CyberData-Driven

Cybersécurité Data-Driven : Perspectives pour blinder votre sécurité IT

Dans les dispositifs traditionnels de cybersécurité, les données n’avaient que peu ou pas de rôle à jouer : elles étaient gérées de manière ponctuelle et traitées manuellement par des analystes en sécurité. Cependant, à mesure que les cyberattaques augmentaient à la fois en nombre et en complexité, ces approches conventionnelles ont rencontré des limites pour réduire les risques rencontrés par les entreprises et les organisations.

Par conséquent, les systèmes de cybersécurité contemporains doivent disposer de solutions plus souples et plus efficaces pour répondre aux menaces et les limiter. Afin de développer ces outils de sécurité sophistiquées, les entreprises doivent penser à analyser des quantités massives de données générées par diverses sources, dans le but d’établir des politiques et des règles de sécurité ne nécessitant qu’un minimum d’intervention humaine grâce à l’automatisation.

Ce n’est qu’une des nombreuses possibilités offertes par les données pour renforcer la posture de cybersécurité de toute organisation. Dans ces lignes, nous vous inviter à découvrir quelques conseils utiles partagés par TEHTRIS SOC et TEHTRIS R&D.

Qu’est-ce qu’une cybersécurité axée sur les données ?

Nos vies dépendent de la technologie pour interagir, apprendre et travailler. Et cette dépendance croissante fait également de celle-ci une cible facile pour ceux qui cherchent à impacter la vie des individus.

L’actualité le démontre : les attaquants utilisent la pandémie du coronavirus pour déclencher des cyberattaques visant à semer la confusion en empêchant les systèmes de santé de faire leur travail, à savoir sauver des vies humaines. Nous assistons cette année à une augmentation de 667 % des attaques de phishing liées à la crise COVID-19, une tendance qui n’a pas épargné l’Organisation Mondiale de la Santé. Alors que le coronavirus coûtera à l’économie mondiale la somme colossale de 2 000 milliards de dollars, la cybercriminalité pourrait tripler ce montant d’ici 2021, pour atteindre 6 000 milliards de dollars.

La seule façon de freiner cette menace croissante est d’adopter une approche de la cybersécurité axée sur les données. Cette approche consiste à utiliser le big data comme un outil pour prendre des décisions pertinentes concernant les pratiques de cybersécurité au sein d’une entreprise. Cela permet d’avoir un plan d’action à adopter face à un évènement de sécurité ou pour la sauvegarde des données et des applications.

Lorsque les données jouent un rôle clé et sont au cœur des décisions stratégiques de cybersécurité, alors on considère qu’il s’agit d’une approche de cybersécurité centrée sur les données (data-driven).

Utiliser la big data, pierre angulaire de la cybersécurité datadriven

Pourquoi une sécurité influencée par les données est-elle importante ?

Les données une fois corréllées enseignent souvent ce que nous ne savons pas encore. L’analyse big data consiste à analyser des volumes de données importants et variés qui sont souvent laissés de côté par les logiciels d’analyse standards. Les données peuvent être structurées, non structurées ou les deux. Elles peuvent être utilisées pour analyser des modèles historiques et proposer de meilleurs contrôles des menaces de sécurité.

Grâce à une combinaison entre big data, apprentissage automatique et intelligence artificielle, les entreprises peuvent effectuer une analyse approfondie des données actuelles et passées et déterminer ce qui est “normal”, sous la forme d’un pattern. Sur la base des résultats de ces analyses, les entreprises peuvent renforcer leurs dispositifs de cybersécurité afin de signaler tout écart par rapport à la normale.

Par exemple, si une organisation suit l’exécution d’un logiciel sur les appareils de ses employés, elle détectera des modèles tels que les horaires de travail habituels et les binaires normaux couramment utilisés. Dans le cas où un programme suivrait un lien de phishing, le système peut le mettre de côté et le signaler en relevant une heure et une adresse URL suspecte. Cette approche a été adoptée par TEHTRIS, en appliquant ces méthodes d’analyse comportementale des systèmes d’exploitation et de leurs utilisateurs à des cas d’usage de cybersécurité.

La sécurité basée sur les données est donc une solution viable, réalisable et nécessaire pour les entreprises qui veulent renforcer leur posture de cybersécurité et protéger leur infrastructure.

Si une entreprise a été victime d’une cyberattaque, suivre les anomalies qui ont conduit à l’évènement grâce à l’analyse des données peut aider à identifier les schémas suivis par les pirates avant qu’ils n’accèdent au réseau. Ensuite, l’entreprise peut utiliser l’apprentissage automatique pour s’assurer que le même évènement ne se reproduira pas.

Toutefois, la sécurité axée sur les données ne s’arrête pas là. L’étape suivante consiste à automatiser le processus autant que possible afin que les écarts soient détectés plus rapidement (à la vitesse de la machine), et que les menaces soient atténuées le plus vite possible.

« …grâce à l’analyse des données peut aider à identifier les schémas suivis par les pirates avant qu’ils n’accèdent au réseau. »

Les initiatives à adopter en matière de sécurité pilotée par les données

Selon CSO Online, 84 % des entreprises utilisent le big data pour bloquer les cyberattaques. Ces entreprises ont également fait état d’une baisse sensible des intrusions après avoir introduit l’analyse big data dans leurs opérations de sécurité.

La cybersécurité basée sur les données peut permettre aux organisations d’obtenir des informations importantes sur leur position globale en matière de cybersécurité, et plus particulièrement de conduire à :

  • L’analyse des menaces et des incidents de la cyber sphère – Les incidents et les menaces peuvent être analysés efficacement en examinant les données sous-jacentes et en recherchant des modèles permettant de détecter les techniques qu’adoptent, ou que pourraient adopter les pirates lors de l’attaque d’une infrastructure. Le big data peut conduire à des résultats significatifs. Par exemple : TEHTRIS XDR Platform rassemble tous les signaux provenant de capteurs intelligents tels que notre EDR (Endpoint Detection & Response), EPP (Endpoint Protection Platform), SIEM (Security Information and Event Management), entre autres, permettant aux équipes SOC de mener des analyses approfondies grâce à nos fonctionnalités de data science.
  • L’anticipation des menaces – Les algorithmes d’apprentissage des données et d’apprentissage automatique peuvent révéler des lacunes de cybersécurité afin que les entreprises puissent savoir quel type de menaces anticiper en fonction de leur infrastructure. Après en avoir pris connaissance, elles peuvent se préparer à combler ces lacunes et à renforcer leur posture de cybersécurité. Les entreprises peuvent même créer des signatures basées sur les menaces anticipées afin de pouvoir les éviter. Par exemple : dans quelques jours, les entreprises utilisant TEHTRIS EDR disposeront d’une carte mondiale des binaires indésirables, cachés ou en cours d’exécution, qu’il convient d’éviter, ce qui leur donnera la possibilité d’anticiper, avec des options de white list.
  • L’architecture de sécurité – L’architecture de cybersécurité centrée sur les données comprend la gouvernance des données collectées et les modèles de partage des données qui fonctionneraient le mieux dans un secteur ou une organisation en particulier. Les données peuvent conduire à des conclusions importantes sur l’architecture de sécurité sous-jacente et à des pistes pour améliorer cette dernière. Par exemple : avec TEHTRIS Deceptive Response, nos honeypots vont recueillir des demandes de réseau indésirables et anormales à l’intérieur d’une infrastructure à grande échelle, comme preuve de problèmes de confinement.

     

  • La gestion ou réponse aux incidents de sécurité – La gestion des incidents de sécurité commence par une enquête complète sur le système anormal, les irrégularités dans les données, le comportement des utilisateurs ou le système. Par exemple, si une équipe de gestion des incidents identifie un serveur fonctionnant plus lentement que d’habitude, elle s’efforcera de déterminer si le comportement du système résulte d’un problème de sécurité. Si c’est le cas, l’incident sera analysé plus en détail. Une approche pilotée par les données peut réduire le temps nécessaire à de telles enquêtes en mettant les données pertinentes à la disposition des experts en sécurité. Par exemple : grâce à TEHTRIS XDR Platform, les analystes en cybersécurité peuvent facilement mettre en œuvre des filtres et découvrir les informations concernant les activités internes à une infrastructure.
  • L’analyse et visualisation de la cybersécurité – L’analyse et la visualisation des données peuvent amener les analystes en sécurité à surmonter les difficultés d’échelle et de complexité liées au grand volume de cyber menaces qui peuvent être difficiles à examiner avec des outils SIEM traditionnels. Avec TEHTRIS SIEM, inclus dans la plateforme TEHTRIS XDR, la visualisation pilotée par les données peut également rendre la détection de modèles et d’anomalies transparente, en révélant des modèles inhabituels qui nécessitent une enquête plus approfondie. La visualisation guidée par les données peut également aider à l’analyse forensic des incidents, où les analystes étudient les logs pour comprendre la séquence des évènements qui ont conduit à un incident, en découvrant des vulnérabilités inconnues, par exemple grâce à un audit de sécurité automatique lancé par TEHTRIS EDR.

La cybersécurité centrée sur les données est également au cœur de l’intelligence artificielle dans la prévention et la détection des menaces. L’intelligence artificielle a plusieurs cas d’utilisation pour la cybersécurité, dont certains sont actuellement appliqués par des solutions de cybersécurité sophistiquées telles que TEHTRIS XDR.