Cybermenaces avancées : quelle stratégie adopter pour renforcer les mesures de détection et de réaction ?

Renforcer ses capacités de détection et de réponse grâce aux nouvelles approches et technologies

Aujourd’hui, il est évident que les solutions antivirales traditionnelles (basées sur les signatures, l’analyse comportementale, l’analyse mémoire, etc.) ne sont plus suffisantes pour faire face aux attaquants qui sont toujours plus imaginatifs. Ces derniers développent sans cesse de nouvelles tactiques de contournement.

Depuis maintenant quelques années, nous observons une multitude de nouvelles solutions qui permettent d’étendre le périmètre à surveiller (réseaux, téléphones, flux Cloud, e-mails, etc.). Ces solutions, basées sur l’intelligence artificielle, améliorent la visibilité du périmètre à protéger et offrent de meilleures capacités de détection de comportements suspects.

Les organisations ont ainsi le choix parmi les nombreuses solutions existantes sur le marché. Afin d’aider les entreprises dans cet exercice, des organismes indépendants ont développé des tests pour comparer les performances de détection et de réaction de ces outils. Ces résultats peuvent constituer une première base de travail.

Il est vrai que ces solutions de détection et de réponse (EDR, XDR, etc.) présentent des arguments non négligeables pour réduire le retard pris avec les attaquants, mais sous certaines conditions.

Simuler des attaques réalistes et avancées afin de mettre à l’épreuve les défenses et d’identifier les lacunes

Pour les organisations ayant déployé des dispositifs (SIEM, SOC, EDR, XDR, etc.), il est primordial qu’elles fassent vivre leur stratégie en améliorant leus règles de détection et procédures de réaction aux incidents.

Mener une démarche de collecte de renseignements sur les cybermenaces présente des avantages non négligeables. En effet, cette activité permet d’actualiser la compréhension de l’organisation sur les schémas d’attaques, les modes opératoires et les différentes techniques utilisées. En outre, ces informations permettront d’avoir une démarche proactive de protection, en développant notamment des règles personnalisées.

De même, il est important d’éprouver ses défenses et ses capacités de détection afin d’avoir l’assurance que l’organisation est couverte contre les pratiques adoptées par les groupes d’attaquants connus et est en mesure d’anticiper des attaques qui adoptent des approches similaires. À titre d’exemple, des opérations Red Team peuvent être organisées, sur la base des comportements adoptés par les groupes d’attaquants listés dans le MITRE ATTA&CK, afin d’émuler des attaques réalistes et d’identifier ses lacunes.

En synthèse, plusieurs actions sont à lancer afin de s’assurer qu’un dispositif de détection et de réponse soit le plus efficace, notamment :

1. Réaliser un benchmark des solutions de détection et de réaction disponibles sur le marché.
2. Définir des scénarios de tests en développant, par exemple, un ensemble de scripts d’évaluation basés sur le Framework MITRE ATT&CK.
3. Effectuer des tests visant à calculer le taux d’efficacité des solutions face aux différentes techniques d’attaques.
4. Couvrir l’ensemble des actifs de l’entreprise et limiter strictement les exceptions.
5. Définir un processus de surveillance et contrôler périodiquement les dispositifs.