The Secret IR Insider’s Diary – ce n’est pas un défilé de mode

Comme la plupart des équipes de réponse aux incidents (RI) qui travaillent avec des fournisseurs, on nous demande toujours des « histoires juteuses » sur les cas de RI pour séduire les clients. À quel point l’incident était-il inhabituel ou périlleux? Comment y avons-nous fait face? Voici comment vous pourrait également bénéficier de notre nouveau produit de sécurité brillant.

C’est très bien. Les rouages du marketing doivent tourner, et quoi de mieux pour lancer un appel de vente qu’une étude de cas directe et de première main sur la résolution du problème de sécurité d’une autre entreprise? Il est très bien, jusqu’à ce que ça ne va pas. Souvent, les limites sont repoussées et on nous demande de nous concentrer sur une menace, une industrie ou même une région particulière. Bien que je comprenne parfaitement les avantages du marketing ciblé, il peut parfois sembler contre-productif.

Cela devient un jeu sans fin d’essayer d’adapter la dernière présentation à shoehorn dans le dernier angle. Par exemple, j’ai fait des présentations où nous en détaillons les acteurs de la menace et leurs caractéristiques particulières de vecteur ou de logiciel malveillant, mais la conversation se transforme ensuite en « Lesquels devrions-nous nous inquiéter? », « Lequel est le pire? » ou « Non, j’ai entendu dire que la famille s’arrête, donc nous n’avons plus besoin d’y penser ».

Dans les conversations sur la préparation, nous interrogeons souvent les organisations sur les menaces qui les inquiètent et beaucoup d’entre elles semblent proposer les nouvelles menaces les plus brillantes parce qu’elles sont tout ce dont on a jamais parlé. Si les organisations veulent rester en sécurité, elles doivent regarder au-delà de la « menace du jour ». Lors d’une récente conversation sur le sujet, un collègue s’est exclamé : « Ce n’est pas un défilé de mode ! », et il avait tout à fait raison.

Toutes les organisations devraient, bien sûr, s’inquiéter de chaque menace et de toute combinaison d’acteur de menace, de vecteur et de logiciels malveillants, et pas seulement des plus brillants, des plus récents, des plus grands et des « plus mauvais ». La réalité est qu’une fois que nous avons fait nos enquêtes et trouvé la cause profonde, c’est rarement le cerveau sophistiqué d’une attaque que quelqu’un pensait que c’était.

Très souvent, il s’agit d’un vecteur relativement basique dont un attaquant a pu tirer parti, comme l’obtention de privilèges via un compte mal sécurisé qui lui permet de ne pas être détecté pendant qu’il exfiltre des données et des charges utiles avant de déverser des ransomwares et de boulonner.

Ainsi, au lieu de considérer le paysage des menaces comme un podium, nous pourrions prendre du recul et examiner ce qui est réellement impliqué dans la mise en scène en premier lieu. Au lieu de réagir à n’importe quelle menace « en vogue », nous devrions réfléchir à ce que nous pouvons faire pour arrêter, prévenir, détecter et ensuite réagir.

Je sais que le recul est toujours de 20/20, et tout le monde est un critique en regardant en arrière, mais si tout ce que nous faisons est d’offrir des réponses et des recommandations standard basées sur les « dernières » découvertes, les organisations ne seront jamais aussi sûres qu’elles pourraient l’être.

Il est tentant, du point de vue d’un cynique, de penser que ce sera toujours le cas, mais je suis sûr que si les défenseurs cessaient de se concentrer sur les menaces « à la mode » et examinaient plutôt des mesures de résilience plus basiques et moins « juteuses », nous pourrions étouffer beaucoup plus de menaces dans l’œuf avant même qu’elles ne deviennent un problème. Peut-être alors la conversation peut-elle changer.

Le Secret IR Insider travaille chez le fournisseur de services et de solutions de cybersécurité Check Point Software.

Spécialistes de la réponse aux incidents (RI), ils sont en première ligne de la lutte en cours contre les cybercriminels malveillants, les ransomwares et autres menaces.

Leur véritable identité est un mystère.