La manière dont les attaquants s'infiltraient dans une organisation était autrefois relativement simple. Le pirate trouvait une faille, par exemple un appareil non corrigé ou un compte compromis, se faufilait dans le système, chiffrait les fichiers ou volait les données, et laissait à l'organisation le soin de nettoyer le désordre et de trouver de meilleurs moyens de renforcer ses défenses.
Aujourd'hui, les organisations sont une combinaison de surfaces d'attaque qui, sur le papier, semblent plus difficiles à parcourir pour un attaquant. Cependant, les organisations deviennent de plus en plus intelligentes, tout comme les attaquants. Les attaques ne sont plus aussi linéaires ; les attaquants peuvent trouver une vulnérabilité, rester en sommeil, passer d'une surface d'attaque à une autre, rester en sommeil à nouveau, puis lancer une attaque en règle contre l'entreprise. Parfois, il est trop tard et les entreprises doivent débourser des millions de dollars pour récupérer et remédier à la situation.
Aussi futile que cela puisse paraître, cela ne signifie pas que nous ne pouvons pas garder une longueur d'avance sur la courbe de détection des menaces d'aujourd'hui. Voici cinq façons pour les meilleurs SOC de garder une longueur d'avance sur les attaquants.
1. Investissez dans votre technologie
L'IA est la seule technologie qui permettra aux organisations de garder une longueur d'avance sur les attaquants. Nous ne parlons pas des LLM (grands modèles de langage) qui se contentent d'aider les analystes à construire des requêtes pour leurs enquêtes. Nous ne parlons pas non plus des approches IA/ML qui ne font que détecter les anomalies et nécessitent une maintenance humaine constante.
Il s'agit d'utiliser l'IA pour créer un signal d'attaque qui met en évidence les menaces les plus critiques et les plus urgentes propres à l'environnement de chaque client, tout en donnant une description complète de l'attaque. À l'adresse Vectra AI, nous appelons cette IA notre ".Attack Signal Intelligence."
Depuis plus d'une décennie, Vectra fait de la recherche, du développement, de l'innovation et du brevetage dans le domaine de l'IA de sécurité afin de fournir le meilleur signal d'attaque de la planète. Notre site Attack Signal Intelligence va au-delà des signatures et des anomalies pour comprendre le comportement de l'attaquant et mettre en évidence ses tactiques d'attaque sur l'ensemble de la chaîne d'exécution cybernétique après la compromission. Il analyse les comportements des attaquants et les modèles de trafic propres à l'environnement du client afin de réduire le bruit des alertes et de ne faire apparaître que les véritables événements positifs pertinents. Armés du contexte de la narration complète d'une attaque, les analystes de la sécurité consacrent leur temps et leur talent à ce qu'ils savent faire : chasser, enquêter et empêcher les attaques de se transformer en brèches.
Pour plus d'informations sur Vectra AI's Attack Signal Intelligence, veuillez lire notre livre blanc.
2. Adopter une stratégie XDR
Il est essentiel de disposer d'une stratégie de détection et de réponse étendue (XDR) pour lutter contre les attaques hybrides modernes qui couvrent de multiples surfaces d'attaque. Avec une stratégie XDR, vous serez en mesure d'atteindre les objectifs suivants :
- Couverture: Couverture intégrée de haute qualité pour la détection des menaces sur l'ensemble de la surface d'attaque hybride - réseaux, IoT/OT, clouds publics, identités, applications SaaS, terminaux et messagerie. Les défenseurs doivent avoir l'assurance de disposer de la visibilité requise.
- Clarté: signal unifié qui met en corrélation les détections afin de hiérarchiser les attaques réelles en temps réel. Les défenseurs doivent savoir sur quoi se concentrer en premier - où commencer leur travail.
- Contrôle: Des actions d'investigation et de réponse intégrées, automatisées et gérées qui permettent aux équipes SOC d'évoluer à la vitesse et à l'échelle des attaquants hybrides. Les défenseurs ont besoin de compétences et de confiance pour suivre le rythme du volume et de la vitesse des menaces.
Découvrez comment vous pouvez mettre en place une stratégie XDR prête à faire face aux attaques hybrides grâce au guide de stratégie XDR de Vectra.
3. Évaluer régulièrement votre risque d'exposition
La sécurisation d'une organisation est une cible mouvante compte tenu de l'évolution constante de l'environnement informatique. Pour rester en phase avec cette cible mouvante, il faut évaluer régulièrement l'exposition aux attaques.
Pour ce faire, il convient d'examiner les éléments de base, notamment les pare-feu et les passerelles internet, la protection malware , la gestion des correctifs, la liste des autorisations et le contrôle de l'exécution, la configuration sécurisée, les politiques en matière de mots de passe et le contrôle de l'accès des utilisateurs. Il est essentiel d'intégrer ces éléments de base dans votre programme de sécurité et de procéder à des mises à jour régulières.
En outre, examinez les surfaces auxquelles votre organisation peut potentiellement être exposée. Dans certains cas, il existe des ressources permettant de tester sous pression et d'analyser les lacunes au sein de vos surfaces d'attaque.
Vectra AI propose une analyse gratuite des lacunes en matière d'exposition à l'identité. Cliquez ici pour commencer.
Ces mesures couvrent votre risque d'exposition avant une compromission potentielle, mais que devez-vous faire après qu'un attaquant a déjà compromis une identité et s'est infiltré dans l'environnement ? Une fois qu'un pirate s'est introduit dans votre système, la détection et la réaction deviennent plus complexes. Un attaquant peut entreprendre une pléthore d'actions pour nuire à votre entreprise, telles que la compromission de plusieurs comptes, l'escalade des privilèges d'identité et un mouvement latéral insaisissable, qui peuvent toutes conduire à un incident critique pour l'entreprise.
Que se passe-t-il alors et que pouvez-vous faire pour relever ce défi ? La réponse se trouve dans votre technologie de détection et de réponse - principalement en veillant à ce que les signaux que votre technologie reçoit vous informent intelligemment de ces comportements suspects avant même qu'ils ne se transforment en une attaque à part entière. Par exemple, Vectra AI's Attack Signal Intelligence peut corréler les hôtes et les entités à travers les surfaces d'attaque avec l'attribution basée sur l'IA et le ML qui remplit avec précision les lacunes d'information qui produisent des complexités post-compromission. L'obtention d'un contexte riche et précis sur la façon dont un attaquant se déplace vous permettra de réussir, même lorsqu'un attaquant parvient à franchir vos défenses.
4. Faire appel à des experts tiers
Si l'investissement dans une technologie de qualité peut considérablement réduire la charge de travail de votre équipe SOC, il n'est parfois pas suffisant pour lutter contre les attaques modernes, en particulier dans les environnements hybrides d'aujourd'hui. C'est pourquoi nous recommandons vivement de combiner la technologie de l'intelligence artificielle avec l'intelligence humaine, en particulier les experts industriels tiers, comme ligne de défense supplémentaire contre les attaquants hybrides. Les experts tiers du secteur peuvent venir avec des services gérés de détection et de réponse, qui fournissent des informations approfondies sur le secteur de la sécurité et sont des experts en la matière pour la plateforme et la technologie que vous utilisez. L'externalisation de certaines tâches SOC répétitives et banales auprès d'experts du secteur est un excellent investissement, en particulier lorsque ces experts connaissent bien la technologie et la plateforme que vous utilisez pour la détection et la réponse aux menaces.
Dans le cas de Vectra MXDR, notre équipe d'analystes est experte à la fois dans le domaine de la cybersécurité et de la plateformeVectra AI . De plus, Vectra MXDR peut couvrir toutes les surfaces d'attaque - SaaS, cloud, identité, réseau, et endpoint via nos intégrations avec CrowdStrike, SentinelOne, et Microsoft Defender dans le monde entier 24x7x365. Vectra MXDR peut vous décharger de nombreuses heures de travail, libérant ainsi du temps et des talents pour les tâches les plus importantes et les plus critiques.
5. Optimiser les talents et le budget
En ce qui concerne la libération de temps et de talents, la dernière façon pour les meilleurs SOC de garder une longueur d'avance sur les attaquants d'aujourd'hui est d'optimiser les personnes et les ressources au sein de leurs équipes. Les gens sont plus performants lorsqu'ils font ce qu'ils aiment - votre équipe SOC aime-t-elle gérer des alertes, ajuster des règles et créer des rapports pendant des heures chaque jour ? Probablement pas. Au contraire, le budget de sécurité que vous libérez en utilisant un service de détection et de réponse géré peut être investi dans des initiatives ou des programmes de sécurité sur lesquels votre SOC aimerait travailler - programmes de chasse aux menaces, mentorat, recherche, établissement de relations commerciales et initiatives générales de haut niveau destinées à des talents de haut niveau.
C'est pourquoi l'externalisation des tâches répétitives du SOC auprès d'un service de MDR est essentielle pour un SOC moderne. Lorsqu'une autre équipe se charge des tâches quotidiennes auxquelles votre équipe SOC consacre beaucoup trop de temps, les analystes disposent de plus de temps pour se plonger dans des projets à forte valeur ajoutée, ce qui permet d'optimiser vos talents et votre budget de sécurité.
Comment libérer davantage de ressources du SOC ? Commencez ici.