.jpeg){kind=logo}
Ces derniers temps, j’ai eu de nombreuses discussions avec des responsables de la cybersécurité au sujet d’un concept que j’utilise, appelé « l’horizon des événements de sécurité ». L’idée de base est que le concept de « défense en profondeur » dans le domaine de la sécurité est un terme impropre. Les technologies de sécurité se recoupent rarement quant aux types d’ outils d’ attaque ou de comportements auxquels elles s’appliquent, et il n’y a généralement qu’un seul contrôle ou une seule technologie de sécurité entre le moment où un attaquant lance une tentative de violation et celui où il parvient à la mener à bien. La prévention reste importante, mais il existe un moment dans le cycle de vie d'une attaque où l'approche axée sur la prévention cesse d'être un modèle pertinent, et où la détection, le contexte et la réponse deviennent les éléments les plus importants.
Cela peut sembler évident pour ceux qui ont une grande expérience des opérations de sécurité, mais je pense qu’il vaut la peine de le préciser, car une grande partie du secteur de la sécurité continue d’aborder le problème comme si un ensemble adéquat de mesures préventives pouvait faire de la compromission un cas exceptionnel. Dans la réalité, ce n’est pas ainsi que les choses se passent.
Pourquoi parle-t-on à tort de « défense en profondeur » ?
Les entreprises modernes sont trop grandes, trop dispersées et trop dynamiques pour que cette hypothèse puisse tenir la route. Elles gèrent de vastes parcs cloud , d'applications SaaS, endpoint , de systèmes d'identité, d'API, de services tiers, d'applications héritées et de systèmes critiques pour l'activité, qu'il est difficile, voire impossible, de mettre à jour dans un délai raisonnable. Même les organisations bien gérées ont des actifs inconnus, des services exposés, des dérives de configuration, des identités dotées de droits excessifs et des systèmes qui ne peuvent pas être corrigés dès qu’un correctif est disponible.
Il va sans dire que la prévention reste indispensable. Les correctifs, le renforcement de la sécurité, la segmentation, les contrôles d'identité, la configuration sécurisée, la sécurité des e-mails, endpoint et la gestion des vulnérabilités contribuent tous à réduire les possibilités dont dispose un attaquant. Le problème, c'est que la prévention ne constitue pas un modèle opérationnel complet. À l'échelle d'une entreprise, un certain pourcentage des contrôles préventifs échouera, et l'architecture de sécurité doit être conçue en tenant compte de cette hypothèse.
L'IA aggrave ce problème. Les pirates disposeront d'outils plus performants pour détecter les failles, créer des variantes d'exploits, automatiser la reconnaissance, mettre au point des techniques d'ingénierie sociale convaincantes et adapter leurs actions en fonction des mesures prises par les défenseurs. Ces derniers auront eux aussi recours à l'IA, mais l'asymétrie en termes de temps est déterminante. Il est en effet bien plus facile de trouver une faille exploitable que de prouver que toutes les failles exploitables au sein d'une grande entreprise ont été éliminées.
Lectures complémentaires : Quelle est la prochaine étape pour l'entreprise après deux vagues de GenAI ?
Pourquoi l'« horizon des événements » en matière de sécurité ?
C'est pourquoi j'ai développé le concept d'« horizon des événements de sécurité » et que je pense qu'il est important d'en discuter.
Dans ce modèle, on distingue la détection basée sur la cause et la détection basée sur l'effet. La détection basée sur la cause se concentre sur ce qui déclenche ou rend possible l'attaque : une vulnérabilité, un exploit, un fichier malveillant, une commande, un indicateur d'infrastructure, phishing ou une technique connue. C'est là que s'inscrivent naturellement la plupart des mécanismes de prévention et de blocage.
La détection basée sur les effets se concentre sur ce qui se passe une fois que l'attaque initiale a abouti. Une fois que l'attaquant a pénétré dans l'environnement, il a du pain sur la planche. Il doit s'authentifier, recenser les ressources, se déplacer, élever ses privilèges, s'implanter durablement, communiquer, préparer des données et, finalement, mener à bien ses objectifs. Ces comportements génèrent des effets dans l'environnement. Le rôle du défenseur consiste à repérer ces effets, à les comprendre dans leur contexte et à réagir avant que l'attaquant ne parvienne à causer des dommages.
MITRE ATT&CK est un moyen utile de décrire cette transition. Les premières phases d'une attaque s'alignent naturellement sur les contrôles axés sur la prévention. À mesure que l'attaque progresse vers la découverte, l'accès aux identifiants, le mouvement latéral, le commandement et le contrôle, la collecte et l'exfiltration, l'environnement commence à produire des preuves comportementales. À ce stade, la question n'est plus tant de savoir si un objet isolé est connu pour être malveillant, mais plutôt si une séquence d'activités est cohérente.
Les pirates ont de plus en plus souvent recours à des identifiants légitimes, des protocoles légitimes, des outils d'administration légitimes et cloud légitimes. Une grande partie de leurs actions ne semble pas malveillante lorsqu'on les examine isolément. Une connexion peut être valide. Une commande PowerShell peut être autorisée. Une connexion entre deux systèmes peut utiliser un protocole approuvé. Un appel cloud peut être syntaxiquement correct. La question est de savoir si ce comportement correspond au fonctionnement normal de cet utilisateur, de cet hôte, de cette charge de travail ou de cette application, et s'il s'inscrit dans un schéma d'attaque plus large.
La détection ne doit pas se limiter à la collecte d'alertes. Produire davantage de signaux que l'analyste devra trier ne nous mène pas vraiment là où nous voulons aller ; ce qu'il faut, dans un environnement post-compromission, c'est être en mesure de comprendre la progression de l'attaque. Cela a plusieurs implications pratiques.
Comprendre le déroulement des cyberattaques
Tout d'abord, la prévention ne consiste pas à éliminer les risques, mais doit être considérée comme un moyen de les réduire. Elle limite les possibilités d'attaque et doit être améliorée en permanence, mais elle ne doit pas constituer le postulat sur lequel repose le reste de l'architecture.
Deuxièmement, la détection doit être conçue en fonction des éléments de l'attaque qui restent observables une fois que la prévention a échoué. L'activité réseau, le comportement des identités, l'activité cloud , l'utilisation des services SaaS, endpoint et les mouvements de données offrent tous des perspectives différentes sur le comportement des attaquants. Aucun de ces éléments n'est suffisant à lui seul dans une architecture de sécurité moderne.
Troisièmement, le contexte est essentiel et revêt autant d'importance que les données télémétriques. Constater un événement n'est pas la même chose que le comprendre. Les responsables de la sécurité doivent savoir de quel élément il s'agit, à qui appartient l'identité, à quoi ressemble un comportement normal, si le système est exposé, quels sont les privilèges en jeu et comment cette activité s'inscrit par rapport aux autres événements observés dans l'environnement.
Enfin, la réponse doit être adaptée au stade de l'attaque. La réponse appropriée à un signal précoce et bruyant diffère de celle à un déplacement latéral confirmé ou à une préparation active des données. Les équipes chargées des opérations de sécurité doivent non seulement savoir qu'un incident s'est produit, mais aussi à quelle étape du cycle de vie de l'attaque elles se trouvent et, dans l'idéal, ce que l'attaquant est susceptible de tenter de faire ensuite.
C'est là tout l'intérêt du Security Event Horizon Framework. Il s'agit d'un outil permettant de déterminer dans quel contexte les différentes technologies interviennent, quels types de signaux elles génèrent et à quel moment leur valeur évolue, à mesure qu'une attaque passe du stade de la tentative de compromission à celui de l'intrusion active.
La prévention restera toujours un élément central de l'architecture de sécurité. Cependant, dans un monde où l'IA accélère la détection et l'exploitation des vulnérabilités, et où il n'est pas réaliste de corriger chaque composant logiciel et matériel déployé dans toutes les entreprises, les programmes de sécurité doivent définir clairement ce qui se passe lorsque la prévention échoue et en tenir compte dans leur conception.
C'est là que la détection et la réaction doivent prendre le relais. Non pas comme une solution de secours ou un ensemble d'alertes isolées, mais comme un modèle permettant de comprendre le comportement des attaquants dans l'ensemble de l'environnement.
La question concrète qui se pose aux responsables et aux dirigeants de la sécurité est simple. Lorsqu'un pirate parvient à contourner les contrôles censés l'arrêter, êtes-vous toujours en mesure de voir ce qu'il fait, de comprendre où il en est et d'intervenir avant que ses agissements n'aient des répercussions concrètes sur l'activité de l'entreprise ?
Vectra AI une solution unique en son genre, conçue pour fournir les indicateurs et les capacités continues nécessaires à la sécurisation des entreprises hybrides et définies par logiciel, en proposant des fonctionnalités de détection et de réponse qui s'appuient sur des ensembles de données et des technologies dont aucune autre entreprise ne dispose à elle seule. Si vous recherchez sérieusement une architecture de sécurité offrant des capacités allant au-delà de l'Event Horizon, jetez-y un œil.
Pour en savoir plus sur Marty Roesch et le Security Event Horizon, écoutez le Hunt Club .