Notre dépendance à l'égard de la technologie s'accroît de manière exponentielle, de même que la nécessité d'une cybersécurité solide pour protéger les utilisateurs et mettre les données et les opérations commerciales à l'abri des pirates informatiques.
Mais la croissance de l'activité cybercriminelle est devenue un cercle vicieux : plus les organisations investissent dans les technologies de protection des données, plus les cybercriminels deviennent habiles. Ils modifient leurs méthodes d'attaque et leurs comportements pour se fondre dans le trafic normal afin de contourner les contrôles traditionnels des réseaux, d'infiltrer les infrastructures et de voler des informations d'identification.
En raison de cette évolution constante des deux côtés, détection et réponse aux incidents (NDR) est désormais un élément essentiel pour chaque équipe de direction. Les attaques ciblant les comptes d'utilisateurs de logiciels en tant que service (SaaS) constituent aujourd'hui l'un des problèmes de sécurité les plus répandus et à la croissance la plus rapide. Cette tendance a commencé bien avant COVID-19 et s'est accélérée au fur et à mesure que de plus en plus d'organisations effectuent leur transformation vers cloud.
Les compromis du travail à distance
Lorsque la population active a commencé à travailler à domicile lors de la première vague de fermetures, le passage aux outils de collaboration et de productivité en ligne s'est fait rapidement, mais en grande partie sans heurts. Cette évolution a eu pour effet secondaire d'augmenter le volume de données beaucoup plus sensibles partagées entre plusieurs appareils. Dans de nombreux cas, ces informations sont désormais vulnérables.
En effet, les approches actuelles en matière de sécurité peuvent perdre en visibilité lorsque les environnements s'étendent au site cloud, où les utilisateurs stockent de plus en plus de comptes multiples et accèdent à des ressources à partir d'appareils autorisés ou non. Lorsque les limites sont floues entre le travail et les interactions personnelles en ligne, l'exposition aux cyber-risques augmente considérablement.
Renforcer les défenses inégales
Traditionnellement, les organisations s'appuyaient sur des serveurs sur site étroitement contrôlés où les solutions de sécurité réseau étaient largement en mesure de protéger les données. Avec l'augmentation du nombre de nouveaux appareils accédant aux réseaux d'entreprise et aux réseaux cloud , les solutions traditionnelles sont devenues sensibles à l'augmentation des risques et à l'utilisation abusive des données dans les applications cloud .
La réalité d'aujourd'hui est que les réseaux privés et de confiance ne peuvent plus être entièrement protégés par une sécurité traditionnelle axée sur l'utilisation de signatures et la détection d'anomalies. Les analystes et les experts du secteur s'accordent à dire que la NDR est mieux adaptée à l'identification et à l'arrêt des attaques dans l'infrastructure des centres de données modernes. L'adoption de la NDR a pris un essor considérable grâce à la corrélation des comportements des attaquants et de la progression des menaces entre cloud, les réseaux hybrides et les réseaux sur site.
Nous savons que les cybercriminels exploitent une plus grande surface d'attaque et sont de plus en plus avancés. Par conséquent, il ne suffit plus de renforcer la sécurité du périmètre du réseau, surtout lorsqu'il s'agit d'arrêter des attaquants astucieux et d'accélérer la détection. En fait, la notion de périmètre de réseau n'existe plus car les utilisateurs peuvent se connecter de n'importe où.
Pour de nombreuses organisations, la technologie de sécurité se concentre sur les comportements des utilisateurs alors qu'elle devrait se concentrer sur les comportements des attaquants. Il faut donc savoir ce que les attaquants peuvent faire sur vos plateformes plutôt que de surveiller les utilisateurs approuvés et ce qu'ils partagent, tout en recherchant les initiés malveillants.
Il est temps d'inverser les choses et de s'intéresser aux comportements plus globaux des attaquants et des menaces.
S'inspirer d'Office 365
L'observation des utilisateurs de Microsoft Office 365 montre à quel point il est facile pour les pirates de s'introduire dans le réseau d'une organisation. Le récent rapport Spotlight Report on Office 365 de Vectra a recueilli des données opt-in auprès de 4 millions d'utilisateurs d'Office 365 dans le monde entier et a constaté que 96 % des clients présentaient des comportements de mouvement latéral malveillants.
Cela signifie qu'une fois qu'un pirate a accès à un compte Office 365, la porte dérobée d'un réseau d'entreprise s'ouvre, le rendant vulnérable aux attaques. Prenons l'exemple de Microsoft Power Automate . Anciennement Microsoft Flow, il est conçu pour automatiser les tâches des utilisateurs et leur faire gagner du temps. Power Autom ate est activé par défaut dans Office 365.
Malheureusement, Power Automate est un point aveugle qui crée des vulnérabilités de sécurité dangereuses dans Office 365. Les recherches menées dans le cadre du rapport Spotlight sur Office 365 montrent que 71 % des clients ont eu des comportements suspects avec Office 365 Power Automate.
À l'heure actuelle, vous pouvez configurer un script Power Automate pour qu'il prenne automatiquement toutes les pièces jointes d'un courriel et les stocke dans OneDrive. Un pirate pourrait alors compromettre un compte et utiliser Power Automate pour récupérer ces documents et les exfiltrer vers un compte Dropbox.
Les attaquants ont tiré parti de cette fonctionnalité pour prendre l'identité d'un compte et passer d'Office 365 à un appareil ou à un site. Ils peuvent alors se connecter en tant qu'utilisateur spécifique au sein d'Office 365 et commencer à endommager ou à exfiltrer des données ou à se déplacer latéralement pour trouver des actifs de grande valeur à voler.
Adapter la sécurité du réseau à l'évolution des tactiques
Avec NDR, les organisations peuvent identifier ce que font les attaquants, où ils se trouvent dans leur réseau, et arrêter rapidement les attaques avant qu'elles ne se transforment en violations de données. NDR s'appuie sur des algorithmes d'apprentissage automatique dérivés de l'IA pour identifier les comportements précoces des menaces sur les réseaux hybrides, sur site et cloud. Il détecte et hiérarchise automatiquement les attaques qui présentent le risque le plus élevé pour votre organisation et déclenche une réponse en temps réel pour atténuer rapidement les menaces.
Pour protéger les données et réduire le risque cybernétique, il est essentiel que les organisations adoptent une approche proactive plutôt que réactive de la cybersécurité. S'en remettre à la seule sécurité du périmètre du réseau peut s'avérer une erreur coûteuse. Aujourd'hui, la NDR est une pierre angulaire essentielle des meilleures pratiques en matière de cybersécurité.
Alors que nous commençons à réfléchir aux investissements stratégiques en matière de sécurité pour 2021, il est opportun de se demander d'où viendront la meilleure valeur et la meilleure ligne de défense, et comment les organisations peuvent mieux garantir leur protection. Cela est d'autant plus vrai que les organisations s'appuient de plus en plus sur des plateformes hybrides, sur site et cloud pour toute une série d'appareils différents au cours d'une année qui s'annonce complexe et critique.