Au milieu des années 2000, j'ai eu la chance d'être invité à rejoindre l'un des principaux groupes de recherche sur la cybersécurité du gouvernement américain au Laboratoire national de l'Idaho (INL) du ministère de l'énergie. Pendant mon séjour, j'ai eu l'occasion unique de collaborer avec un large éventail d'experts en cybernétique des services de renseignement, de l'armée et du secteur privé. Parmi les meilleurs souvenirs que je garde de mon séjour à l'INL, il y a les ateliers de transfert de connaissances que nous avons organisés - l'un d'entre eux est particulièrement marquant.
Nous avons invité un groupe de soldats des opérations spéciales de l'armée américaine à suivre une formation en cybersécurité et en criminalistique technique. La formation portait sur la manière d'aider les troupes dans des lieux hostiles à protéger leurs systèmes numériques, à minimiser les empreintes électroniques, à reconnaître les systèmes ennemis de valeur, à les confisquer en toute sécurité et à les confier à des experts afin d'analyser le contenu de ces appareils.
Le bruit des alertes de sécurité - tout cela n'est qu'une vaste distraction.
Au cours de l'une des sessions, j'ai discuté avec un officier des forces spéciales et je lui ai demandé quelles étaient les trois principales clés d'une opération réussie. Les deux premières réponses étaient classiques - avoir une bonne équipe, s'assurer que l'équipement est le meilleur possible - mais la troisième m'a surpris. Il m'a répondu, avec sa voix traînante du sud, qu'il fallait "toujours avoir un sac de vermines mortes".
Pour ceux qui ne sont pas de langue maternelle anglaise et qui ne connaissent pas les dialectes ruraux américains, une vermine est généralement un petit animal considéré comme nuisible. Les souris, les rats, les crapauds, les pies - tous ces animaux seraient facilement classés dans la catégorie des "nuisibles". J'ai réfléchi à son commentaire pendant une minute, puis je me suis demandé ce qu'un sac de créatures mortes pouvait bien avoir à voir avec le succès d'une mission d'opérations spéciales.
Le regard pétillant, il s'est penché en avant et a baissé la voix comme s'il partageait le secret le plus précieux de son métier et a expliqué comment un sac de petits animaux morts était d'une importance vitale pour fatiguer les gardes qui protégeaient l'objectif de leur mission. Je n'ai toujours pas compris. Un peu exaspéré, il s'est penché en arrière et a dit : "Si un garde doit répondre à chaque alerte émise par un détecteur de mouvement, il finit par se lasser de répondre". Il poursuit :
"Supposons qu'un établissement de haute sécurité soit équipé d'une clôture électrique et de détecteurs de mouvement, que vous jetiez un rat mort sur la clôture, que cela déclenche une alarme, que le soldat sorte, voie le rat mort, secoue la tête et retourne à son poste. Quelques minutes ou quelques heures plus tard, vous lancez un autre animal sur la clôture, le garde sort, regarde l'animal mort, secoue la tête et retourne à son poste de surveillance. Un peu plus tard, vous prenez un autre animal nuisible dans votre sac et vous le lancez à nouveau au même endroit. La plupart des gardes de niveau inférieur vont se lasser de regarder des alarmes essentiellement fausses et au bout de la troisième ou quatrième fois, ils ne viendront plus chercher. Une fois que vous avez senti que les gardes sont fatigués, vous lancez la véritable attaque contre le même endroit où vous avez jeté des animaux morts. Parfois, vous pouvez obtenir jusqu'à 10 minutes d'avance sur les gardes parce qu'ils ne répondront pas à une nouvelle alarme à cet endroit, et ces 10 minutes peuvent faire la différence entre le succès et l'échec de la mission.
Après cette explication, j'ai compris pourquoi cet opérateur spécial donnait la priorité à son sac d'animaux morts. J'ai immédiatement pensé au rôle d'un analyste du centre d'opérations de sécurité (SOC) et à l'impact de la fatigue sur sa réponse aux alertes et aux alarmes. Une fois qu'un analyste a répondu plusieurs fois à ce qui est perçu comme une fausse alarme, il construit généralement des scripts pour automatiser la dépriorisation ou la reclassification de ces alertes. Les cyberattaquants sophistiqués utilisent des tactiques similaires : ils créent du bruit pour que l'équipe SOC réagisse, ce qui les conduit à une impasse qui les désensibilise à certaines alertes. Ensuite, ils lancent la véritable opération une fois qu'ils pensent que l'équipe de cybersécurité ne réagira pas aussi rapidement ou efficacement s'ils avaient lancé le véritable piratage dès le départ.
Assez de bruit. Pensez comme un attaquant.
VectraEn matière de cybersécurité, l'approche de la Commission européenne est conçue pour aider les équipes de sécurité à penser comme un attaquant, à savoir ce qui est malveillant et à se concentrer sur ce qui est urgent. Lorsque les équipes de sécurité sont fatiguées, leur perception des attaques peut fondamentalement changer la façon dont elles défendent les systèmes critiques. Utilisant la meilleure intelligence artificielle disponible en matière de cybersécurité, la technologie de Vectra ne souffre pas de la fatigue comme le font les analystes humains. Vectra Elle peut effectuer une analyse rapide des métadonnées pour déterminer le contexte d'une fausse alerte à partir des artefacts associés à une attaque réelle. Cette capacité à amplifier les signaux associés aux attaques réelles et à atténuer le bruit qui distrait les équipes SOC est ce qui différencie Vectra de toutes les autres plateformes de cybersécurité.
Alors que les organisations se sont lancées dans leur voyage vers le site cloud, en transférant de nombreuses parties de leur infrastructure technologique au-delà des contrôles de sécurité traditionnels centrés sur le centre de données, elles ont augmenté de manière exponentielle leur surface d'attaque. Souvent, cette complexité accrue rend presque impossible pour un humain de percevoir toutes les nouvelles voies d'attaque qui ont été créées dans la complexité d'un environnement hybride. Très peu d'organisations deviendront un jour natives de cloud avec l'ensemble de leur infrastructure informatique, et dans un monde toujours hybride, seul Vectra offre aux équipes de sécurité la capacité de détecter et de répondre à travers cloud, SaaS, les fournisseurs d'identité et les systèmes sur site pour réduire le bruit des alertes, amplifier l'efficacité de la détection, enquêter et répondre aux attaques avant qu'elles ne se transforment en brèches.
Vectra offre une couverture complète de la surface d'attaque, une clarté de signal et un contrôle intelligent pour faciliter la recherche et l'investigation des menaces d'une manière que les solutions ponctuelles ne peuvent pas offrir. Lorsque je pense à mon parcours de plusieurs décennies dans la communauté de la cybersécurité, la vision de Vectra sur la façon d'augmenter la perception humaine des cyberattaques avec l'apprentissage automatique est unique, et l'une des rares qui m'a donné l'espoir que les défenseurs peuvent garder une longueur d'avance sur les attaquants. Au fur et à mesure que nous développons les capacités uniques d'IA de Vectra, l'équipe de Vectra développe également des capacités uniques pour aider à donner la priorité à la gestion de la surface d'attaque grâce à l'automatisation et à l'apprentissage automatique afin de réduire le temps pendant lequel les mauvaises configurations peuvent laisser les organisations vulnérables aux attaques, ce qui réduit encore la probabilité d'une violation.
Je suis fier de faire partie de l'équipe Vectra et de contribuer à faire de cette vision une réalité. Avec Security AI-driven Attack Signal Intelligence, Vectra peut aider les défenseurs à réduire les bruits parasites et les aider à se concentrer sur les attaques qui comptent à un rythme beaucoup plus rapide que n'importe quelle autre plateforme de sécurité sur le marché aujourd'hui.
Découvrez comment Vectra Attack Signal Intelligence permet aux équipes de sécurité d'utiliser la plate-forme Vectra Threat Detection and Response.