3 raisons pour lesquelles les entreprises ont du mal à détecter les cyber incidents
Un nouveau rapport F-Secure révèle que près de 80% des enquêtes en réponse aux cyber incidents débutent après une atteinte du périmètre de cyber sécurité de l’entreprise concernée.
Par ailleurs, environ 13 % des enquêtes font suite à de « faux positifs » : ces derniers monopolisent les ressources des entreprises, qui investissent du temps et de l’argent dans une attaque inexistante plutôt que dans la résolution de leurs problèmes informatiques.
La détection des incidents de cyber sécurité constitue un véritable défi. Erka Koivunen, Chief Security Officer chez F-Secure, fait remarquer dans l’un de ses blog posts que le temps dont les entreprises ont besoin pour détecter les violations de données varie grandement selon les estimations. Plusieurs violations désormais célèbres sont passées inaperçues pendant plus d’un an. Dans de nombreux cas, les entreprises apprennent l’existence de ces violations par des tiers, plutôt que grâce à leurs propres capacités de détection.
La grande question est désormais de savoir ce que les entreprises peuvent faire pour relever ce défi. La détection des cyber incidents nécessite du personnel, des outils et des processus spécialisés, et donc des coûts substantiels. Cela explique les hésitations des entreprises à prendre des mesures appropriées.
Toutefois, l’évolution constante des cyber menaces, dans un contexte réglementaire de plus en plus exigeant (avec, notamment, le RGPD), contraint désormais les entreprises à véritablement se pencher sur la question. Elles ne peuvent plus se permettre de négliger leur capacité à réagir face aux cyber incidents.
Voici quelques-uns des défis auxquels les entreprises font face, et quelques conseils qu’elles peuvent suivre pour mieux détecter les cyber incidents :
La preuve d’une intrusion se trouve dans les données, alors recueillez-les sagement.
La détection des cyber incidents n’est pas comparable à un jeu ou à une devinette. L’alerte doit s’appuyer sur des preuves solides. Détecter les infractions est essentiel si vous ne voulez pas qu’une attaque visant votre organisation fasse les gros titres, ou qu’une demande de rançon vous soit adressée par un pirate ayant mis la main sur vos données.
Les registres sont une source précieuse de données probantes. Ils sont largement utilisés dans les enquêtes menées en réponse à une intrusion. Il est souhaitable d’adopter une approche systématique pour l’agrégation et la surveillance des registres de votre organisation. Il est également important de recueillir d’autres preuves, dont la nature dépend de votre organisation, de votre infrastructure, de votre modèle de menaces et d’autres facteurs.
Veillez toutefois à ne pas recueillir trop de données, au risque de crouler sur les informations à traiter (plus d’informations ci-dessous).
Filtrer les données peut s’avérer pénible, mais cela est nécessaire.
Que faire de toutes les données recueillies ? Il est essentiel de les filtrer pour pouvoir en tirer des informations utiles.
Si vous recueillez suffisamment toutes les données nécessaires à la surveillance de votre réseau, vous obtiendrez des millions d’événements. Par exemple, le personnel du Centre de détection rapide de F-Secure – qui gère le service de détection rapide de F-Secure (Rapid Detection Service) – a recueilli environ 2 millions d’événements au sein de l’environnement informatique d’un client, en seulement un mois, après l’installation de 1 300 capteurs.
Après avoir écarté les événements manifestement inoffensifs, 900 000 événements restaient à analyser. Après un processus exhaustif d’enrichissement, de corrélation et d’analyse, 25 événements suspects ont été identifiés. Par la suite, un processus d’analyse manuelle et de collaboration avec le client a permis de déterminer que 15 de ces 25 événements constituaient des menaces véritables.
Le service de détection rapide de F-Secure est une solution de détection et d’intervention dédiée aux incidents. Cette solution est configurée par F-Secure de manière à ne collecter que les événements liés aux menaces potentielles. Les organisations ne disposant pas des bons outils, ou de l’expertise nécessaire (le monde fait face à une pénurie de spécialistes), peuvent se retrouver rapidement submergées par les données, et donc dans l’incapacité de les trier.
Or, en réalisant ce travail de sélection avec précision, il est possible de cibler un nombre relativement réduit d’évènements à gérer.
Les anomalies ne sont que des pistes : préparez-vous à les suivre pour en savoir plus
Quels éléments rechercher ? Tout ce qui sort de l’ordinaire doit attirer votre attention. Un utilisateur non-administrateur essayant d’accéder à plusieurs serveurs, un grand nombre de tentatives d’ouverture de session dans un court laps de temps ou encore une activité se produisant à des moments suspects peuvent indiquer une attaque.
Pensez également à croiser vos logs avec les flux de renseignement sur les menaces pour trouver des indicateurs de compromission (ex : activité depuis des adresses IP malveillantes connues).
Dans un monde parfait, ces anomalies auraient toutes une explication rassurante : un employé qui travaille tard, un mot de passe oublié ou encore une erreur réseau causée par une mise à jour récente.
Mais dans le monde réel, certaines de ces anomalies peuvent témoigner d’attaques véritables. Tom Van de Wiele, Principal Security Consultant chez F-Secure, souligne l’importance d’une détection efficace : elle peut en effet permettre à une organisation de mieux réagir aux incidents… Une capacité accrue d’intervention sera fortement appréciée des administrateurs informatiques, du conseil d’administration, des CISO et des PDG, lorsqu’une crise se présentera.
Tom Van de Wiele explique :
Chaque processus d’intervention commence par la même question : s’agit-il bien d’une cyber attaque ? La réponse à cette question a un prix, qui dépend de plusieurs facteurs : la rapidité avec laquelle l’entreprise parvient à un diagnostic, la fluidité et l’efficacité de ses process ou encore la qualité de ses analyses forensiques et technologiques. (…) Une fois qu’une organisation dispose de preuves solides et non de simples rumeurs ou suppositions, il est possible de passer à l’étape suivante : le confinement et l’éradication.
Catégories