Quand Arnie Lopez, de chez McAfee, pense aux nombreux défis auxquels les chasseurs de menaces sont confrontés de nos jours, faites-lui confiance quand il dit qu'il ressent leur désarroi. Au début de sa carrière, il était ingénieur de sécurité dans un SOC qui passait à l'action en recevant un appel en pleine nuit concernant un incident.
Le système dont il faisait partie n'était pas parfait car ils avaient toujours un temps de retard sur leurs adversaires. Malgré tout, ils ont tenu bon en déployant un assortiment de technologies de sécurité pour minimiser les dégâts. Les entreprises se contentaient d'une approche réactive de type « whack-a-mole », où les défenseurs s'attaquaient aux vulnérabilités au fur et à mesure qu'elles apparaissaient. Mais nous sommes confrontés à un nouveau paysage de la cybersécurité qui montre clairement que nous devons adopter une nouvelle approche, plus proactive, de la chasse aux menaces.
Sommes-nous une cible?
Par le passé, la cybersécurité était généralement traitée comme un point secondaire par la haute direction. Plus maintenant. Les conseils d'administration des entreprises sont enfin conscients du redoutable défi que la cybersécurité pose à leurs activités. Si les conseils d'administration sont prêts à investir dans la cybersécurité, ils veulent également s'assurer qu'ils obtiennent un retour sur investissement maximum dans les outils dont les RSSI disent avoir besoin.
Cependant, ils risquent de perdre patience si leur stratégie de cybersécurité repose toujours sur l'attente du prochain hameçonnage par mail qui infectera le réseau avant que les défenseurs ne réagissent. Les entreprises n'ont pas ce luxe, surtout dans le paysage actuel des menaces où elles sont la cible de pirates informatiques utilisant des méthodes d’attaque de plus en plus sophistiquées. Cela a des implications pour tous ceux concernés par la chaîne de la cybersécurité en entreprise - du RSSI à l'analyste débutant de l'équipe du SOC.
Les chasseurs de menaces doivent être capables de synthétiser les sources de menaces externes et les données dans un contexte utile pour savoir si l'organisation est une cible. Et ils ont également besoin d'informations exploitables pour prendre des mesures qui renforcent la posture de sécurité globale de l'organisation. Il peut s'agir d'ordonner un verrouillage général ou de modifier les politiques afin de mieux sécuriser les endpoints ou la passerelle Web.
Malheureusement, cette capacité d’anticipation reste encore inaccessible à la plupart des entreprises. Moins de 20 % des fuites de données sont stoppées à temps car les chasseurs de menaces ne disposent pas des outils qui pourraient fournir le type de contexte opportun et exploitable dont parle Andy.
Les conseils d'administration des entreprises vont perdre patience si leur approche de la chasse aux menaces équivaut à appeler les pompiers seulement après le début de l'incendie. L'organisation doit savoir à l'avance ce qui se passe dans son cyberespace, et non après coup.
Le chasseur de menaces: un rôle stratégique
Cela met une pression supplémentaire sur les chasseurs de menaces qui doivent anticiper le problème avant qu'il ne se pose. Puisque le coût moyen de la violation de données continue de grimper, le maintien du statu quo est trop risqué. La remédiation et la résolution après coup ne suffisent plus. Mais si les chasseurs de menaces savent à l'avance qui est visé et quels sont les endpoints concernés, cela change la donne. Ils peuvent alors prendre des mesures proactives pour protéger leur organisation.
Chez McAfee, leur portefeuille de technologies permet non seulement d'étendre la protection à tous les endpoints et au cloud, mais aussi de simplifier le processus d'enquête. Cela permet aux chasseurs de menaces de sonder les vecteurs, les secteurs et les régions. Ils établissent une corrélation croisée entre les campagnes connues d'activité malveillante par secteur et zone géographique et la posture de sécurité des endpoints propre à une organisation, issue de sa télémétrie en matière de sécurité.
C'est un atout majeur pour les chasseurs de menaces qui peuvent désormais se faire une idée précise de l'éventail de risques potentiels liés à la sécurité. Ils n'ont plus besoin de passer manuellement au crible des données disparates, en séparant les faux positifs des signes réels de problèmes. Ainsi, au lieu de perdre un temps précieux dans des tâches fastidieuses, ils mettent leurs talents au service de la recherche du moyen le plus efficace de traiter les menaces entrantes.
Même dans les bons jours, le travail du chasseur de menaces est déjà assez difficile. Sans les informations nécessaires pour mieux appréhender la situation dans son ensemble, cela ressemble plus à Mission Impossible. Mais grâce à la sortie récente de la solution de sécurité proactive MVISION Insights, les chasseurs de menaces peuvent enfin inverser les rôles pour mener le combat contre les méchants. N’oubliez pas : la meilleure défense, c’est une bonne attaque.