Delicious Digg Facebook Favorites More Stumbleupon Twitter

Adapter sa défense en fonction de son prédateur… Simple et naturellement évident

-

Observons un instant la nature qui nous entoure : chaque espèce a développé une méthode de défense basée sur un critère unique, celui de son principal
prédateur. Certains animaux parient sur la vélocité, d’autres sur des
carapaces, d’autres encore sur le camouflage… l’inventivité est sans limite
mais fait toujours sens pour se défendre contre  » LE » prédateur principal de
l’espèce concernée.

Qu’en est il de nos stratégies de cyber défense ?

Que nous soyons une industrie, une banque ou un fournisseur d’énergie, que notre
implantation soit exclusivement en France, en Amérique latine ou globale, nous
utilisons tous globalement les mêmes passerelles anti-pourriels, les mêmes
passerelles web, les mêmes pare-feu, les mêmes anti-virus ou les mêmes outils de
détection des intrusions.

Les mises à jour de signatures de ces outils nous sont fournies par les mêmes
éditeurs sans prise en compte ni du secteur d’activité, ni de la zone
géographique d’appartenance.

En bref, notre stratégie de défense semble parier sur le fait que nous avons tous
le même prédateur.

Pourtant, une analyse des incidents remontés par un SOC, quel qu’il soit, fait
très rapidement ressortir une tendance toute différente. Certes, il mesure un
bruit de fond commun à tous métiers et à toutes les géographies (celui de la
cybercriminalité très générique pour lequel les solutions classiques apportent
une couverture très raisonnable), mais la plus grande partie du risque encouru est
liée à deux facteurs principaux :

1 – les campagnes de cybercriminalités organisées qui officient en langue
locale, qui utilisent le contexte régional et qui n’en sont que plus
dévastatrices (par exemple, les campagnes de rançongiciels diffusées par
hameçonnage local très crédible).

2 – l’activité répétée de quelques prédateurs (adversaires) hautement
spécialisés qui ciblent votre organisation pour son domaine d’activité et qui
n’auront de cesse de lancer de nouvelles campagnes innovantes sur les cibles
qu’elles se sont fixées.

Il est clair que nous n’avons pas tous le même prédateur…

Le but n’est évidemment pas de convaincre les entreprises de changer l’ensemble
de leurs technologies de défense. A bien y regarder, les technologies sont pour la
plupart très performantes. L’inadéquation  » avec le prédateur qui vous en veut » provient principalement des mises à jours de signatures qui orientent l’outil
vers ce qu’il doit bloquer ou détecter, qui ne sont pas différentiées.

Ces différentiateurs permettant d’adapter ses défenses à ses prédateurs
(adversaires) sont pourtant déjà disponibles :

Les CERTs, qui en Europe se sont développés à la fois sur une approche
géographique et sectorielle apportent le renseignement adapté à la menace qui
sévie localement.

Les ISAC (Information Sharing and Analysis Center) s’organisent par secteurs
d’activité et diffusent à leurs adhérents les marqueurs qui les concernent

Les sources professionnelles (de Threat Intelligence), proposent des mises à jour
de marqueurs différenciés par prédateurs (adversaires), par victimes (cibles) et
par zones géographiques.

Les sources OSINT (Open Source Intelligence) sont moins détaillées mais très
nombreuses

L’utilisation de ces sources de marqueurs en compléments des mises à jours
classiques des éditeurs permet d’adapter la protection et la détection aux
prédateurs qui correspondent au risque principal de chaque organisation.

Cette approche finalement toute  » naturelle » s’appelle en cyber sécurité,
l’intégration du renseignement sur la menace (Threat Intelligence) au cœur du
système de défense.

Certains parleront du SOC traditionnel transformé en un ISOC (Intelligence driven
SOC) ou en un SIC (Security Intelligence Center) …

Le concept reste le même : garder un œil sur le prédateur et s’en protéger.

Source:: Global Security Mag

Text Widget

Aliquam ut tellus ligula. Nam blandit massa nec neque rutrum a euismod t ellus ultricies! Phasellus nulla tellus, fringilla quis tristique ornare, condi mentum non erat. Aliquam congue or nare varius.