L'équipe Cyber d'Elmore participe à la table ronde sur la cyber-tableau sur la perturbation des SOC et des attaques

Perturbation des attaques : réflexions de la Cyber Expo 2023

Rupert Hills et Charlie Sorby d'Elmore ont contribué à une table ronde lors de la récente International Cyber Expo. Le sujet était le suivant : « Les centres d'opérations de sécurité (SOC) traditionnels sont trop passifs pour arrêter les acteurs menaçants. La perturbation des attaques est la nouvelle frontière de la cyberdéfense. Voici quelques-unes des observations issues de la discussion. 

Faiblesses du SOC 

Les centres d'opérations de sécurité (SOC) se concentrent principalement sur la détection et la réponse aux incidents de sécurité, pour lesquels ils utilisent une variété d'outils et de techniques pour identifier les activités suspectes. Cependant, l’approche traditionnelle est désormais souvent jugée insuffisante car les acteurs de la menace deviennent de plus en plus sophistiqués et inventifs. En conséquence, les attaques peuvent passer inaperçues jusqu’à ce qu’elles causent des dégâts. 

La détection étant la principale ligne de défense des SOC, ils doivent attendre qu’une attaque se produise avant de pouvoir agir. Il s’agit d’une approche passive et lorsqu’une attaque est détectée, il peut être trop tard.

Les SOC traditionnels répondent généralement à des incidents individuels, ce qui signifie qu'ils n'ont pas une vue complète du paysage des menaces. Cela rend difficile l’identification et l’interruption des modèles d’attaque. En outre, comme ils manquent souvent de personnel et sont surchargés de travail, les SOC ont du mal à suivre le paysage des menaces en constante évolution.

Prévenir par la perturbation

La « perturbation des attaques » est une nouvelle stratégie de cyberdéfense qui peut aider les SOC à déjouer les acteurs malveillants. L’objectif est de prévenir plutôt que de guérir, en utilisant des outils et des techniques pour perturber le cycle de vie des attaques. L’interruption des attaques peut être mise en œuvre à différentes étapes du cycle de vie, connues sous le nom de chaîne de cyber-tuerie, tels que la reconnaissance, l'armement, la livraison, l'exploitation, l'installation, le commandement et le contrôle. 

La perturbation des attaques présente plusieurs avantages importants : 

  • Elle est plus proactive que l’approche SOC traditionnelle. Les équipes de perturbation des attaques rechercheront et perturberont constamment les activités d'attaque, contrecarrant les attaques avant qu'elles ne causent des dégâts.
  • Les équipes d’interruption des attaques disposent d’une vision globale du paysage des menaces, ce qui leur permet d’identifier et de perturber les modèles d’attaque qui seraient invisibles pour les SOC traditionnels.
  • Les équipes de perturbation des attaques sont généralement plus spécialisées que les équipes SOC traditionnelles et possèdent les compétences et l'expertise nécessaires pour perturber les attaques à différentes étapes de leur cycle de vie.

Exemples de techniques de perturbation des attaques

  • Renseignements sur les menaces peut identifier et suivre les acteurs de menace connus ainsi que leurs tactiques, techniques et procédures (TTP). Les informations peuvent être utilisées pour perturber les attaques avant qu’elles ne se produisent.
  • Analyse du trafic réseau identifie les activités suspectes sur les réseaux. Les informations peuvent être utilisées pour enquêter et perturber les attaques.
  • Détection et réponse des points finaux (EDR) identifie et répond aux attaques sur les points finaux, isolant les points finaux infectés pour empêcher les logiciels malveillants de se propager et collecte des preuves d'attaques.
  • La tromperie peut être utilisée pour tromper les acteurs malveillants et perturber leurs attaques. Par exemple, en créant de faux serveurs honeypot pour attirer les acteurs malveillants et collecter des renseignements sur leurs TTP.

Les avantages de la perturbation des attaques

Il est clair que les SOC traditionnels sont souvent trop passifs pour arrêter les auteurs de menaces et que l'interruption des attaques constitue une ligne de cyberdéfense utile dans le paysage des menaces en constante évolution d'aujourd'hui. Il y a trois avantages principaux :

    • Moins d’incidents de sécurité car les attaques potentielles sont évitées 
    • Économies de coûts car les dommages causés par les failles de sécurité sont évités
  • Une posture de sécurité renforcée pour dissuader et contrecarrer les acteurs malveillants  

Les avantages de la cyberassurance

Les SOC et la perturbation des attaques sont des exemples de solutions de cybersécurité qui peuvent être mises en œuvre dans les réseaux. La cyberassurance fournit une couche de défense et peut offrir des avantages tels que :

  • Assistance pré-incident
  • Négociation de cyberextorsion et coûts des rançons
  • Interruption des activités cybernétiques
  • Coûts liés à la cybercriminalité
  • Coûts découlant des atteintes à la sécurité et à la vie privée
  • Assistance post-incident

Pour en savoir plus sur la cyberassurance, veuillez Contactez-nous maintenant

fr_FRFrançais