L’analyse de sécurité est une approche proactive de la cybersécurité qui s’appuie sur des capacités de collecte, d’agrégation et d’analyse des données pour remplir des fonctions de sécurité stratégiques, dont la détection, l’analyse et l’atténuation des cybermenaces. On déploie des outils d’analyse de sécurité, comme la détection des menaces et la supervision de sécurité, pour identifier et investiguer divers types d’incidents de sécurité et de menaces : logiciels malveillants externes, attaques ciblées et malveillances internes.
Lorsqu’ils peuvent détecter ces dangers de façon précoce, les professionnels de la sécurité ont l’opportunité de les arrêter avant que des criminels n’infiltrent l’infrastructure du réseau, ne compromettent des données et des actifs précieux ou ne provoquent d’autres formes de dommages.
Cet article aborde les fonctionnalités et les avantages d’une plateforme d’analyse de la sécurité, les menaces de sécurité les plus importantes pour votre entreprise, les différentes approches de sécurité et la manière dont l’analyse de la sécurité peut vous aider à prévenir les attaques et à protéger votre environnement.
L’analyse de la sécurité consiste à appliquer l’analyse des données à la cybersécurité de votre entreprise.
Une plateforme d’analyse de sécurité (SA) est une combinaison d’outils qui fournit des fonctions de sécurité réseau proactives, dont la détection, la supervision et l’analyse de divers événements de sécurité, d’attaques et de modèles de menaces ; toutes se conjuguent au sein d’une même application et utilisant les mêmes structures de données sous-jacentes. Les plateformes d’analyse de sécurité sont également évolutives et savent s’adapter à des réseaux et un nombre d’utilisateurs toujours plus vastes au fil de la croissance de l’entreprise.
Les solutions d’analyse de la sécurité agrègent les données de nombreuses sources :
En combinant et en corrélant ces données, les entreprises obtiennent un ensemble de données principal auquel les professionnels de la sécurité peuvent appliquer des algorithmes adaptés et qu’ils peuvent interroger rapidement pour identifier les signes précoces d’une attaque. Ces indicateurs d’attaque, comme on les appelle, peuvent provenir d’un large éventail de sources. Les plateformes de sécurité offrent des outils pratiques pour collecter et cataloguer les données réseau les plus utiles.
Si les palettes de fonctionnalités varient, de nombreuses plateformes d’analyse de la sécurité offrent les fonctionnalités suivantes :
Ces fonctions sont issues des différents outils qui composent la plateforme d’analyse de sécurité. Voici les outils classiques de l’arsenal d’analyse de sécurité :
Une plateforme d’analyse de la sécurité peut réunir tous ces outils, et elle peut même être enrichie de technologies émergentes comme l’IA et le ML.
Le concept d’analyse de sécurité unifiée gagne en popularité parmi les professionnels de la cybersécurité.
L’analyse de sécurité unifiée est une approche qui incorpore le machine learning, la détection des anomalies et l’évaluation prédictive des risques ainsi que la data science, pour identifier les aberrations comportementales et les activités suspectes pouvant trahir la présence de menaces de sécurité.
L’analyse de sécurité unifiée génère un score de risque dynamique consolidé pour chaque incident et chaque activité détectée. Les modèles sont préprogrammés pour prédire et détecter les menaces. Cette programmation peut être informée par :
Comme ces alertes contextuelles établissent des priorités en fonction du risque anticipé et détectent les menaces lorsqu’elles se produisent, l’analyse de sécurité unifiée est capable d’atténuer des menaces particulièrement graves avant que les cybercriminels ne puissent faire des dégâts.
De nombreuses menaces de sécurité exposent les données d’une entreprise à des risques de compromission ou d’attaque. Bien que cette liste soit loin d’être exhaustive, voici une sélection des menaces les plus importantes que peuvent rencontrer les entreprises.
Les données quittent régulièrement les entreprises quand des adversaires manipulent des employés pour les pousser à communiquer leurs identifiants de connexion, ou qu’ils installent des programmes malveillants qui enregistrent les saisies au clavier. Les attaques de phishing et les escroqueries reposant sur l’ingénierie sociale ont une apparence de plus en plus authentique. Les entreprises doivent donc investir davantage dans les défenses de sécurité et la formation des employés pour éviter qu’un manque de jugement momentané ne fasse tomber un réseau.
Certaines des cybermenaces les plus importantes sont le fait d’initiés qui disposent déjà d’un accès au réseau et d’une connaissance intime de la propriété intellectuelle, des modèles, des données précieuses et autres ressources de l’entreprise. Les entreprises doivent accorder une attention particulière à toute personne ayant accès à ses données d’entreprise : employés, partenaires et fournisseurs tiers, qui ont potentiellement les moyens d’utiliser un accès privilégié à mauvais escient et de perturber les opérations.
Les auteurs de malwares font constamment évoluer leurs techniques, qui incluent désormais de nouvelles formes de ransomwares, de menaces persistantes avancées (APT), d’attaques de malwares sans fichier et de « stalkerware » (logiciel pisteur). Pour protéger leurs réseaux, les entreprises devront investir dans de nouveaux moyens d’anticiper de manière proactive les comportements des malwares, d’isoler les attaques et de détecter les menaces évasives qui dissimulent leur présence.
Les attaques DDoS, qui bombardent l’ordinateur ou le réseau d’une victime avec un pic de trafic factice, peuvent empêcher les organisations d’accéder à leurs données, ralentir leurs réseaux ou faire tomber entièrement leurs ressources web. Pour éviter de subir des dommages importants, les entreprises doivent investir dans l’analyse avancée du trafic réseau tout en créant des stratégies pour optimiser les défenses et assurer la continuité des opérations en cas d’attaque.
Les programmes qui ne sont pas régulièrement mis à jour sont un terreau fertile pour les cybercriminels qui cherchent à exploiter des vulnérabilités non corrigées ou inconnues. Ces menaces comptent pourtant parmi les plus faciles à prévenir si elles sont détectées et réparées rapidement.
L’un des principaux vecteurs d’attaque reste la compromission d’identifiants, en particulier lorsque les utilisateurs réutilisent les mêmes mots de passe pour plusieurs comptes. Des outils de défenses tels que l’authentification multifacteurs, les gestionnaires de mots de passe et une formation complète des utilisateurs aux bonnes pratiques de gestion de l’identité peuvent minimiser les intrusions via ce vecteur d’attaque.
Les appareils connectés de l’Internet des objets (IoT) (routeurs, webcams, équipements portables, appareils médicaux, équipements de fabrication ou automobiles) ne se contentent pas d’étendre considérablement la surface d’attaque : ils manquent souvent de mesures de sécurité adéquates, ce qui ouvre la porte à des cyberattaques destructrices. Une fois contrôlés par les pirates informatiques, les périphériques IoT peuvent faire des ravages sur les systèmes en surchargeant les réseaux ou en verrouillant une infrastructure critique. De plus en plus, les entreprises qui exploitent des technologies connectées vont devoir investir dans des outils qui supervisent les vulnérabilités de l’infrastructure qui les exposent.
Face à toutes ces menaces, les entreprises doivent impérativement adopter une approche offensive tout en assurant leurs défenses. Voyons maintenant quelles méthodes de sécurité proactives sont à la disposition des équipes.
Une approche proactive de la cybersécurité cherche à identifier et corriger de manière préventive les menaces et les vulnérabilités de sécurité, avant qu’une attaque ne se produise. Cette approche peut inclure des frameworks établis, tels que la Cyber Kill Chain ou MITRE ATT&CK, qui aident les professionnels de la sécurité à garder une longueur d’avance sur les menaces en anticipant leurs comportements dans une grande variété de contextes.
La cyber kill chain est une série d’étapes décrivant les différentes phases d’une cyberattaque, de la reconnaissance à l’exfiltration des données. Cette séquence permet aux analystes et aux professionnels de la sécurité de comprendre le comportement de l’adversaire et les modèles de menace.
Conçue au départ comme un mécanisme de défense militaire par le fabricant d’armes Lockheed Martin, la Cyber Kill Chain est devenue un moyen d’anticiper et d’identifier un large éventail de menaces de sécurité telles que les programmes malveillants, l’ingénierie sociale, les APT, les ransomwares et les attaques d’initiés.
La cyber kill chain comprend huit étapes fondamentales qui suivent la chronologie spécifique des activités d’une cyberattaque :
Le framework MITRE ATT&CK est une base de connaissances accessible à l’échelle mondiale qui offre une représentation complète des comportements d’attaque basée sur des observations réelles. Le framework MITRE ATT&CK a été créé en 2013 par la MITRE Corporation, un organisme à but non lucratif qui travaille avec des organismes gouvernementaux et des institutions industrielles et universitaires.
ATT&CK, qui signifie Tactiques adverses, techniques et connaissances communes, documente les tactiques, techniques et procédures (TTP) couramment employées par les cybercriminels lorsqu’ils attaquent des réseaux, mais n’indique pas de schéma d’attaque ni de mode opératoire spécifique. Le framework comprend les 14 tactiques suivantes :
Ces cadres permettent de structurer des efforts de sécurité proactifs comme la recherche des menaces. Pour garder une longueur d’avance sur les pirates informatiques, les équipes de sécurité doivent rechercher de manière proactive les indicateurs de violation potentiels et d’autres menaces qui émergent dans l’infrastructure IT.
S’il est de plus en plus important d’adopter une approche proactive dans l’environnement actuel des menaces, les équipes de sécurité doivent avant tout chercher à optimiser leurs efforts de détection et de réponse. Dès l’instant où une menace cible l’entreprise, les équipes de sécurité doivent être en mesure de localiser l’attaque et de réagir de façon adaptée, et l’analyse de sécurité peut être très utile dans cette démarche.
Les outils et technologies d’analyse de la sécurité peuvent accélérer la détection et la réponse en raison de leur capacité à analyser un large éventail de données provenant de nombreuses sources distribuées, ce qui permet aux entreprises de faire facilement le lien entre diverses anomalies et incidents de sécurité pour reconnaître un comportement nuisible.
L’entreprise en tire plusieurs avantages :
En maximisant l’efficacité des outils de détection et de réponse, les équipes de sécurité peuvent se concentrer sur des tâches clés :
Avec l’élargissement des surfaces d’attaque et la complexité croissante de l’environnement de menaces, les entreprises sont inévitablement confrontées à de nouveaux obstacles dans la gestion de leurs données, permettant aux pirates et aux menaces d’infiltrer le réseau sans être détectés. L’analyse de sécurité apporte une réponse à ce problème. En agrégeant, en corrélant et en analysant l’intégralité de vos données, l’analyse de la sécurité vous offre une fenêtre claire et complète sur votre environnement de menaces, pour vous permettre de voir et d’empêcher les attaques émergentes bien avant qu’elles ne compromettent vos données et nuisent à votre entreprise.
Une erreur à signaler ? Une suggestion à faire ? Contactez-nous à l’adresse ssg-blogs@splunk.com.
Cette publication ne représente pas nécessairement la position, les stratégies ou l’opinion de Splunk.
La plateforme Splunk élimine les obstacles qui séparent les données de l'action, pour donner aux équipes d'observabilité, d'IT et de sécurité les moyens de préserver la sécurité, la résilience et le pouvoir d'innovation de leur organisation.
Fondée en 2003, Splunk est une entreprise internationale. Ses plus de 7 500 employés, les Splunkers, ont déjà obtenu plus de 1 020 brevets à ce jour, et ses solutions sont disponibles dans 21 régions du monde. Ouverte et extensible, la plateforme de données Splunk prend en charge les données de tous les environnements pour donner à toutes les équipes d'une entreprise une visibilité complète et contextualisée sur l'ensemble des interactions et des processus métier. Splunk, une base solide pour vos données.