Le compromis entre l'application automatique et l'application manuelle

Dans le cadre des cyberattaques, l'application de la loi consiste à répondre aux actions des attaquants afin de remettre l'entreprise en conformité avec la politique de sécurité qu'elle a définie. Le blocage du trafic vers une adresse IP spécifique, la mise en quarantaine d'un appareil en limitant l'accès au réseau, le reformatage d'une machine ou le verrouillage de l'accès à un compte sont des exemples courants d'application de la politique de sécurité.

L'une des considérations les plus importantes concernant les options d'application doit être leur efficacité. Après tout, la réponse aux cyberattaques est souvent un jeu du chat et de la souris. Chaque action de l'équipe de sécurité entraîne une réaction de la part des attaquants. Cela signifie que même si l'attaquant est expulsé du réseau, il tentera d'y pénétrer à nouveau. Les équipes de sécurité doivent être prêtes à faire face aux changements de tactiques des attaquants, à l'escalade des attaques et aux nouvelles cibles des victimes.

En outre, les attaquants disposent toujours d'un retour d'information instantané sur leurs actions. Ils savent s'ils ont réussi et peuvent rapidement réessayer s'ils échouent. L'équipe en défense n'a pas cette chance et n'a aucun retour d'information sur les progrès des attaquants.

Avantages de l'application de la législation dans l'État membre d'accueil

Pour une mise en œuvre immédiate et précise, les analystes se rendent généralement directement à la source d'une attaque et verrouillent le site endpoint utilisé. Cela limite le rayon d'action de l'attaque et donne au SOC plus de temps pour enquêter et mettre fin à l'attaque.

Cependant, cette approche exige généralement que le site endpoint dispose d'un agent ou d'un logiciel de contrôle, ce qui n'est pas toujours le cas. Dans la mesure du possible, l'application sur les hôtes doit également être combinée à une application basée sur les comptes.

Avantages de l'application basée sur les comptes

Il est désormais largement établi que la plupart des cyberattaques modernes ciblent les utilisateurs plutôt que l'infrastructure ou les appareils. Au lieu d'utiliser des exploits compliqués, de nombreux attaquants s'introduisent dans l'organisation en volant des informations d'identification par le biais de phishing ou Usurpation de compte et en se connectant en tant qu'utilisateur "légitime".

Ceci, combiné à la norme croissante d'utilisation des ressources cloud , signifie que les équipes de sécurité devraient s'inspirer du livre de jeu des attaquants et envisager une application basée sur les utilisateurs plutôt que sur le réseau ou les appareils. En d'autres termes, il s'agit d'une application basée sur les comptes.

En fait, l'application basée sur le compte présente plusieurs avantages par rapport aux options d'application basées sur le réseau ou les machines.

Tout d'abord, l'application basée sur les comptes crée un point d'application unique. Dans les cas où les attaquants ont compromis des comptes, le reformatage des ordinateurs portables n'est pas utile lorsque les attaquants peuvent se tourner vers un autre appareil. Ainsi, l'application basée sur les comptes peut être efficace dans les environnements cloud ou hybrides où les organisations ne possèdent pas le service ou l'infrastructure. Elle limite également les mouvements latéraux des attaquants qui se font passer pour des employés dont les comptes sont compromis.

L'application basée sur le compte est également chirurgicale et précise. L'application n'affecte que le compte de l'utilisateur compromis. Il n'est pas nécessaire de modifier le réseau. Aucune liste noire ne doit être mise à jour.

Enfin, en fonction de la structure organisationnelle, l'application basée sur les comptes peut signifier un plus grand partage des responsabilités avec le service informatique. Dans les entreprises où le service informatique détient les comptes d'utilisateurs, les équipes de sécurité peuvent collaborer avec leurs homologues du service informatique pour partager la charge de travail liée à la gestion des comptes d'utilisateurs et au rétablissement de l'accès après une attaque.

Types d'application

L'application de la loi se fait généralement selon deux modes de fonctionnement : automatique et manuel.

Les mesures d'exécution automatiques sont des actions déclenchées sans intervention humaine, souvent après avoir satisfait à un ensemble de critères, tels qu'un seuil de risque prédéfini et un privilège d'actif ou de compte.

Les contrôles manuels exigent que le personnel de sécurité prenne les mesures nécessaires. Il existe des raisons impérieuses de procéder à une mise en application automatique ou manuelle, voire de combiner les deux. Ci-dessous, nous aborderons quelques considérations pour les deux types d'application.

Considérations relatives à l'exécution automatique

Les équipes de sécurité sont souvent réticentes à l'idée d'une application automatique, mais il existe des cas d'utilisation légitimes où cela peut être utile.

L'application automatique peut être utile pour réduire la propagation latérale et donner aux équipes de sécurité dont les ressources sont limitées plus de temps pour enquêter sur les incidents. Elle est également utile en tant qu'outil temporaire, en particulier pour les organisations qui ne disposent pas d'un personnel de sécurité disponible 24 heures sur 24 pour mener des enquêtes immédiates.

Si un incident fait déjà l'objet d'une enquête, l'application automatique peut aider les intervenants à appliquer des politiques de sécurité cohérentes à plusieurs victimes. Par ailleurs, si l'incident est une attaque connue avec des meilleures pratiques établies, les équipes de sécurité peuvent utiliser l'application automatique pour suivre rapidement les étapes de remédiation approuvées. C'est le cas, par exemple, d'une attaque de ransomware connue avec des procédures de récupération prescrites. Bien entendu, ce scénario nécessite un diagnostic de confiance pour confirmer qu'il s'agit d'une attaque ou d'un attaquant connu.

Les mesures d'exécution automatiques peuvent empêcher un attaquant de passer à la phase suivante de la chaîne d'exécution. Dans ce cas, la mise en application est appliquée de manière chirurgicale à une activité et à un compte spécifiques de l'attaquant, ce qui réduit les risques supplémentaires.

En bref, lorsqu'elle est appliquée judicieusement, l'application automatique peut contribuer à éviter qu'une mauvaise situation ne s'aggrave et à gagner du temps pour les enquêtes de sécurité.

Considérations relatives à l'application manuelle

L'application manuelle exige qu'une personne prenne la décision finale et déclenche l'action. La question qui se pose est la suivante : si l'on a accès aux mêmes alertes, informations et données médico-légales, pourquoi attendre qu'un être humain "appuie sur le bouton" ?

Dans la plupart des cas, c'est le choix du moment qui fait la différence.

Il y a des avantages à ne pas réagir immédiatement aux cyberattaques actives. Et si l'application automatique peut également être configurée pour se déclencher après un délai déterminé, l'application manuelle permet une flexibilité temporelle illimitée.

L'un des éléments clés de l'application manuelle est de laisser les attaques se dérouler afin d'obtenir davantage d'informations. Souvent, les équipes de sécurité peuvent recueillir des données supplémentaires en laissant l'attaquant penser qu'il n'a pas été découvert.

En fait, certaines informations ne sont disponibles qu'après avoir observé le comportement des attaquants pendant de longues périodes. Quels autres outils et tactiques utilisent-ils ? Quelles données recherchent-ils et où les exfiltrent-ils ? La recherche d'une attaque nécessite du temps et une certaine liberté d'action au sein du réseau pour l'attaquant.

N'oubliez pas non plus que les attaquants changeront de tactique si des mesures sont prises ou si elles sont prises trop tôt. Il faut donc agir de manière réfléchie. L'application manuelle permet aux équipes de sécurité de prendre des décisions de manière dynamique en fonction des actions de l'attaquant. En accumulant davantage de points de données et en corrélant les données médico-légales, les équipes peuvent également appliquer la loi avec plus de confiance et de précision.

Enfin, l'application manuelle permet aux équipes de sécurité d'agir avec une précision plus chirurgicale. Au lieu d'appliquer la même mesure dans tous les cas similaires, les équipes peuvent déclencher une action sélective pour des utilisateurs spécifiques, en minimisant l'impact sur l'utilisateur. Par exemple, au lieu d'une réinitialisation massive des mots de passe, il se peut que seuls les employés d'une certaine zone géographique aient besoin de nouvelles informations d'identification.

Exigences pour une application sans souci

Que vous utilisiez l'application automatique, l'application manuelle ou une combinaison des deux, certains facteurs doivent être mis en place pour s'assurer que l'application ne crée pas plus de problèmes qu'elle n'en résout. En gardant à l'esprit que les attaquants changent de tactique en fonction des mesures d'application, une application efficace doit en fin de compte éliminer les attaquants de l'organisation et les empêcher d'y entrer. Voici les critères clés d'une solution d'application de la loi sans souci.

La confiance en soi est essentielle

Pour appliquer la loi en toute confiance, vous devez être certain que les informations de sécurité sur lesquelles vous fondez vos décisions sont exactes. Cela signifie que la détection doit s'appuyer sur un système de haute fidélité qui regroupe les points de données pour en assurer la précision. Des détails tels que la connaissance du type de menace, le niveau de risque et la certitude sont essentiels pour prendre des décisions précises en matière d'application de la loi. La possibilité de corréler les informations provenant d'autres outils de sécurité, tels que les pare-feu et les SIEM, accroît également la confiance et la précision.

Faire respecter tous les domaines nécessaires

La plupart des entreprises possèdent des données à la fois sur le site cloud, dans leurs propres locaux ou hébergées dans l'infrastructure d'un partenaire. Les piles de sécurité d'entreprise englobent également une grande variété de technologies telles que les outils de détection des points d'extrémité, les contrôles d'accès au réseau et les pare-feux. Envisagez des solutions d'application avec un système de compte centralisé qui peut imposer des actions appropriées dans l'ensemble de l'infrastructure de l'entreprise : sur site, dans des environnements hybrides et à travers de multiples technologies.

Une solution qui protège et renforce les comptes des partenaires ou des contractants empêche également ces comptes de devenir des cibles d'attaque.

Faciliter les choses

Le type de mesure d'exécution a également son importance. Choisissez des mesures d'exécution qui permettent d'obtenir un impact précis et fiable, comme l'exécution basée sur les comptes. Contrairement aux mesures d'exécution basées sur le réseau, telles que l'établissement de listes noires ou la réinitialisation du protocole TCP, l'exécution basée sur les comptes est efficace, précise et ne crée pas de travail inutile pour d'autres services.

Présentation du système de verrouillage Vectra

Lockdown permet aux professionnels de la sécurité d'activer l'application automatique et manuelle directement à partir de la plateforme Vectra AI . Il utilise une combinaison de seuils de score de privilège, de score de menace de compte et de score de certitude de compte pour verrouiller des comptes spécifiques, des hôtes et des charges de travail cloud . Les administrateurs de sécurité peuvent configurer ces seuils, ainsi que la durée pendant laquelle ils doivent durer. Les administrateurs de sécurité peuvent configurer ces seuils, ainsi que la durée du verrouillage.

Comme toujours, d'autres options d'application sont disponibles grâce aux intégrations de Vectra avec les partenaires SOAR (Security Orchestration and Response).

La plateformeVectra AI est le moyen le plus rapide et le plus efficace de détecter les cyberattaques et d'y répondre, en veillant à ce que les attaquants soient mis à la porte et restent à l'écart des environnements d'entreprise.

‍