Il est tout à fait humain de se concentrer sur les menaces extérieures qui pèsent sur son bien-être. Cela s'applique souvent aux organisations et à leur approche de la sécurité ; c'est pourquoi tant d'énergie est généralement consacrée à la sécurité du périmètre. Pourtant, cette approche va à l'encontre de la méthodologie de la confiance zéro : Les organisations doivent également prêter attention au trafic interne à interne et interne à externe, tout autant qu'au trafic entrant.
La mission de l'équipe Sidekick MDR est de surveiller les menaces sur ces trois axes. L'impact sur la réputation d'une organisation prise comme source d'activité malveillante est tout aussi grave que le fait d'en être la cible. Les organisations peuvent rapidement se retrouver sur des listes noires qui bloquent les communications, ce qui les empêche de mener leurs activités. Et si l'attaque réussit, elles peuvent être exposées à une responsabilité juridique ou à des représailles techniques. Ces situations exigent une réponse rapide.
Comment les événements extérieurs deviennent des menaces individu
Récemment, l'équipe MDR de Vectra Sidekick a découvert un trafic interne qui a mené à une telle conclusion. Un employé d'une société de services, que nous appellerons Acme Inc. a pris l'initiative d'impliquer Acme dans le conflit entre la Russie et l'Ukraine. L'employé a utilisé l'infrastructure d'Acme pour mener une attaque par déni de service (DoS) contre des organisations biélorusses et russes. Les cibles de l'attaque étaient une société de services financiers et une société d'expédition et de logistique. L'équipe Sidekick a identifié cette activité et en a informé Acme, qui a rapidement mis fin à l'attaque sortante.
Nombreux sont ceux qui soulignent rapidement que l'élément humain est le maillon le plus faible de la chaîne de sécurité, mais ils ne voient pas les choses sous l'angle du fait que les personnes sont également l'outil le plus puissant dont ils disposent (ou dont disposent leurs adversaires). Dans le cas présent, un seul utilisateur malhonnête aurait pu avoir un impact très important. Dans ces conflits, les employés sont susceptibles de ressentir des émotions très fortes. Et à cause de ces émotions, leurs actions peuvent être plus fortes que la politique de l'entreprise ou les mesures de sécurité existantes.
Même avant le récent conflit, Sidekick MDR a identifié de nombreux cas d'utilisateurs (parfois même des administrateurs) installant des cryptomineurs sur les biens de l'entreprise. Ce phénomène est typiquement observé dans les universités et les environnements de laboratoire avec des machines partagées et ouvertes. La motivation financière, associée à l'impression de n'utiliser que des ressources gratuites, a poussé les utilisateurs à abuser de ces ressources. Qu'est-ce que les utilisateurs seront prêts à faire s'ils ressentent une obligation morale réelle et s'ils ont accès à des "ressources gratuites" ?
Apprenez à connaître votre réseau et suivez les règles de base
Nous avons besoin d'une compréhension et d'une approche holistiques de l'atténuation des menaces. Les bulletins d'information, les flux de menaces à haute fidélité et les articles de blog restent le meilleur moyen de se tenir au courant des menaces extérieures. Cependant, tout comme l'apprentissage non supervisé est nécessaire pour connaître les spécificités de votre réseau, ces sources d'information ne peuvent pas vous dire comment les individus vont réagir.
Le respect des étapes de base, telles que celles décrites par la CISA, peut contribuer grandement à la protection des organisations contre les cyberattaques. Mais il ne faut pas oublier que toutes les menaces ne se produisent pas à l'extérieur de l'organisation et que les menaces émanant de l'intérieur de votre environnement sont toujours bien réelles. Il est trop facile de se concentrer entièrement sur les menaces extérieures dans des moments comme celui-ci et de considérer les grandes campagnes DDoS comme quelque chose qui n'arrive qu'aux autres. Mais les réseaux que nous protégeons peuvent - volontairement ou non - devenir les outils d'une telle campagne. Il est primordial de s'assurer que nous disposons d'une surveillance fiable pour offrir la meilleure couverture possible.