par Hani Bani Amer, Directeur technique pour iMeta chez AttackIQ
La cybersécurité est un secteur exigeant et complexe. Il y a une pénurie de main-d’œuvre qualifiée, des contrôles de sécurité qui échouent, de nouvelles attaques adverses, un manque de collaboration entre les entités et les praticiens de la sécurité, des lois et une gouvernance immatures. La liste est longue. Les conséquences d’une violation peuvent être catastrophiques et coûteuses pour les organisations de toute taille et de tout type – des entreprises de taille moyenne et des hôpitaux aux grandes agences gouvernementales.
Selon l’Identity Theft Resource Center, le nombre de violations pour 2021 a dépassé celui de 2020 en octobre. Des recherches menées par le Ponemon Institute et IBM ont également révélé que le coût d’une violation a augmenté de 10 % pour atteindre 4,24 millions de dollars.
Des difficultés à mesurer l’efficacité des mesures de cybersécurité
Les équipes de cybersécurité ont investi dans une pléthore de solutions de sécurité, créant des intégrations entre les contrôles de sécurité afin d’atteindre la résilience contre les cyberattaques. Pourtant, malgré la mise en place d’un ensemble complet de contrôles, les équipes de cybersécurité ont toujours du mal à savoir si leurs systèmes fonctionnent correctement.
La simulation de brèche et d’attaque (BAS) est un moyen transformateur pour les équipes de cybersécurité de mesurer en permanence l’efficacité et les niveaux de préparation de leurs contrôles de cybersécurité. Elle permet de vérifier si les personnes, les processus et les technologies en place répondent correctement aux cybermenaces et les arrêtent en émulant des attaques comme le feraient de mauvais acteurs dans des scénarios réels.
Gartner définit les technologies de simulation de brèches et d’attaques (BAS) comme des solutions « qui permettent aux entreprises de simuler de manière continue et cohérente le cycle complet d’une attaque (y compris les menaces internes, les mouvements latéraux et l’exfiltration de données) contre l’infrastructure de l’entreprise, en utilisant des agents logiciels, des machines virtuelles et d’autres moyens ».
Alors que les risques de cybersécurité ne cessent d’augmenter, que les budgets restent incertains et que les impacts socio-économiques de la pandémie COVID-19 perdurent, la BAS n’est plus considérée exclusivement comme un outil de simulation de brèches et d’attaques ou de validation des contrôles de sécurité – mais comme un moyen d’apporter une valeur commerciale en optimisant les ressources et en diminuant les charges de gestion des équipes.
Les organisations tirent parti d’une nouvelle génération de plates-formes innovantes construites sur la technologie BAS pour maximiser l’efficacité et l’efficience de leur programme de cybersécurité dans son ensemble grâce à l’optimisation de la sécurité, de l’efficacité technique à la conformité réglementaire.
Les plates-formes BAS sont conçues pour répondre aux problèmes du secteur de la cybersécurité, tels que le manque de visibilité en matière de sécurité, le manque de capacités de test des contrôles de sécurité en production, le manque de professionnels qualifiés en matière de cybersécurité, le manque de retour d’information en boucle fermée pour mesurer l’efficacité des contrôles de cybersécurité, le manque de visibilité en matière de cybersécurité du point de vue opérationnel et procédural.
Lors du sommet Gartner de cette année sur la sécurité et la gestion des risques, le vice-président de la recherche Gartner, Peter Firstbrook, a évoqué huit tendances essentielles pour les responsables de la sécurité et de la gestion des risques dans son discours liminaire, et l’une d’entre elles était la BAS, expliquant comment les solutions BAS fournissent des évaluations continues de la posture défensive, et remettent en question la visibilité limitée des évaluations ponctuelles annuelles comme les tests de pénétration. Lorsque les RSSI intègrent les BAS dans leurs évaluations régulières de la sécurité, les équipes peuvent identifier plus efficacement les lacunes de la posture de sécurité et mieux prioriser les initiatives de sécurité.
Voici cinq capacités clés à rechercher lors de l’évaluation des plateformes de BAS pour votre organisation :
- Test continu : Une plateforme BAS efficace aura un état d’esprit » assumez la violation » car elle fournit le meilleur mécanisme pour déterminer l’état de préparation de l’infrastructure de sécurité à chaque étape de la chaîne de mise à mort. En testant continuellement les contrôles de sécurité, les praticiens peuvent découpler les mesures de performance de leur programme de sécurité d’un instantané ponctuel qui ne montre que l’exposition à une vulnérabilité spécifique ou l’efficacité contre un exploit spécifique.
- Personnalisation : Les utilisateurs doivent être en mesure d’effectuer une personnalisation poussée des scénarios fournis et de créer les leurs à partir de zéro. Recherchez une plateforme qui offre une bibliothèque solide de scénarios et de modèles d’évaluation.
- Test en production : De nombreuses offres de BAS sont testées dans des bacs à sable. Cherchez-en une qui effectue des tests en production sur l’ensemble de la chaîne d’élimination, de la même manière que les adversaires du monde réel. Grâce à cette capacité, les équipes de sécurité peuvent alors élaborer un programme stratégique qui offre une efficacité et une efficience accrues.
- Capacités de reporting : Alors que le conseil d’administration et la direction sont appelés à mieux comprendre la stratégie de cybersécurité de leur organisation, les équipes de sécurité veulent être en mesure de signaler en toute confiance à leurs PDG et aux membres du conseil d’administration que les contrôles fonctionnent comme prévu pour défendre l’organisation contre les attaques de ransomware et les adversaires. Recherchez une plateforme qui fournit des tableaux de bord de reporting faciles à comprendre, afin que les RSSI et les responsables des risques disposent d’informations exploitables pour prendre des décisions judicieuses concernant leurs opérations de sécurité, leur conformité et leurs investissements en gestion des risques.
- Capacité à exploiter le cadre ATT&CK de MITRE : Le cadre MITRE ATT&CK est un cadre ouvert, gratuit et disponible à l’échelle mondiale, qui regroupe les tactiques, techniques et procédures (TTP) connues des adversaires. Construit et publié en 2015 par la MITRE Corporation, une organisation de recherche et de développement à but non lucratif financée par le gouvernement fédéral, le cadre ATT&CK a gagné un élan significatif dans les secteurs public et privé en tant que référentiel mondial et toutes sources du comportement des adversaires. ATT&CK a donné aux organisations un cadre stable à partir duquel elles peuvent concevoir leurs défenses. Utilisé avec une plateforme BAS, vous pouvez automatiser les émulations d’adversaires pour tester vos cyberdéfenses.
Avantages de la validation automatisée des contrôles
Le paysage de la sécurité étant devenu de plus en plus volatile, la BAS offre aux équipes de cybersécurité une nouvelle façon de réagir. Bien que les cas d’utilisation et les avantages de la BAS soient nombreux, voici ceux que la plupart des organisations obtiennent immédiatement après le déploiement de cette solution :
- Trouver et combler les lacunes de contrôle de sécurité de manière proactive. Bénéficiez d’une analyse approfondie et continue des brèches et des simulations d’attaques pour trouver et combler les lacunes avant que les adversaires ne les exploitent. Partagez les informations entre les équipes chargées de la sécurité, des risques et de la conformité, et améliorez la posture de sécurité globale de l’organisation.
- Améliorer continuellement vos performances grâce à des preuves. Les émulations d’adversaires vous aident à améliorer les capacités de défense qui vous importent le plus, qu’il s’agisse de la détection et de la réponse aux points de terminaison, des pare-feu de nouvelle génération, des capacités de segmentation de la sécurité ou des contrôles de sécurité internes natifs des fournisseurs de cloud.
- Améliorer l’efficacité de vos équipes. Renforcer vos analystes qualifiés grâce à la technologie de simulation de brèches et d’attaques. Vos ressources limitées peuvent utiliser l’automatisation et les rapports pour trouver et combler les lacunes de manière proactive au lieu de lutter contre les incendies après qu’une brèche se soit produite.
- Réduire les coûts ou réaffecter le budget. Exploitez les tactiques et techniques de MITRE ATT&CK pour mesurer l’efficacité des contrôles de sécurité existants. En comprenant quels investissements fonctionnent et lesquels ne fonctionnent pas, vous pouvez réduire les coûts ou réaffecter le budget par la rationalisation et la consolidation des contrôles.
En résumé sur les contrôles de sécurité
Les contrôles de sécurité sont composés de personnes, de processus et de technologies, et sans tests réguliers contre des menaces réelles, il n’y a aucun moyen de s’assurer qu’ils fonctionneront comme prévu le moment venu. Les anciennes pratiques de test manuel sont sporadiques et n’offrent pas une couverture suffisante pour garantir leur efficacité. Une solide plateforme de simulation de violation et d’attaque émule l’adversaire et génère des données en temps réel pour aider à identifier les défaillances de contrôle, à résoudre les faiblesses structurelles et à prendre des décisions d’investissement intelligentes.
Les programmes de cybersécurité non testés constituent un risque pour votre entreprise s’ils ne parviennent pas à stopper les ransomwares ou autres cyberattaques. Même avec les technologies de cyberdéfense les plus avancées, les contrôles peuvent échouer en raison d’une mauvaise configuration de la technologie, de la performance de l’équipe ou de lacunes dans les capacités.
Historiquement, la BAS était largement axée sur l’exécution d’attaques et le renforcement de l’équipe rouge et, au fur et à mesure de son évolution, sur la validation des contrôles de sécurité. Aujourd’hui, l’objectif est de maximiser l’efficacité du programme de cybersécurité dans son ensemble.
En fin de compte, une équipe de sécurité armée d’une plateforme BAS qui contribue à optimiser l’ensemble de son programme de sécurité améliorera son efficacité et son efficience globales. Vous pouvez émuler l’adversaire avec réalisme pour tester votre programme de sécurité, en générant des données de performance en temps réel qui vous permettent d’améliorer votre posture de sécurité et d’avoir la certitude que vos investissements fonctionnent comme prévu pour protéger votre organisation.
