Nous adorons Black Hat. C'est le meilleur endroit pour apprendre ce qui intéresse vraiment les praticiens de la sécurité de l'information et ce qui est la vérité de notre industrie. Parce que nous voulons toujours être pertinents pour nos clients, nous avons pensé que Black Hat était l'événement idéal pour poser des questions sur ce qui compte.
Nous avons mené une enquête
Pour mieux comprendre ce qui compte, nous avons mené une simple enquête de quatre questions lors de la conférence Black Hat. Deux questions visaient à comprendre ce que les gens trouvent fastidieux et chronophage, et comment ils préféreraient passer leur temps au travail. Les deux autres questions visaient à mieux cerner leur personnalité. Nous leur avons donc également demandé quel Avenger ils aimeraient le plus être et quels superpouvoirs ils aimeraient posséder.
Qui a participé à l'enquête ?
Black Hat est rempli de personnes qui passent leur journée à chasser les menaces et à gérer ou construire des centres d'opérations de sécurité (SOC) chargés de répondre à toutes les situations, des alertes de sécurité à une cyberattaque en bonne et due forme.
C'est le public idéal. Les 879 personnes interrogées sont des responsables de la sécurité de l'information, des architectes de la sécurité, des chercheurs en sécurité, des membres du personnel des centres d'opérations de sécurité et des centres de données.
Qu'avons-nous appris ?
Le temps est le facteur le plus important dans la détection des atteintes à la cybersécurité. Pour protéger les actifs clés contre le vol ou les dommages, les menaces doivent être détectées, confirmées, corrigées et vérifiées en temps quasi réel. Pour mettre en place les processus les plus rapides et les plus efficaces, il est judicieux de combiner l'homme et la machine, ce qui permet à chacun de se concentrer sur ce qu'il fait le mieux.
Quel vengeur aimeriez-vous être ?
La plupart des personnes interrogées à Black Hat veulent être un milliardaire de la technologie très intelligent à la tête d'une entreprise mondiale.
Ce milliardaire prospère grâce à sa capacité à concevoir et à fabriquer des gadgets géniaux avec l'aide d'un assistant IA sophistiqué - un milliardaire qui possède des voitures géniales et peut voler dans l'espace.
Non, pas Elon Musk. Les gens veulent être Iron Man (alias Tony Stark). Captain America, Ant Man et Dr. Strange occupent les deuxième, troisième et quatrième places.
Quels sont les superpouvoirs qui vous seraient le plus utiles dans votre travail ?
Le superpouvoir le plus désiré s'avère être conforme à l'intelligence surnaturelle des Avengers de Marvel. Nous comprenons. Les enquêtes sur les incidents requièrent un ensemble de compétences à la fois vastes et spécialisées, notamment l'analyse des logiciels malveillants, l'analyse judiciaire des paquets et des journaux, ainsi que la corrélation de quantités massives de données provenant d'un large éventail de sources.
Il est difficile de trouver suffisamment de personnes talentueuses pour mener à bien une enquête sur un incident, et celles qui existent déjà sont surchargées de travail. La bonne nouvelle, c'est qu'il est possible aujourd'hui d'atteindre un certain niveau d'intelligence surnaturelle. Comment ? En augmentant les meilleures capacités de l'intelligence humaine avec la force de l'IA.
Il existe une tendance mesurable au sein des organisations qui ont mis en œuvre l'IA pour automatiser les tâches fastidieuses de réponse aux incidents afin d'augmenter la main-d'œuvre du SOC. Cela permet aux analystes de sécurité de se concentrer sur leurs compétences analytiques et de prendre des décisions critiques. Les équipes qui utilisent l'IA pour renforcer le travail des analystes de sécurité atteignent des niveaux d'efficacité plus élevés que celles qui ne le font pas.
Si vous aviez le pouvoir d'éliminer l'aspect le plus chronophage et le plus insatisfaisant de votre travail en tant que professionnel de la sécurité, quel serait-il ?
L'examen des alertes de sécurité à la recherche d'activités suspectes est la réponse que la plupart des personnes interrogées ont indiqué comme étant un travail chronophage et insatisfaisant. Il n'y a rien d'amusant à travailler manuellement sur des centaines, voire des milliers d'événements sans contexte ou presque, qui se révèlent être des comportements bénins ou à faible risque.
Les enquêtes sur les événements de sécurité peuvent durer des heures, et l'analyse complète d'une menace avancée peut prendre des jours, des semaines, voire des mois. Même les grandes équipes SOC composées d'analystes compétents ont du mal à détecter, confirmer, remédier et vérifier les incidents de sécurité assez rapidement. C'est mentalement épuisant et cela absorbe toutes les heures de la journée. Ce n'est pas pour cela que nous avons rejoint la sécurité de l'information. Iron Man ne passerait pas son temps à enquêter manuellement sur quoi que ce soit.
C'est le genre de travail fastidieux qui convient le mieux à un assistant IA, une machine capable de traiter de gros volumes d'informations en temps réel et de hiérarchiser les menaces les plus risquées. L'assistant IA permet aux analystes de sécurité de se concentrer sur ce qui compte le plus : réagir aux comportements des cyberattaquants qui peuvent causer de réels dommages. C'est pourquoi Iron Man a Jarvis.
Quelle est la partie de votre travail à laquelle vous aimeriez consacrer plus de temps ?
La chasse aux menaces est la réponse la plus fréquente à cette question. La chasse aux menaces est la partie la plus amusante du travail - le frisson de la poursuite - et la plupart d'entre eux souhaiteraient avoir plus de temps pour s'y consacrer. Mais la chasse aux menaces peut être un processus manuel. Un analyste de sécurité doit passer au crible d'importants volumes d'informations, en utilisant ses propres connaissances et sa familiarité avec le réseau, pour créer des hypothèses sur les vecteurs de menace potentiels, tels que les mouvements latéraux et l'utilisation abusive des comptes.
Il est pratiquement impossible de trouver le temps de chasser régulièrement. La partie la plus difficile de la chasse aux menaces n'est même pas la chasse elle-même. Il s'agit de savoir où chasser afin qu'un analyste de sécurité ne perde pas de temps à poursuivre des menaces qui mènent à une impasse.
La bonne nouvelle, c'est que l'IA peut redonner le temps nécessaire à une chasse aux menaces efficace. Vectra s'est engagé à doter les analystes de la sécurité d'excellentes capacités de chasse aux menaces. C'est ce que nous faisons avec Cognito, notre plateforme de détection des cyberattaques et de chasse aux menaces. La détection des menaces par l'IA permet de repérer automatiquement les attaquants les plus furtifs. L'accent mis par Cognito sur les comportements des attaquants - les méthodes qu'ils doivent utiliser - fournit un signal fiable et exploitable.
Les chasseurs de menaces sont habilités à lancer des enquêtes plus approfondies et plus larges sur les incidents détectés par Cognito et d'autres contrôles de sécurité, tout en permettant une recherche rétrospective des menaces non détectées.
Conclusion
Chez Vectra, notre mission est de permettre aux professionnels talentueux de la cybersécurité de faire davantage ce qu'ils aiment - la chasse aux menaces - et moins ce qu'ils détestent - le suivi des alertes de sécurité. Cela permet d'optimiser le temps et le talent, l'objectif le plus stratégique dans la prévention des violations de la cybersécurité.