Repérer les signes de logiciels malveillants à l'ère de la "fatigue d'alerte".
Sam Woodcock, directeur principal de la stratégie Cloud chez 11:11 Systems, nous dit que, selon Sophos, 83 % des organisations qui ont subi une violation avaient des signes d’alerte observables au préalable et ont ignoré le canari dans la mine de charbon. En outre, 70 % des violations ont été couronnées de succès et les acteurs de la menace ont crypté les données de l’organisation pour en empêcher l’accès.
Nous avons interrogé Sam sur ces signes et sur les mesures à prendre par les organisations concernées.
Quels étaient ces signes avant-coureurs ?
Sam Woodcock : Les signaux d’alerte se présentent sous diverses formes qui peuvent être observées indépendamment les unes des autres ou dans diverses combinaisons. Quelques exemples de signes d’alerte typiques seraient une activité réseau inhabituelle, comme un trafic réseau excessif ou inhabituel, des pics de tentatives de connexion échouées, une activité système inhabituelle, des schémas d’accès aux fichiers inhabituels, et des alertes provenant d’outils de sécurité et de solutions d’équipement des points d’extrémité.
Pourquoi n’ont-ils pas été vus ?
Sam Woodcock : En règle générale, les signes d’alerte peuvent être manqués pour diverses raisons, mais l’une des plus courantes est la “lassitude des alertes”. Quarante pour cent des organisations reçoivent plus de 10 000 alertes de sécurité par jour. Ce volume d’informations fait que les entreprises sont tout simplement incapables de traiter et de répondre correctement à chaque indicateur généré par leur ensemble de solutions de sécurité.
Deuxièmement, les organisations se rendent souvent compte de la nécessité d’investir dans les technologies de sécurité. Cependant, l’expertise vitale en matière de sécurité nécessaire pour interpréter et réagir aux alertes et aux informations provenant de ces outils est souvent peu abondante et très demandée. Il peut en résulter un manque d’expertise au sein d’une organisation pour trier et répondre aux alertes vitales et aux informations de surveillance. En outre, les organisations peuvent ne pas disposer d’une couverture complète 24 heures sur 24, 7 jours sur 7 et 365 jours par an pour surveiller, réagir et trier les incidents de sécurité ; elles manquent donc des signaux vitaux et des occasions de prévenir les attaques.
Comment ont-ils pu être vus ?
Sam Woodcock : Détecter les menaces et y répondre nécessite une combinaison d’outils de sécurité, de surveillance, d’expertise en sécurité, de couverture 24x7x365, de processus robustes et de mesures proactives et réactives. La meilleure pratique consiste à adopter une approche multicouche combinant des solutions de sécurité préventives et des solutions réactives de protection des données et de récupération des données informatiques.
Il est également essentiel que les organisations procèdent à des évaluations proactives des vulnérabilités et à des tests de pénétration afin de comprendre les lacunes et les risques qui peuvent exister au sein de leur application et de leur environnement de sécurité. Une partie essentielle de toute approche consiste à centraliser les données de journalisation et de télémétrie dans un système de gestion des informations et des événements de sécurité (SIEM), en regroupant les données de journalisation et d’alerte en temps réel à travers les applications et les charges de travail fonctionnant sur une grande variété de plates-formes et de sites physiques. Avec une solution SIEM efficace en place, les organisations doivent également investir dans l’expertise et la couverture de la sécurité pour observer et réagir aux modèles et aux informations provenant d’un tel système.
Que doivent faire les entreprises lorsqu’elles voient de tels signes ?
Sam Woodcock : Les organisations doivent réagir immédiatement de manière structurée et stratégique afin d’atténuer les menaces et d’empêcher qu’elles ne se développent. En raison de l’immédiateté, les organisations doivent investir dans une expertise de sécurité de première ou de tierce partie, 24x7x365 par nature, afin de ne pas manquer les menaces ou de ne pas les laisser prendre de l’ampleur.
La première étape de toute approche devrait consister à examiner les alertes ou les journaux créés par les outils de sécurité et à déterminer s’il s’agit d’une menace réelle ou d’un faux positif. S’il s’agit d’une menace réellement positive, les systèmes affectés doivent être immédiatement isolés et mis en quarantaine afin d’empêcher la propagation ou le déplacement de l’attaque. Il est essentiel de disposer d’une équipe et d’un plan d’intervention en cas d’incident afin de coordonner la réponse requise et de résoudre le problème. Une combinaison de personnes, de processus et de technologies travaillant en partenariat est essentielle pour une résolution et un rétablissement rapide.
Les systèmes 11:11 peuvent-ils nous aider ?
Sam Woodcock : 11:11 a été créé pour garantir que les organisations puissent maintenir leurs applications et leurs systèmes toujours opérationnels, accessibles et protégés. Comme indiqué précédemment, les solutions de sécurité préventives sont essentielles pour empêcher les attaques ou en limiter la portée. 11:11 propose une combinaison de technologies de sécurité (MDR, XDR, pare-feu géré, analyse des vulnérabilités en temps réel) alignées sur un centre d’opérations de sécurité mondial 24x7x365 doté d’un processus solide.
Cela nous permet de comprendre les menaces en temps réel et de réagir en conséquence, en fournissant des informations de remédiation exploitables pour résoudre les incidents. En combinaison avec notre approche des services de sécurité gérés, 11:11 a un héritage profond dans la protection des données, la reprise après sinistre et la cyber-résilience avec des capacités pour fournir une reprise gérée de bout en bout des systèmes, des charges de travail et des applications.
Cet ensemble de solutions de reprise gérée est essentiel pour garantir que les données vitales sont protégées en temps réel, avec un plan de reprise testé et validé pour assurer une reprise rapide des actifs les plus essentiels d’une entreprise.
