Par Avi Posesorsky, directeur des ventes chez Fortinet
Avec leurs tactiques de plus en plus audacieuses et sophistiquées, les cybercriminels représentent une menace grandissante. On décrit souvent les cyberattaques comme une suite d’étapes : d’abord, la planification, l’élaboration et la reconnaissance, puis l’attaque elle-même.
La plupart des organisations ne font que réagir à cette dernière étape. Mais cette mentalité doit changer si l’on veut déjouer les attaques, car en détectant et en bloquant les malfaiteurs dès l’étape de la reconnaissance, les organisations risquent moins d’être victimes d’une cyberattaque en bonne et due forme.
Une menace grandissante
Quand les cybercriminels mènent leurs activités de reconnaissance en toute impunité, les attaques qui en résultent sont plus efficaces et font plus de ravages. Un récent rapport de FortiGuard Labs sur le portrait des cybermenaces montre que ces risques sont de plus en plus présents. En effet, les données recueillies à l’aide d’un réseau mondial de capteurs indiquent que le nombre de variantes de rançongiciels avait presque doublé au cours des six mois précédents.
La marchandisation des rançongiciels sous forme de rançongiciel à la demande alimente cette dynamique. Grâce à un modèle d’abonnement, il est facile pour presque n’importe qui de s’en prendre à des individus, à des entreprises et à d’autres organisations. L’ampleur que prend cette industrie malicieuse pousse les développeurs à utiliser de nouvelles technologies pour sortir du lot sur le web caché.
Qu’est-ce que la reconnaissance?
La reconnaissance est l’une des premières phases d’une cyberattaque, où ont lieu les attaques de type « menaces persistantes avancées » (MPA), comme celles perpétrées par les États-nations. C’est à ce moment qu’un malfaiteur explore un réseau pour y déceler des vulnérabilités et obtenir des accès non autorisés tout en contournant les mesures de détection, ce qui lui permet d’observer le réseau et de s’y déplacer pendant un bon moment.
Les investissements en reconnaissance augmentent les chances d’un cybercriminel de détecter une vulnérabilité du jour zéro et ainsi de mener à bien une attaque. Après tout, les rançongiciels restent une entreprise lucrative. Tout investissement de ressources dans de nouvelles techniques d’attaque peut générer des revenus pour l’attaquant, soit lorsqu’il vend ses technologies sur le Web caché ou lorsqu’il récolte la rançon d’une cyberattaque qu’il a lui-même perpétrée.
Que peuvent faire les responsables de la sécurité de l’information (RSI) à ce sujet?
Pour contrer ces attaques avancées, les organisations doivent investir dans des mesures de sécurité modulables qui accroissent la visibilité et la communication dans tout le réseau. L’utilisation de l’intelligence artificielle (IA) est nécessaire pour renforcer ces mesures et ainsi détecter et corriger les menaces en temps réel. Grâce à l’apprentissage machine (AM) et l’IA, il est possible de réagir plus rapidement aux attaques.
Les antimaliciels qui détectent les signatures par l’IA, les solutions de détection des menaces et d’intervention aux terminaux (EDR) et les pare-feu de nouvelle génération (NGFW) sont également essentiels, surtout dans les réseaux hybrides complexes d’aujourd’hui. Les solutions de détection et d’intervention aux réseaux (NDR) avec IA autodidacte peuvent aussi contribuer à protéger les organisations contre les intrusions.
Afin de détecter toute tentative de reconnaissance, des systèmes de prévention d’intrusion (IPS) avancés sont aussi nécessaires, tout comme les solutions bac à sable conçues pour mettre en quarantaine tout ce qui semble suspect.
Il existe également des services de protection contre les cyberrisques (DRP), efficaces contre les activités de reconnaissance et les cyberattaques. De l’extérieur du réseau, il est plus facile de détecter les ressources exposées et vulnérables, les mauvaises configurations de nuages publics, la divulgation d’authentifiants ou de données confidentielles, bref, tout ce qui peut être exploité.
Lorsque des données de connexion d’une organisation sont mises en vente sur des forums de piratage, il est très probable qu’elles serviront dans une attaque. Par conséquent, en cherchant activement des données du genre sur les forums de piratage, les groupes de rançongiciels et autres espaces semblables, il devient possible d’anticiper les menaces et de prendre des mesures pour prévenir ou interrompre une attaque.
Il conviendrait aussi d’envisager des techniques de déception. Non intrusive et facile à gérer, cette technologie est un réseau de mines qui imitent les ressources confidentielles (fichiers, authentifiants, applications, serveurs) d’une organisation, mais avec lesquelles les cybercriminels sont les seuls à interagir, ce qui en fait la méthode la plus précise de détection d’activités malveillantes sur un réseau. Les leurres et les jetons falsifiés ne génèrent aucun faux positif, laissant seulement des données de haute qualité aux équipes des opérations de sécurité (SOC), qui pourront donc mieux détecter et analyser les attaques et les interrompre automatiquement avant qu’elles ne causent de dégâts.
L’intégration pour des résultats optimaux
Une approche intégrée de déploiement de ces solutions est nécessaire pour éliminer les éventuels angles morts qui pourraient faciliter la tâche aux malfaiteurs et ouvrir la porte aux cyberattaques. Une plateforme de sécurité intégrée, comme la solution Security Fabric de Fortinet, offre une expérience d’utilisation uniforme dans tous les éléments du réseau distribué, notamment le centre de données, les campus, les succursales, les points terminaux, les nuages et les bureaux à domicile. L’utilisation d’une seule et même solution de sécurité et de réseautique facilite la détection et la neutralisation des menaces.
Puisque les cybercriminels ne cessent de perfectionner leurs méthodes et d’investir des ressources dans les premières activités de reconnaissance, nul doute qu’ils découvriront d’autres vulnérabilités du jour zéro et lanceront des attaques encore plus dévastatrices. Les RSI peuvent adapter leurs mesures de sécurité en augmentant la visibilité et le contrôle sur le réseau et en y intégrant la puissance de l’IA et de l’AM. Dans les faits, les organisations qui interceptent les cybercriminels à l’étape de la reconnaissance s’assurent un meilleur rendement du capital investi en sécurité.