Alors que les violations font la une des journaux presque chaque semaine, les défis de cybersécurité auxquels nous sommes confrontés deviennent visibles non seulement pour les grandes entreprises, qui ont développé des capacités de sécurité au fil des années, mais également pour les petites et moyennes entreprises et le grand public. Même si cela sensibilise davantage les petites entreprises à la nécessité d’améliorer leur sécurité, les PME se retrouvent souvent confrontées à une lacune sur le marché, incapables de trouver des outils de sécurité à la fois faciles à utiliser et abordables.
Lorsque nous réfléchissons aux besoins des PME, nous devons nous concentrer à la fois sur le développement de renseignements sur les menaces, nécessaire pour comprendre et identifier les menaces auxquelles elles sont confrontées, ainsi que sur comme les outils utilisés pour assurer la protection. NTTSH a acquis plus de 20 ans d’expérience dans la recherche et la conservation de renseignements sur les menaces, ainsi que dans le développement de capacités et de produits qui exploitent ses renseignements sur les menaces pour protéger ses clients. Après de nombreuses années consacrées aux grandes entreprises, NTTSH s’oriente vers la démocratisation de la cybersécurité et offre aux petites entreprises la protection dont elles ont besoin.
Centre mondial de renseignement sur les menaces
Tous les efforts de NTTSH s’appuient sur les capacités de son Global Threat Intelligence Center (GTIC). Les efforts du GTIC vont au-delà de ceux d’une organisation de recherche pure en combinant la recherche sur les menaces avec la technologie de détection exclusive du NTTSH pour produire des renseignements appliqués sur les menaces.
La mission du GTIC est de protéger les clients en fournissant des recherches avancées sur les menaces et des renseignements sur la sécurité, permettant à NTTSH de prévenir, détecter et répondre aux cybermenaces. Pour fournir un point de vue véritablement unique sur les produits et services de NTTSH, GTIC exploite ses capacités de renseignement exclusives et la position de NTT en tant qu’opérateur de l’un des cinq principaux réseaux fédérateurs Internet de niveau 1 au monde, offrant une visibilité inégalée sur la télémétrie Internet pour mieux comprendre et mieux comprendre les différents acteurs de la menace, les outils d’exploitation et les logiciels malveillants – ainsi que les tactiques, techniques et procédures utilisées par les attaquants. En plus d’organiser ses propres recherches en matière de renseignements sur les menaces, GTIC entretient également des relations avec d’autres acteurs clés dans ce domaine, notamment la Cyber Threat Alliance, Microsoft, la CISA et la National Cyber Forensics and Training Alliance (NCFTA).
Annuel du NTTSH Rapport mondial sur les renseignements sur les menaces (GTIR) offre une fenêtre sur le travail effectué par GTIC, fournissant un résumé des principaux défis du paysage de la sécurité auxquels sont confrontées les organisations de toutes tailles, ainsi que des informations exploitables pour aider les organisations à mieux s’adapter à l’évolution du paysage des menaces. Dans la mise à jour du troisième trimestre du GTIR 2023, un accent particulier a été mis sur les secteurs verticaux clés, fournissant un aperçu des menaces auxquelles ils sont confrontés.
Menace ciblée par secteur
Le secteur de la santé est confronté à un ensemble unique de défis, non seulement en raison de la grande valeur des informations détenues par les prestataires de soins de santé, mais également en raison de la forte croissance de l’adoption de la technologie dans le domaine des soins de santé dans un contexte où de nombreux prestataires, en particulier les plus petits, manquent de sensibilisation à la cybersécurité et ne disposent pas non plus des ressources nécessaires pour déployer et maintenir les types de contrôles dont bénéficient les grandes entreprises. Les ransomwares s’avèrent toujours particulièrement problématiques. Les violations de ransomwares dans le secteur de la santé s’avèrent particulièrement concentrées dans quelques zones géographiques, les États-Unis, l’Australie et le Royaume-Uni représentant près de 80 % de ces violations.
 |
| Figure 1 : Emplacements des victimes de ransomware dans le secteur de la santé. |
Une tendance géographique similaire est visible dans le secteur des télécommunications, où les États-Unis, le Royaume-Uni et l’Australie représentent environ 52 % des attaques de ransomware, tandis que dans le secteur de l’éducation, les États-Unis, le Royaume-Uni et le Canada représentent environ 83 %.
Dans tous les secteurs cibles, Lockbit 3.0 reste l’acteur de menace de ransomware le plus prolifique. Certains acteurs du ransomware se concentrent cependant sur des secteurs spécifiques, comme le gang de ransomware Bl00dy, qui cible spécifiquement l’éducation.
 |
| Figure 2 : Principaux acteurs des ransomwares dans le secteur des télécommunications |
Les défis de sécurité du SaaS
Un domaine d’intérêt récent pour GTIC a été la manière dont le accélération rapide de l’adoption du SaaS présente son propre ensemble de défis. Le SaaS devient rapidement partie intégrante des opérations quotidiennes des petites et grandes entreprises, avec une croissance annuelle qui devrait se poursuivre à un taux proche de 20 % jusqu’en 2027. Dans ce contexte, il est important de noter que 99 % des failles de sécurité dans le cloud devraient être imputables au client, selon Gartner.
Le modèle de responsabilité partagée les services cloud sont quelque chose que les grandes entreprises connaissent déjà depuis un certain temps. Toutefois, les petites organisations sont encore confrontées à ce modèle. En ce qui concerne le SaaS, cela signifie que même si le fournisseur de cloud est responsable de l’application, les PME s’adaptent encore au fait qu’elles conservent la responsabilité de leurs données et, surtout, gèrent leurs comptes et leurs identités. Les acteurs de la menace se concentrent donc sur les moyens de compromettre les identités, notamment en utilisant des techniques telles que le credential stuffing et le phishing.
Relever les défis de l’informatique hybride
Alors que les PME pouvaient auparavant s’appuyer sur des logiciels antivirus et des pare-feu pour protéger les actifs technologiques dans leurs locaux, la plupart se sont désormais tournées vers le monde de l’informatique hybride en s’appuyant de plus en plus sur les services fournis dans le cloud. Même si les contrôles de sécurité fournis par la plupart des services cloud sont efficaces, les PME sont confrontées à de nombreux défis lorsqu’elles utilisent les fonctionnalités de sécurité mises à leur disposition.
À mesure que la surface d’attaque des petites entreprises s’étend, le nombre de sources d’alertes de sécurité augmente. Ce n’est pas le seul défi : les acteurs malveillants ne limitent souvent pas leurs activités à une partie de votre parc technologique. Ils peuvent commencer dans un domaine, par exemple, en compromettant un ou plusieurs points finaux (tels que des ordinateurs portables), puis utiliser les informations qu’ils collectent (telles que les informations d’identification) pour se déplacer latéralement, par exemple, pour compromettre une application SaaS. Alors que les grandes entreprises ont passé les 10 dernières années ou plus à constituer des équipes SecOps dédiées et des chaînes d’outils de sécurité complexes, les PME manquent de ressources pour ce type d’investissement.
Démocratiser les opérations de sécurité avec XDR
Ce dont les PME ont besoin, c’est de pouvoir regrouper les alertes de l’ensemble de leur infrastructure et de leurs applications informatiques dans un seul outil, capable d’analyser toute la télémétrie d’une organisation, d’appliquer des renseignements sur les menaces, puis de fournir une interface simple qui agit comme un panneau de verre unique pour les utilisateurs. gérer les alertes, mener des enquêtes et répondre aux menaces. C’est ici que XDR fournit une solution qui combine les composants clés d’une chaîne d’outils SecOps traditionnelle dans une seule application hébergée dans le cloud, qui peut être fournie à un prix abordable. Il s’agit du deuxième domaine clé dans lequel NTTSH s’est concentré sur les PME en concentrant le développement de son produit Samurai XDR sur les besoins et les budgets des PME tout en offrant les fonctionnalités auxquelles les grandes entreprises sont habituées. Alors que les recherches de GTIC fournissent les renseignements nécessaires pour comprendre et détecter les menaces auxquelles sont confrontées les organisations modernes, Samurai XDR rend le travail de GTIC accessible et exploitable même pour les organisations qui manquent de ressources SecOps dédiées. Il est essentiel de se rappeler que si la veille sur les menaces est essentielle pour pouvoir détecter les menaces, chaque organisation a besoin d’outils pour l’appliquer.
Un bref voyage à travers Samurai XDR
Dès le départ, Samurai XDR est conçu pour être facile à utiliser et, surtout, pour être accessible à tout le personnel informatique, et pas seulement aux analystes de sécurité. Le point de départ de tous les flux de travail dans Samurai XDR est le tableau de bord des alertes. C’est ici que le système présente des alertes de sécurité qui ont été classées par ordre de priorité en fonction de la gravité et de la confiance.
 |
| Figure 3 : Tableau de bord des alertes Samurai XDR |
Le tableau de bord des alertes rassemble les alertes de toutes les technologies utilisées par l’organisation dans une seule vue hiérarchisée, en mettant l’accent sur la fourniture d’une interface intuitive qui peut être utilisée par la plupart du personnel informatique, et pas seulement par les analystes spécialisés en sécurité.
Une fois que l’utilisateur a décidé qu’une alerte justifie une enquête plus approfondie, la vue Enquêtes fournit une interface tout aussi simple et intuitive pour gérer le cycle de vie d’une enquête sur un incident de sécurité potentiel.
Une fois les événements et les alertes traités, ils sont stockés dans le lac de données de Samurai XDR. Le lac de données offre aux utilisateurs la possibilité d’interroger et d’analyser tous les événements ingérés dans Samurai XDR, remontant jusqu’à une année complète. Cela permet d’interroger les données historiques d’une année complète à des fins telles que la chasse aux menaces, ce qui permet aux utilisateurs de Samurai XDR d’effectuer des analyses détaillées des événements historiques à la recherche de tout signe de menaces qui auraient pu persister pendant de plus longues périodes. L’interrogation des événements dans le lac de données est rendue possible par la fonction Advanced Query de Samurai XDR, qui permet aux utilisateurs de rechercher dans le lac de données à la fois graphiquement et à l’aide du langage de requête Kusto (KQL) de Microsoft.
Intégrations
Les intégrations fournissent le mécanisme permettant d’ingérer des données télémétriques (telles que des journaux) de votre infrastructure informatique et de vos applications dans Samurai XDR. NTTSH s’est attaché à rassembler la bonne combinaison de fonctionnalités pour ingérer la télémétrie à partir de l’infrastructure sur site et des services cloud, reflétant le type d’environnement informatique hybride qui est devenu typique même pour la plupart des PME aujourd’hui. Voici quelques exemples d’intégrations actuellement disponibles :
- Cloud : Azure Management Plane et Microsoft 365 (à venir), Google Workspace (à venir)
- Détection et réponse des points de terminaison : Microsoft Defender pour point de terminaison, VMWare Carbon Black et Crowdstrike Falcon Insight
- Pare-feu de nouvelle génération : Cisco Secure Firewall (ASA et Firepower Threat Defense), Fortinet Fortigate et Palo Alto Networks NGFW.
Au cours des prochains mois, NTTSH s’efforcera d’ajouter davantage d’intégrations, notamment, mais sans s’y limiter, Meraki, Bitdefender, Sophos, Zoom, MalwareBytes, OneLogin, OKTA, Zscaler, AWS et bien d’autres !
Faciliter les choses
L’un des principaux domaines d’intérêt de NTTSH dans le développement de Samurai XDR a été de le rendre facile à utiliser et abordable. Par exemple, la configuration des intégrations est prise en charge par de simples workflows « pointer et cliquer ». Pour une infrastructure qui fournit des journaux via syslog, il suffit de pointer la source des journaux vers le collecteur syslog sécurisé de Samurai XDR, et Samurai XDR fera le travail de détection du type d’appareil qui envoie les journaux. Naturellement, il en va de même pour les intégrations cloud. Samurai XDR réduit les étapes au minimum et guide l’utilisateur à travers des étapes interactives et un accès aux articles de la base de connaissances.
Samurai XDR suit également un modèle de tarification simple – basé uniquement sur le nombre de points de terminaison dont dispose le client, éliminant ainsi le besoin d’essayer d’estimer les volumes de données de télémétrie qui seront ingérés dans la plate-forme. Le tarif standard pour 50 points de terminaison ou plus est de seulement 3,33 $ par point de terminaison et par mois, et pour les petits clients, il existe un pack de démarrage pour un maximum de 25 points de terminaison, au prix de 750 $ pour un an.
Pour faciliter l’essai de Samurai XDR, NTTSH offre à tous les nouveaux clients un essai gratuit de 30 jourspermettant d’expérimenter toutes ses fonctionnalités sans aucun engagement, offrant ainsi même aux plus petites PME un moyen sans risque de développer une capacité SecOps avancée.