Détecter les intrusions avant une attaque

Par Avi Posesorsky, directeur des ventes chez Fortinet

Avec leurs tactiques de plus en plus audacieuses et sophistiquées, les cybercriminels représentent une menace grandissante. On décrit souvent les cyberattaques comme une suite d’étapes : d’abord, la planification, l’élaboration et la reconnaissance, puis l’attaque elle-même.

La plupart des organisations ne font que réagir à cette dernière étape. Mais cette mentalité doit changer si l’on veut déjouer les attaques, car en détectant et en bloquant les malfaiteurs dès l’étape de la reconnaissance, les organisations risquent moins d’être victimes d’une cyberattaque en bonne et due forme.

Une menace grandissante

Quand les cybercriminels mènent leurs activités de reconnaissance en toute impunité, les attaques qui en résultent sont plus efficaces et font plus de ravages. Un récent rapport de FortiGuard Labs sur le portrait des cybermenaces montre que ces risques sont de plus en plus présents. En effet, les données recueillies à l’aide d’un réseau mondial de capteurs indiquent que le nombre de variantes de rançongiciels avait presque doublé au cours des six mois précédents.

La marchandisation des rançongiciels sous forme de rançongiciel à la demande alimente cette dynamique. Grâce à un modèle d’abonnement, il est facile pour presque n’importe qui de s’en prendre à des individus, à des entreprises et à d’autres organisations. L’ampleur que prend cette industrie malicieuse pousse les développeurs à utiliser de nouvelles technologies pour sortir du lot sur le web caché.

Qu’est-ce que la reconnaissance?

La reconnaissance est l’une des premières phases d’une cyberattaque, où ont lieu les attaques de type « menaces persistantes avancées » (MPA), comme celles perpétrées par les États-nations. C’est à ce moment qu’un malfaiteur explore un réseau pour y déceler des vulnérabilités et obtenir des accès non autorisés tout en contournant les mesures de détection, ce qui lui permet d’observer le réseau et de s’y déplacer pendant un bon moment.

Les investissements en reconnaissance augmentent les chances d’un cybercriminel de détecter une vulnérabilité du jour zéro et ainsi de mener à bien une attaque. Après tout, les rançongiciels restent une entreprise lucrative. Tout investissement de ressources dans de nouvelles techniques d’attaque peut générer des revenus pour l’attaquant, soit lorsqu’il vend ses technologies sur le Web caché ou lorsqu’il récolte la rançon d’une cyberattaque qu’il a lui-même perpétrée.

Que peuvent faire les responsables de la sécurité de l’information (RSI) à ce sujet?

Pour contrer ces attaques avancées, les organisations doivent investir dans des mesures de sécurité modulables qui accroissent la visibilité et la communication dans tout le réseau. L’utilisation de l’intelligence artificielle (IA) est nécessaire pour renforcer ces mesures et ainsi détecter et corriger les menaces en temps réel. Grâce à l’apprentissage machine (AM) et l’IA, il est possible de réagir plus rapidement aux attaques.

Les antimaliciels qui détectent les signatures par l’IA, les solutions de détection des menaces et d’intervention aux terminaux (EDR) et les pare-feu de nouvelle génération (NGFW) sont également essentiels, surtout dans les réseaux hybrides complexes d’aujourd’hui. Les solutions de détection et d’intervention aux réseaux (NDR) avec IA autodidacte peuvent aussi contribuer à protéger les organisations contre les intrusions.

Afin de détecter toute tentative de reconnaissance, des systèmes de prévention d’intrusion (IPS) avancés sont aussi nécessaires, tout comme les solutions bac à sable conçues pour mettre en quarantaine tout ce qui semble suspect.

Il existe également des services de protection contre les cyberrisques (DRP), efficaces contre les activités de reconnaissance et les cyberattaques. De l’extérieur du réseau, il est plus facile de détecter les ressources exposées et vulnérables, les mauvaises configurations de nuages publics, la divulgation d’authentifiants ou de données confidentielles, bref, tout ce qui peut être exploité.

Lorsque des données de connexion d’une organisation sont mises en vente sur des forums de piratage, il est très probable qu’elles serviront dans une attaque. Par conséquent, en cherchant activement des données du genre sur les forums de piratage, les groupes de rançongiciels et autres espaces semblables, il devient possible d’anticiper les menaces et de prendre des mesures pour prévenir ou interrompre une attaque.

Il conviendrait aussi d’envisager des techniques de déception. Non intrusive et facile à gérer, cette technologie est un réseau de mines qui imitent les ressources confidentielles (fichiers, authentifiants, applications, serveurs) d’une organisation, mais avec lesquelles les cybercriminels sont les seuls à interagir, ce qui en fait la méthode la plus précise de détection d’activités malveillantes sur un réseau. Les leurres et les jetons falsifiés ne génèrent aucun faux positif, laissant seulement des données de haute qualité aux équipes des opérations de sécurité (SOC), qui pourront donc mieux détecter et analyser les attaques et les interrompre automatiquement avant qu’elles ne causent de dégâts.

L’intégration pour des résultats optimaux

Une approche intégrée de déploiement de ces solutions est nécessaire pour éliminer les éventuels angles morts qui pourraient faciliter la tâche aux malfaiteurs et ouvrir la porte aux cyberattaques. Une plateforme de sécurité intégrée, comme la solution Security Fabric de Fortinet, offre une expérience d’utilisation uniforme dans tous les éléments du réseau distribué, notamment le centre de données, les campus, les succursales, les points terminaux, les nuages et les bureaux à domicile. L’utilisation d’une seule et même solution de sécurité et de réseautique facilite la détection et la neutralisation des menaces.

Puisque les cybercriminels ne cessent de perfectionner leurs méthodes et d’investir des ressources dans les premières activités de reconnaissance, nul doute qu’ils découvriront d’autres vulnérabilités du jour zéro et lanceront des attaques encore plus dévastatrices. Les RSI peuvent adapter leurs mesures de sécurité en augmentant la visibilité et le contrôle sur le réseau et en y intégrant la puissance de l’IA et de l’AM. Dans les faits, les organisations qui interceptent les cybercriminels à l’étape de la reconnaissance s’assurent un meilleur rendement du capital investi en sécurité.

Articles connexes

Un « atlas du cybercrime » aidera la police et les entreprises technologiques à combattre les cybercriminels

Microsoft et Fortinet font partie des entreprises technologiques soutenant le lancement officiel d'un effort visant à cartographier les activités cybercriminelles et à identifier les réponses conjointes des secteurs public et privé aux cybermenaces.

Google Cloud annonce de nouvelles solutions de sécurité

Google Cloud élargit son offre de cybersécurité et place sa récente acquisition de la société de cybersécurité Mandiant au premier plan de ses annonces de sécurité lors de la conférence Google Cloud Next 2022.

BRP victime d’une cyberattaque

On apprend ce matin que le fabricant de produits récréatifs BRP de Valcourt est actuellement la cible d’une « activité malveillante en matière de sécurité », tel que décrit par la société dans un communiqué.

L’analyse continue est la clé pour assurer la sécurité des PME, selon un rapport

L'objectif de la mise en œuvre de la vérification systématique trouve son chemin dans les environnements des petites et moyennes entreprises (PME), et une étape vitale implique la mise en œuvre d'une analyse continue des vulnérabilités, révèle un rapport publié cette semaine.

Deloitte lance un nouveau service de sécurité basé sur la vérification systématique

Deloitte lançait hier Zero Trust Access, un nouveau service géré qui, selon le cabinet de conseil, fournit une approche infonuagique native pour « sécuriser les communications entre les utilisateurs, sur n'importe quel appareil, et les applications d'entreprise, où qu'elles résident ».