72% des praticiens de la sécurité "pensent qu'ils ont été violés, mais ne le savent pas". En d'autres termes, près des trois quarts des équipes de sécurité ne savent pas où elles sont compromises à l'heure actuelle. C'est ce que nous appelons la menace inconnue, qui a pris de l'ampleur au cours des deux dernières années en raison du passage rapide aux services hybrides cloud , au stockage, aux applications et à l'identité. Les menaces inconnues, qu'elles soient basées sur cloud, les prises de contrôle de comptes ou les attaques sur la chaîne d'approvisionnement, ont simplement plus de moyens de s'infiltrer et de se déplacer latéralement à l'intérieur d'une organisation - c'est pourquoi nous pensons que la menace inconnue est le plus grand risque de cybersécurité aujourd'hui.
Nous en trouvons la preuve dans le rapport d'IBM sur le coût d'une violation de données en 2022, selon lequel près de la moitié (45 %) des violations sont basées sur le site cloud. Nous le constatons également dans le rapport 2022 Data Breach Investigations Report de Verizon, qui révèle que près de la moitié des violations sont dues au vol d'informations d'identification. De plus, Verizon a constaté que les APT qui s'attaquent aux chaînes d'approvisionnement sont à l'origine de 62 % des incidents d'intrusion dans les systèmes.
Alors, pourquoi les organisations sont-elles plus sensibles aux menaces inconnues ? Nous pensons que cela se résume à trois choses, au cœur desquelles se trouve la spirale vicieuse qui consiste à essayer d'en faire plus avec "plus".
- Plus la surface d'attaque est grande, plus il y a d'outils, ce qui signifie plus de complexité.
- Plus d'attaquants évasifs signifie plus de règles, ce qui signifie plus d'alertes et plus de réglages.
- Plus de règles d'alerte à mettre au point et à maintenir signifie plus d'analystes, plus de travail et plus d'épuisement.
Ce qui est décourageant, c'est que l'industrie de la sécurité continue d'essayer de lutter contre le toujours plus, alors qu'il est tout à fait clair que ce n'est pas la solution. La multiplication n'efface pas l'inconnu, elle l'alimente. Il l'alimente. La multiplication est à l'origine du problème de confiance auquel sont confrontés les responsables de la sécurité.
Rompre avec la spirale du "toujours plus"
Deux facteurs sont à l'origine de la spirale du "plus"
La première est structurelle dans le secteur de la sécurité - trop de produits ponctuels pour la détection et la réponse aux menaces. La seule solution pratique est de disposer de plateformes de détection et de réponse aux menaces qui couvrent l'ensemble de la surface d'attaque et qui peuvent s'unifier et se simplifier de manière native. Nous en parlerons plus en détail dans un prochain blog [XDR].
Le second est le langage que les outils de détection encore courants utilisent pour effectuer la détection, notamment les IDS et les SIEM. Cela s'explique par le fait que l'accent a été mis pendant des décennies sur la mise en place de capacités de renseignement sur les menaces afin de communiquer rapidement sur les éléments de référence connus et de les trouver, tels que les domaines C2, les hachages de fichiers, les noms de processus malveillants, les clés de registre, les expressions rationnelles dans les paquets, etc. Les langages de règles de détection ont été naturellement optimisés pour trouver ces objets de confiance connus.
Aujourd'hui, le paysage a changé et ces approches ne peuvent plus suivre :
- Les menaces modernes évoluent trop rapidement, laissant les défenseurs constamment à la recherche de la dernière vulnérabilité ou du dernier domaine.
- Les méthodes modernes d'attaque défient la caractérisation par des signatures et des règles simples.
- Les menaces modernes et évasives contournent la prévention et passent inaperçues pendant des mois.
Un exemple simple est de trouver un attaquant qui utilise un identifiant d'administrateur volé pour se déplacer latéralement à l'aide d'un protocole d'administration Windows. Si vous disposez des bonnes données, les règles et les signatures peuvent vous indiquer chaque fois qu'un identifiant d'administrateur est utilisé avec des outils d'administration Windows pour exécuter du code à distance. Les activités d'attaque potentielles seront noyées dans les alertes pour chaque administrateur faisant son travail. Les tentatives d'ajustement de cette règle commencent maintenant - et ne s'arrêteront jamais - peut-être la règle est-elle efficace, peut-être pas. C'est une recette pour plus d'angles morts et plus d'épuisement. Une recette pour que le compromis inconnu l'emporte.
De bons modèles de ML/AI sont le seul moyen de sortir de ce cercle vicieux.
Depuis plus d'une décennie, Vectra effectue des recherches, dépose des brevets, développe et innove dans le domaine de la sécurité de l'IA en se concentrant sur l'élimination de l'inconnu, non pas en faisant plus, mais en faisant moins. Le principe de base de Vectra Security AI n'est pas de collecter plus de données, mais de collecter et d'analyser les bonnes données de la bonne manière.
Collecter les bonnes données et les analyser de la bonne manière permet aux équipes de sécurité d'en faire plus avec moins d'outils, moins de travail et en moins de temps. Chez Vectra, nous pensons que pour éliminer les menaces inconnues, l'IA/ML devrait permettre aux équipes de sécurité de faire 3 choses simples de manière efficace et efficiente :
- Pensez comme un attaquant pour aller au-delà des signatures et des anomalies afin de comprendre le comportement de l'attaquant et de vous concentrer sur ses tactiques dans la chaîne de la mort cybernétique.
- Sachez ce qui est malveillant en analysant les modèles de détection propres à votre environnement afin de mettre en évidence les événements pertinents et de réduire le bruit.
- Se concentrer sur l'urgence grâce à une vue des menaces par gravité et par impact, ce qui permet aux analystes de se concentrer sur la réponse à apporter aux menaces critiques et sur la réduction des risques pour l'entreprise.
Entrer Attack Signal Intelligence
Le seul "plus" dont la sécurité a besoin, c'est un "plus". Attack Signal Intelligence
Attack Signal Intelligence est à l'inconnu ce que la Threat Intelligence est au connu. Contrairement à d'autres approches " IA " qui recherchent de simples anomalies pour indiquer aux équipes de sécurité ce qui est différent, le site Attack Signal Intelligence de Vectra indique aux équipes de sécurité ce qui est important.
Pour ce faire, nous surveillons en permanence l'utilisation des méthodes des attaquants à l'aide d'un ensemble de modèles programmés avec une compréhension des TTP des attaquants (pensez à MITRE ATT&CK) et la capacité d'apprendre votre environnement unique. Nous soumettons ensuite les résultats à une autre couche d'IA qui combine la compréhension de votre environnement dans son ensemble, les modèles de menaces et les renseignements sur les menaces humaines, afin de faire apparaître automatiquement les menaces les plus importantes pour votre entreprise. Le résultat est que nos clients sont 85% plus efficaces dans l'identification des menaces réelles et obtiennent une productivité des opérations de sécurité >2x plus élevée.
Si les renseignements sur les menaces donnent à la sécurité la confiance nécessaire pour atténuer ce qui est connu, les renseignements sur les signaux d'attaque donnent à la sécurité la confiance nécessaire pour atténuer ce qui était auparavant inconnu. En exploitant le système breveté de Vectra ( Attack Signal Intelligence), les équipes de sécurité ont les moyens d'effacer l'inconnu, de renverser la vapeur face aux attaquants et de rendre le monde plus sûr et plus juste.
Tel est notre engagement.
Pour plus d'informations sur la manière dont nous remplissons notre mission, consultez les ressources suivantes :
- Vectra Security-AI-driven Attack Signal Intelligence - Comment cela fonctionne-t-il?
- Vectra Attack Signal Intelligence Solution Brief
- Vectra Plate-forme de détection et de réponse aux menaces
- Livre blanc : L'IA derrière Vectra AI