octobre 2023

Le problème du temps d'attente : Pourquoi les organisations ont besoin d'une meilleure réponse aux incidents

Le paysage des menaces continue d'évoluer à un rythme effréné. C'est une mauvaise nouvelle pour les défenseurs des réseaux qui ne peuvent ou ne veulent pas s'adapter aux changements qui se produisent sous leurs pieds. Les dernières recherches suggèrent que l'équipe offensive continue d'avoir un avantage. Après le chaos et les perturbations qui ont marqué la première année de la pandémie, il semble que les acteurs de la menace s'améliorent encore pour exploiter les entreprises qui n'ont pas les pieds sur terre.

Il n'existe pas de solution miracle pour remédier à cette situation. Mais une détection et une réponse efficaces aux incidents devraient faire partie de la stratégie de sécurité de chaque PME. Sans cela, le temps d'attente continuera d'augmenter, et avec lui, l'impact financier et réputationnel potentiel sur les organisations victimes.

Le problème du temps d'attente : Pourquoi les organisations ont besoin d'une meilleure réponse aux incidents

 

Pourquoi le temps d'attente est-il important ?

En termes simples, le temps de séjour mesure la durée pendant laquelle les intrus sont autorisés à rester à l'intérieur des réseaux des victimes avant d'être repérés et expulsés. Il va de soi que plus la durée de séjour est longue, plus les dégâts sont importants et plus l'opération de nettoyage est coûteuse. Il est préoccupant de constater que la durée médiane de séjour est passée de 11 à 15 jours entre 2020 et 2021.

 

Bien qu'une étude distincte datant d'avril indique que ce chiffre va dans la direction opposée, passant de 24 à 21 jours, la situation était bien pire dans la région EMEA l'année dernière (48 jours). Il est révélateur que la plupart des organisations qui ont répondu aient dû être informées de l'intrusion par un tiers plutôt que de découvrir elles-mêmes les incidents.

 

Que pouvons-nous dire d'autre sur la façon dont les cybercriminels travaillent aujourd'hui ?

 

- L'exploitation des vulnérabilités est l'un des vecteurs d'accès les plus populaires.

 

- Les courtiers en accès initial (Initial Access Brokers, IAB) sont omniprésents. Ces cybercriminels se spécialisent dans la compromission des victimes et la vente de cet accès à d'autres, ce qui rend les atteintes à la sécurité beaucoup plus probables.

 

- Le protocole de bureau à distance (RDP) a été moins utilisé pour l'accès initial en 2021, mais reste un outil précieux pour les mouvements latéraux. Les organisations configurent souvent mal ces points d'extrémité, par exemple en ne mettant pas à jour des mots de passe rigoureux et uniques.

 

Comment réduire le temps d'attente

 

Les ransomwares restent une menace persistante. Étant donné que certaines charges payantes de ransomware peuvent crypter 100 000 fichiers en seulement quatre minutes, la meilleure chance qu'ont les organisations d'atténuer la menace est d'empêcher complètement les violations ou de les attraper plus tôt dans la chaîne d'exécution. La prévention passe par une série de bonnes pratiques, notamment

 

- l'application régulière de correctifs

 

- des pare-feu d'application web

 

- Authentification multifactorielle sur les comptes privilégiés, y compris RDP

 

- Fermeture des ports RDP inutilisés

 

- une formation régulière de sensibilisation au phishing à l'aide de simulations réelles.

 

Cependant, la prévention n'est jamais efficace à 100 %. C'est particulièrement vrai aujourd'hui, après que les dépenses numériques liées à la pandémie ont multiplié par plusieurs fois les surfaces d'attaque des organisations. Un attaquant déterminé trouvera toujours un moyen d'entrer, que ce soit par le biais d'informations d'identification volées ou forcées, en exploitant des vulnérabilités non corrigées ou en utilisant un autre vecteur.

 

Le pouvoir de la réponse aux incidents

 

C'est là que la réponse aux incidents entre en jeu. Idéalement, les organisations devraient compléter leurs meilleures pratiques en matière de cyber hygiène et leurs contrôles préventifs par des outils de surveillance au niveau de la messagerie, du réseau, des terminaux et de la couche "cloud". Parce qu'ils recherchent des indices comportementaux plutôt que la présence de logiciels malveillants, ils peuvent être utilisés pour repérer même les techniques secrètes et autres que les acteurs de la menace utilisent généralement pour passer sous le radar des outils existants.

 

Plus important encore, ces outils de détection et de réponse doivent signaler avec un degré élevé de certitude lorsque quelque chose ne semble pas correct, afin d'optimiser le temps des analystes informatiques sollicités qui, sinon, seront submergés de faux positifs. Il s'agit ensuite d'enquêter, de remédier à la situation et de réagir - en chassant les malfaiteurs, en réglant les problèmes et en renforçant la résilience pour la prochaine fois.

 

Il va sans dire que ces outils doivent être déployés dans le cadre d'une stratégie de réponse aux incidents bien planifiée et régulièrement mise en œuvre. Cela peut sembler exagéré aujourd'hui. Mais une planification avancée peut minimiser le temps d'attente et l'impact global d'une violation, de sorte que votre entreprise pourra continuer à se battre un jour de plus.

Par  Phil Muncaster

Cet article a été initialement publié sur Journey Notes, le blog de Barracuda.

Lien vers l'article original

Retour