Quand plus c’est trop dans la sécurité

« La croissance crée de la complexité, ce qui exige de la simplicité » – Mike Krzyzewski.

Il existe une idée fausse commune selon laquelle plus vous disposez d’outils de sécurité, meilleure est la posture de sécurité de votre organisation. Il n’est donc pas étonnant que les entreprises proposent en moyenne plus de 70 points de sécurité, et il n’est donc pas surprenant qu’avec chaque offre ajoutée au mélange, la complexité augmente et l’efficacité diminue. Bien que ce ne soit peut-être pas un énorme problème pour les entreprises du Fortune 100, avec leurs budgets de sécurité presque illimités, tout le monde en souffre.

L’un des problèmes sous-jacents à l’origine de la complexité est qu’au fil des ans, les organisations ont adopté une approche de sécurité à plusieurs niveaux pour se protéger contre le paysage des menaces en constante évolution et la sophistication croissante des attaques.

Cependant, chaque couche se composait de plusieurs offres disjointes, ce qui a conduit les chercheurs en sécurité à devenir des ingénieurs d’intégration, essayant de relier tous les points. Comment collectez-vous et corrélez-vous avec précision les signaux et les indicateurs de différents capteurs, les filtrez-vous, normalisez-vous les données, recherchez-vous les faux positifs et évaluez-vous la pertinence des données pour vos besoins et plus encore? Comment les flux de menaces multiples sont-ils ingérés, hiérarchisés et testés pour détecter les faux positifs ? Comment pouvez-vous vous assurer que tout fonctionne ensemble pour une posture de sécurité aussi proche de la perfection que possible ?

Tu peux pas. La preuve en est dans ce qu’on a appelé le temps d’arrêt – la plupart des acteurs de la menace résident dans les réseaux des organisations pendant des semaines (voire des mois) avant de lancer leur attaque.

Pendant cette période critique de l’attaque, le service informatique dispose de nombreuses possibilités de détecter, d’atténuer et même de prévenir une attaque. Sur le réseau de l’organisation, les attaquants collectent des mots de passe et assurent leur persistance sur le réseau en utilisant tout, des outils qui sont déjà dans le système, tels que WMI ou PowerShell (ou ce qu’on appelle LOL, qui signifie vivre de la terre) aux outils personnalisés effectuant une escalade des privilèges, un mouvement latéral pour identifier les joyaux de la couronne, la préparation de tunnels d’exfiltration, et bien plus encore, tout en échappant aux contrôles de sécurité.

Cela brise encore un autre vieux mythe de la cybersécurité qui est, « les attaquants doivent avoir raison une seule fois, et les défenseurs doivent avoir raison tout le temps ». Ce mythe est une simplification excessive de ce qui se passe réellement lors d’une violation. En fait, c’est exactement le contraire qui est vrai. Les attaquants doivent être à chaque étape pour atteindre leur objectif, tandis que le service informatique a plusieurs points d’étranglement potentiels dans lesquels ils auraient pu détecter, atténuer ou empêcher l’attaque. Alors pourquoi les défenseurs continuent-ils à manquer ces signaux ?

Dans bon nombre de ces cas, tous les signaux étaient là, mais ils ont été manqués d’une manière ou d’une autre. Cela soulève la question suivante : avec chaque nouvel outil ajouté à la pile de sécurité d’une organisation, ajoutons-nous de la graisse ou du muscle à nos opérations de sécurité ? Aidons-nous et donnons-nous à l’analyste de la sécurité les moyens d’effectuer leur travail de manière fluide et rationalisée ou ajoutons-nous un autre écran qu’ils devront surveiller dans l’espoir d’attraper un signal ou une alerte? Ajoutons-nous un autre projet d’intégration qui prendra non seulement des années, et même plus longtemps si certains employés partent, mais qui déplacera également l’attention de l’équipe des opérations de sécurité vers l’intégration et les tests?

Les acteurs de la menace ont de multiples avantages sur les défenseurs – ils ont l’initiative, ils sont beaucoup plus agiles, ils s’adaptent et changent rapidement et plus encore. Cependant, un examen attentif de bon nombre des violations a révélé qu’elles utilisaient toujours les mêmes outils et techniques – hameçonnage, piratage de mots de passe et analyse des vulnérabilités. Ce n’est pas le « quoi » qu’ils ont changé, mais le « comment ».

La même chose doit être appliquée à nos défenses – au lieu d’essayer constamment d’ajouter de nouvelles caractéristiques et fonctions à nos cyberdéfenses, nous devons être en mesure d’utiliser celles que nous avons déjà d’une manière plus simple (mais pas simpliste), plus complète et plus gérable.

Vous savez, quand j’ai servi dans l’armée, il y avait un vieux dicton que mon commandant répétait : « Si ce n’est pas simple, ce ne sera tout simplement pas le cas. » Il s’applique tout aussi brillamment à la cybersécurité qu’à la sécurité physique.

Etay Maor est directrice principale de la stratégie de sécurité chez Cato Networks et chercheuse en cybersécurité reconnue par l’industrie. Auparavant, il a occupé des postes de direction en sécurité chez IntSights, IBM et RSA, et est professeur auxiliaire au Boston College. Il fait également partie des comités Call for Paper pour la RSA Conference et la QuBits Conference.