reprises Arrivé dans les environnements cloud), notamment pour les technologies utilisant Internet.
- Évaluer la couverture contre l’évolution des menaces.
- Test d’émulation des menaces, où les menaces sont simulées à l’aide de scripts automatisés sur les systèmes respectifs. L’automatisation contribuera non seulement à rendre les organisations plus sûres, mais elle devrait également contribuer à réduire le nombre de problèmes de sécurité nécessitant une correction (herbe à chat aux avocats des plaignants et aux organismes de réglementation en cas d’incident).
Les entreprises peuvent commencer par identifier où la fonctionnalité d’automatisation existe dans les solutions informatiques plus importantes. Le suivi de la position des actifs peut souvent être réalisé à l’aide de technologies de gestion d’actifs et de services informatiques natifs, ainsi que d’outils prêts à l’emploi de fournisseurs de cloud tels que Score de sécurité Microsoft. Certains systèmes cloud tels que Plate-forme Google Cloud ont commencé à cartographier les attitudes envers les cadres de gouvernance publiés par le NIST et le Center for Internet Security.
À mesure que le profil de l’entreprise, la complexité de la surface d’attaque et les menaces associées changent, la valeur relative des contrôles spécifiques change également. Ainsi, une étape fondamentale pour décider quels contrôles sont les plus importants est de surveiller comment les activités sous-jacentes, la technologie et les facteurs de risque évoluent et ce que cela signifie pour la sécurité.