Nous allons résumer en quelques mots l’introduction FUDdy : nous savons tous que les attaques de phishing sont de plus en plus massives et complexes, que l’IA permet des attaques plus sophistiquées qui échappent aux défenses traditionnelles, et le déficit incessant de talents en matière de cybersécurité signifie que nous avons tous du mal à maintenir les équipes de sécurité au complet.
Compte tenu de cette réalité, les équipes de sécurité doivent être en mesure de surveiller et de répondre aux menaces de manière efficace et efficiente. Vous ne pouvez évidemment pas laisser passer de véritables menaces sans les remarquer, mais vous ne pouvez pas non plus vous permettre de perdre du temps à traquer les faux positifs.
Dans cet article, nous allons examiner certaines des façons dont Sécurité matérielleL’approche unique de la sécurité des e-mails et de la protection des données peut faire économiser considérablement et de manière quantifiable des heures à vos équipes de sécurité chaque semaine tout en améliorant l’efficacité de votre programme de sécurité.
Quel est votre budget d’alerte ?
Avant de plonger dans le « comment », prenons un moment pour examiner pourquoi L’efficacité est essentielle dans les opérations de sécurité. Pour ce faire, réfléchissons au nombre d’alertes que vos équipes de sécurité et de réponse aux incidents peuvent réellement trier, enquêter et traiter au cours d’une journée donnée. Tout comme votre service dispose d’un budget qui limite le montant que vous pouvez dépenser en personnel et en outils, vos équipes de sécurité ont une limite au temps qu’elles peuvent consacrer à répondre aux menaces au cours d’une journée donnée. C’est votre budget d’alerte.
Ce chiffre varie bien sûr au jour le jour, en fonction de la gravité et de la complexité des incidents qui surviennent, du nombre de projets stratégiques critiques sur lesquels votre équipe travaille et d’une multitude d’autres facteurs. Mais il y a une limite. Et tout comme vous ne pouvez pas vous permettre de gaspiller vos ressources financières limitées sur des outils ou des logiciels redondants qui n’apportent aucune valeur ajoutée à votre équipe, vous ne pouvez pas vous permettre que vos équipes gaspillent leur budget d’alertes en enquêtant sur des alertes en double, en remédiant au même problème à plusieurs reprises ou en traquant les faux positifs.
L’efficacité avec laquelle votre équipe de sécurité dépense son budget d’alerte est tout aussi importante que la façon dont vous dépensez votre argent, voire plus. Voyons maintenant comment nous pouvons contribuer à améliorer cette efficacité.
Équilibrer la précision et la sensibilité
Quel que soit le nombre d’alertes reçues par votre équipe, le nombre d’heures que votre équipe peut consacrer chaque jour à y répondre est limité. L’approche de Material face au phishing a été conçu selon la philosophie selon laquelle nous devons aider nos clients à tirer le meilleur parti de leur temps. Les alertes que nous générons doivent à la fois détecter autant de menaces que possible, tout en générant le moins de faux positifs possible.
« Précision » et « rappel » sont des termes qui seront familiers aux data scientists, mais qui ne sont peut-être pas immédiatement familiers aux professionnels de la sécurité. Dans le contexte de la détection des e-mails, la précision est une mesure du nombre d’e-mails signalés comme malveillants qui le sont réellement, tandis que le rappel est une mesure du nombre d’e-mails malveillants réellement reçus qui sont signalés par le système.
Un système de sécurité qui génère très peu de faux positifs a une grande précision, et un système qui détecte presque toutes les menaces qu’il détecte a un rappel élevé. À un certain niveau de granularité, il existe un compromis entre les deux : comme vous pouvez l’imaginer, vous pouvez réduire le nombre de faux positifs que vous générez en diminuant la sensibilité des détections : mais diminuer la sensibilité entraînera souvent également l’absence de vrais positifs. Inversement, vous pouvez minimiser ces vrais positifs manqués en augmentant considérablement la sensibilité, mais cela générera davantage de faux positifs.
L’objectif de Material a été de créer un moteur de détection capable d’équilibrer efficacement les deux et de détecter les messages malveillants sur lesquels vous devez vraiment vous concentrer. Dans l’environnement de menaces de plus en plus complexe d’aujourd’hui, aucune couche de protection n’est suffisante et aucune méthode de détection ne peut à elle seule trouver le bon équilibre. À cette fin, le moteur de détection de Material est composé de quatre composants clés :
- Détection de matériaux : Une combinaison de techniques d’apprentissage automatique avec des règles élaborées par notre équipe de recherche sur les menaces dédiée. L’IA et le ML sont parfaits pour relier des points et trouver des relations que les humains peuvent manquer, mais malgré toutes les avancées récentes de l’IA, rien ne remplace toujours la perspicacité et les capacités de l’expertise humaine. Les détections de matériaux sont le meilleur des deux mondes.
- Détections personnalisées : Chaque organisation et chaque environnement sont uniques, c’est pourquoi nous offrons aux clients la possibilité de créer des détections personnalisées en fonction de ce que vous voyez dans votre base d’utilisateurs ou dans la nature.
- Alertes du fournisseur de messagerie électronique : Google et Microsoft émettent périodiquement des alertes pour les e-mails de phishing qu’ils ont détectés après leur livraison ; nous ingérons et traitons ces alertes et les ajoutons à nos détections.
- Rapports d’utilisateurs : Matériel automatise votre boîte aux lettres d’abusdepuis l’ingestion des rapports des utilisateurs, la consolidation des messages similaires dans un seul cas et l’application immédiate d’une protection automatisée tout en fournissant des flux de correction flexibles aux équipes de sécurité.
Toutes ces facettes se combinent pour former une plateforme de détection puissante et incroyablement précise qui offre à nos clients une protection efficace sans perdre leur temps avec des faux positifs et du bruit, ce qui nous semble être le juste équilibre entre précision et rappel. Mais même si l’équilibre entre précision et sensibilité est essentiel, cela ne suffit pas : une plateforme de sécurité de messagerie moderne doit également rationaliser les opérations de sécurité elles-mêmes.
Trompez-moi deux fois, honte sur moi
On constate une augmentation notable des campagnes d’attaques par courrier électronique qui ne sont pas seulement de grande envergure mais très personnalisées. Il y a un débat sur la part de ce phénomène qui peut être attribuée à l’IA générative. L’hypothèse dominante était que l’explosion de l’IA générative donnerait aux adversaires un nouvel ensemble d’outils avec lesquels jouer, mais des recherches comme Rapport DBIR 2024 de Verizon ne montrent que peu d’impact significatif sur les attaques et les violations à ce stade.
Que ces attaques soient générées par l’IA ou non, il est indéniable qu’elles sont en augmentation. Bien sûr, nous recevons toujours le message générique et transparent «êtes vous disponible?’ Nous recevons des messages de nos « PDG » lorsque nous rejoignons une nouvelle entreprise. Mais nous recevons également des e-mails contenant de fausses factures provenant de domaines qui sont des usurpations ou des homoglyphes de partenaires et de fournisseurs de confiance. Nous assistons à des attaques complexes de prétexte exposant des histoires tout à fait crédibles de la part d’expéditeurs qui semblent avoir des liens avec nous. Nous recevons des e-mails provenant de domaines usurpés ou homoglyphes qui trompent même l’utilisateur le plus consciencieux.
Ces attaques sont souvent répétées au sein d’une organisation, mais adaptées à chaque destinataire. Non seulement elles échappent aux contrôles de sécurité des e-mails natifs et passent à travers les SEG, mais elles apparaissent comme des attaques individuelles. Les lignes d’objet, les expéditeurs et même le contenu du corps peuvent varier d’un e-mail à l’autre, ce qui rend difficile de les regrouper facilement. Cela signifie que votre équipe de sécurité doit passer par plusieurs cycles pour enquêter et répondre à des dizaines ou des centaines d’itérations de la même attaque.
Material aide les équipes de sécurité et d’IR à résoudre ce problème grâce au regroupement automatique des messages suspects. Lorsque Material détecte une menace potentielle, il crée automatiquement un dossier sur notre plateforme. Il parcourt ensuite l’ensemble de l’environnement à la recherche de messages correspondant à ce dossier, en fonction d’une série de critères. Il recherche bien sûr des similitudes entre les champs habituels : correspondance des expéditeurs, correspondance des lignes d’objet, correspondance du corps du texte, etc. Mais il recherche également des éléments tels que les URL intégrées dans les messages et les pièces jointes, correspondant aux attaques qui sont autrement impossibles à regrouper par d’autres moyens.
 |
| Material crée des cas pour tous les messages détectés et regroupe les messages similaires, simplifiant ainsi l’enquête et la correction. |
Et lorsque les messages sont regroupés dans un seul dossier, le triage, l’enquête et même la correction sont considérablement simplifiés. Les ralentissements par défaut sont automatiquement appliqués aux tous les messages contenus dans le dossier, afin que vos utilisateurs reçoivent un avertissement indiquant que le message peut être malveillant avant même que votre équipe n’ait la possibilité d’enquêter. Et une fois que vous avez enquêté et appliqué une correction à un seul message dans le dossier, tous les messages de ce dossier, même les messages correspondants qui sont envoyés après votre enquête, reçoivent la même correction.
Nous avons déjà vu des exemples concrets de la manière dont cela aide nos clients dans le monde réel. Un client de Material nous a récemment dit qu’il avait suivi ses enquêtes sur les e-mails de phishing sur une période de trois mois. Au cours de ces 90 jours, avec l’aide de Material Security, son SOC a économisé plus de 300 heures de temps d’enquête et de réponse aux e-mails de phishing. Toutes ces heures ont été conservées dans son budget d’alerte pour traiter d’autres questions urgentes.
Exploiter l’intelligence collective de votre organisation
Les employés d’aujourd’hui sont bien conscients des menaces de phishing. Cela ne signifie pas qu’ils ne sont plus victimes de ces attaques, bien sûr, mais cela signifie qu’ils sont à l’affût de messages suspects, mal formulés ou tout simplement inattendus.
Il est important de bien faire les choses. Aucune ligne de défense ne peut à elle seule détecter toutes les menaces liées aux e-mails entrants et, malgré toutes les avancées incroyables en matière d’intelligence artificielle et de détection des machines, il n’existe parfois aucun substitut à un employé aux yeux perçants qui remarque qu’un e-mail ne passe pas le test de détection.
L’inconvénient est que manutention Les rapports d’utilisateurs peuvent également représenter une charge de travail importante pour votre équipe de sécurité s’ils ne sont pas traités correctement. Rapports en double, e-mails inoffensifs signalés pour examen, nécessité de répondre aux utilisateurs qui ont signalé… Lorsque vous additionnez les minutes que toutes ces actions nécessitent sur des dizaines ou des centaines de rapports chaque jour, cela peut représenter une perte de temps considérable.
 |
| Material automatise l’intégralité du cycle de vie de la réponse aux rapports des utilisateurs, en appliquant une immunité collective immédiate à tous les messages d’un cas de message signalé dans l’ensemble de votre organisation. |
Material élimine le travail quotidien de reporting des utilisateurs en automatisant votre boîte de réception des abus pour accélérer la correction et faire gagner du temps à votre équipe de sécurité. Material ajoute automatiquement un boost de vitesse aux messages signalés sur l’ensemble de votre base d’utilisateurs, offrant ainsi une couche de protection immédiate pendant que votre équipe de sécurité enquête sur le problème.
Les options de correction granulaires permettent à vos équipes d’accélérer, de bloquer les liens ou de supprimer purement et simplement les e-mails signalés qui s’avèrent malveillants. Et grâce à la consolidation des dossiers et à la mise en correspondance des messages similaires, lorsque vous avez enquêté et répondu à un e-mail, vous avez répondu à tous les messages similaires de l’affaire entière. Enfin, Material répond automatiquement aux signaleurs avec un message d’accusé de réception, que vous pouvez modifier ou mettre à jour au fur et à mesure de l’avancement de votre enquête si vous le souhaitez.
Material simplifie et rationalise le processus d’ingestion et de réponse aux rapports des utilisateurs, tout en ajoutant une protection immédiate pour fournir une couverture aérienne aux enquêtes.
Une protection avancée à laquelle vous pouvez faire confiance, une efficacité que vous pouvez mettre à profit
Vos équipes de sécurité doivent déjà jongler avec suffisamment de choses. Avec Material Security, elles traqueront beaucoup moins de faux positifs, trieront et enquêteront plus rapidement sur les cas de phishing et passeront moins de temps sur les tâches administratives liées aux rapports des utilisateurs. Material libère une plus grande partie de votre budget d’alerte afin que vous puissiez le consacrer à ce qui compte vraiment.
Pour voir combien de temps vous pouvez consacrer à votre équipe de sécurité, Contactez-nous pour une démo aujourd’hui.