Inverser les rôles entre le pirate informatique et la victime

Dans le monde de la cybersécurité,  le rôle du pirate informatique et celui de la victime est sensiblement opposée.  La victime doit se défendre contre toutes les brèches de sécurité éventuelles alors que le pirate informatique doit exploiter seulement une vulnérabilité. Cette différence favorise énormément le pirate informatique.

La plupart des déploiements actuels de cybersécurité visent  à empêcher les logiciels malveillants et les menaces de pénétrer dans le système et à protéger les utilisateurs et l’ensemble du système d’informations. Force est de constater que ce  modèle joue directement en faveur du pirate informatique et n’a donc pas réussi à atteindre son objectif .

Il est à noter que la nature même des failles a évolué au cours de ces dernières années. Contrairement aux virus et aux vers informatiques présents il y a quelques années qui se propageaient rapidement et semaient la destruction sur leur passage, de nombreuses failles actuelles visent à recueillir un grand nombre d’informations confidentielles sur de longues périodes. En effet, les failles se construisent par étape, de manière très furtive. Par exemple, une fois qu’un logiciel malveillant  a pénétré dans le système d’un utilisateur cible, il peut se propager petit à petit dans l’organisation. En d’autres termes, le logiciel malveillant essaye de ne pas être détecté dans le but de se répandre en long et en large dans l’organisation. Au cours de ce processus, des canaux de communication par porte dérobée avec des centres de commandement et de contrôle peuvent être établis. Pour obtenir davantage d’informations, consultez le livre blanc « Faire face à la menace : repenser le déploiement de la sécurité du réseau ». Cette propagation progressive peut durer des semaines ou des mois. Vient ensuite le recueil de données, durant lequel un grand nombre de données confidentielles sont recueillies avant d’être exfiltrées. Dans de nombreux cas, l’organisation se rend compte de l’étendue de la brèche seulement après l’exfiltration.

Comprendre ce cycle de développement est la clef de l’inversion des rôles entre le pirate informatique et la victime. De plus en plus de gens considèrent qu’il faut abandonner le modèle centré sur le système et la protection (qui favorise énormément le pirate informatique) et s’orienter vers un modèle qui est conscient que les adversaires vont s’introduire dans le réseau. En d’autres termes, il faut favoriser un modèle de détection et de confinement. Cette modification du modèle de sécurité constitue le meilleur outil d’inversion des rôles. Une fois que le pirate informatique a pénétré dans l’organisation, dans le but de maximiser l’empreinte de la brèche, le pirate informatique doit à présent prendre toutes les précautions nécessaires pour éviter d’être détecté. Quant à la victime, elle doit désormais trouver une empreinte qui indique la présence du pirate informatique. Par conséquent, les étapes telles qu’un mouvement latéral du logiciel malveillant dans l’organisation, les tentatives d’établir des canaux de communication par porte dérobée pour le commandement et le contrôle et les tentatives d’exfiltration de données constituent le meilleur outil de détection et de confinement de la menace, puis de restauration de l’équilibre en faveur de la victime.

Cela exige de créer et d’installer des systèmes qui sont de plus en plus orientés vers la détection depuis l’intérieur. Cependant, en ce qui concerne les infrastructures de l’organisation, le nombre de données à examiner est vaste. L’utilisation croissante du cryptage et la mobilité des utilisateurs/appareils/applications créent des zones d’ombre supplémentaires et ajoutent un caractère imprévisible en matière d’accès permanent aux données pertinentes.

Par conséquent, cette modification qui passe de la prévention à la détection exige un nouveau modèle de déploiement des systèmes de sécurité, un modèle qui garantit un accès permanent aux données pertinentes des systèmes physiques et virtualisés, quel que soit l’emplacement ou l’utilisation des technologies de cryptage. GigaSECURE, la plate-forme de sécurité de Gigamon, fournit la première solution de ce type en adoptant une approche basée sur la plate-forme pour le déploiement simultané d’une grande variété de solutions de sécurité dans ce nouveau monde de cybersécurité qui s’oriente de plus en plus vers la détection et le confinement. Pour obtenir davantage d’informations, consultez ce lien.