Lors du salon Black Hat, une chose était claire : tout le monde sécurise, protège ou défend quelque chose... grâce à l'IA.
En apparence, tout le monde se ressemble.
Pour les acheteurs qui tentent de résoudre des problèmes réels, il est difficile de savoir à qui faire confiance et avec qui passer du temps.
En tant que personne qui passe ses journées à étudier le comportement des attaquants et à élaborer une logique de détection, je souhaite offrir une perspective différente. Il ne s'agit pas de savoir qui a le meilleur slogan ou la démo la plus tape-à-l'œil. Il s'agit de poser des questions plus pointues, fondées sur la façon dont les attaques modernes fonctionnent réellement.
La prévention domine toujours. Mais la prévention seule ne fonctionne pas.
La plupart des messages des fournisseurs sont encore axés sur la nécessité d'empêcher les attaquants d'entrer, et c'est nécessaire. Mais aujourd'hui, les cybercriminels ne s'appuient plus sur les exploits pour pénétrer dans l'entreprise.
Dans ma session Black Hat, Attention à vos failles d'attaquej'ai donné des exemples de la manière dont des groupes de menace tels que Scattered Spider, Volt Typhoon et Mango Sandstorm obtiennent un accès et augmentent tranquillement leur contrôle. Ces attaquants n'ont pas besoin de malware ou de journées zéro. Ils s'appuient sur des informations d'identification valides, des jetons de session volés ou des abus de fédération pour se fondre dans l'activité légitime.
La compromission initiale commence souvent par quelque chose qu'aucun outil de sécurité n'est formé pour arrêter : Une connexion réussie.
À partir de là, ils explorent l'environnement à l'aide d'outils natifs, escaladent les privilèges par le biais de chemins d'identité fiables, persistent à l'aide d'applications OAuth et exfiltrent des données en toute discrétion. Pas d'exploits. Pas de binaires. Juste un comportement qui a l 'air d'être à sa place.
Les contrôles traditionnels ne déclenchent pas d'alertes parce que l'activité est techniquement conforme aux règles. Les informations d'identification sont vérifiées. Les chemins d'accès sont autorisés. Les journaux, s'ils n'ont pas déjà été supprimés, racontent une histoire incomplète. La plupart des défenses ont été conçues pour détecter ce qui est étranger ou manifestement malveillant, et non ce qui est valide et mal utilisé.
Dans tous les cas concrets que nous avons étudiés, des outils de prévention étaient en place. Mais ils surveillaient les mauvais signaux.
Parce que les attaques d'aujourd'hui ne se distinguent pas. Elles se fondent dans la masse.
La notion de "compromis assumé" doit influencer la manière dont vous évaluez les fournisseurs.
Vous avez déjà entendu parler de "compromis assumé" (et peut-être lu notre précédent blog sur le sujet). Il ne s'agit pas seulement d'un changement d'état d'esprit, et cela devrait être un moyen de filtrer les fournisseurs lorsque tout le monde, lors d'un salon, prétend mettre fin aux attaques.
Il n'est pas nécessaire de comprendre tous les produits de cybersécurité disponibles sur le marché. Vous devez comprendre le comportement de vos attaquants, puis demander aux fournisseurs comment ils détectent ce comportement et y répondent :
- Que détecte votre solution après l' accès initial ?
- Comment identifier les mouvements latéraux si les titres sont valides?
- Que se passe-t-il si le jeton de session d'un utilisateur est détourné dans une application SaaS ?
- Votre produit peut-il détecter des comportements dans les couches cloud, identité et réseau, ou seulement dans l'une d'entre elles ?
- Quelles capacités de détection et de réponse offrez-vous lorsque les journaux ont disparu?
Si la réponse ressemble à un nouveau bruit d'alerte ou si la solution dépend entièrement de la prévention et des journaux, vous avez votre réponse. Vous ne parlez pas à quelqu'un qui peut vous aider lorsque le compromis a déjà eu lieu.
Ce dont vous avez besoin après un compromis (et comment le repérer)
Lorsque la compromission se produit - et elle se produira - le facteur clé de différenciation est la visibilité. Non pas la visibilité de la télémétrie brute, mais la visibilité du comportement des attaquants, dans l'ensemble des environnements. Recherchez des solutions qui peuvent :
- Détecter l'activité sans dépendre d'agents ou de journaux
- Identifier les comportements tels que la reconnaissance, l'abus de compétences et la persistance
- Corréler ce qui se passe au niveau de l'identité, du réseau et de l'cloud
- Fournir un triage qui réduit le bruit et n'en rajoute pas
- Montrer le cheminement complet de l'attaque, et pas seulement des événements isolés
Il s'agit de capacités qui ne peuvent pas être simulées. Vous les verrez lors d'une démonstration. Vous les ressentirez dans la manière dont le produit explique ce qui se passe au cours d'un incident. Et vous verrez l'écart entre un système qui montre la télémétrie et une plateforme qui montre l'intention.
Il ne s'agit pas de savoir si. Il s'agit de ce qui vient après.
La plupart des fournisseurs continuent à vous vendre l'espoir que vous empêcherez l'intrusion. Mais les attaquants n'essaient plus d'entrer par effraction. Ils se connectent. Ils exploitent la confiance. Ils sont déjà à l'intérieur.
Ce qui compte maintenant, ce n'est pas de savoir si vous les avez arrêtés à l'entrée, mais de voir ce qu'ils font une fois qu'ils sont entrés.
C'est la question que tout acheteur devrait se poser.
Si vous êtes curieux de savoir comment se déroulent les compromissions modernes et comment la détection basée sur le comportement révèle ce que les outils de prévention ignorent, nous avons conçu une expérience autoguidée que vous pouvez explorer en quelques minutes. Pas de formulaires. Pas d'appels. Juste un aperçu clair de ce à quoi ressemble une détection efficace des compromissions.