L’arrêt des menaces nouvelles et évasives est l’un des plus grands défis de la cybersécurité. C’est l’une des principales raisons pour lesquelles les attaques ont considérablement augmenté au cours de l’année écoulée encore une fois, malgré les 172 milliards de dollars estimés dépensés pour la cybersécurité mondiale en 2022.
Armés d’outils basés sur le cloud et soutenus par des réseaux d’affiliation sophistiqués, les pirates peuvent développer de nouveaux logiciels malveillants évasifs plus rapidement que les organisations ne peuvent mettre à jour leurs protections.
S’appuyer sur les signatures de logiciels malveillants et les listes de blocage contre ces attaques en évolution rapide est devenu futile. Par conséquent, la boîte à outils SOC s’articule désormais largement autour de la détection et de l’investigation des menaces. Si un attaquant peut contourner vos blocages initiaux, vous vous attendez à ce que vos outils les détectent à un moment donné de la chaîne d’attaque. L’architecture numérique de chaque organisation est désormais dotée de contrôles de sécurité qui enregistrent tout élément potentiellement malveillant. Les analystes de la sécurité parcourent ces journaux et déterminent ce qu’il faut approfondir.
Est-ce que ça marche? Regardons les chiffres :
- 76 % des équipes de sécurité déclarent ne pas pouvoir atteindre leurs objectifs en raison d’un manque de personnel
- 56 % des attaques mettent des mois, voire plus, à être découvertes
- Les attaques ne cessent d’augmenter : le coût mondial de la cybercriminalité devrait atteindre 10 500 milliards de dollars d’ici 2025
De toute évidence, quelque chose doit changer. Les technologies de détection servent un objectif important et investir dans celles-ci n’est pas fauxmais elle a certainement été surestimée.
Les entreprises doivent à nouveau accorder la priorité à la prévention des menaces, et cela vient de le leader de la confiance zéroun modèle qui suppose essentiellement que vos contrôles de prévention ont déjà échoué et que vous êtes activement enfreint à un moment donné.
Le point final n’est que le point de départ
Bien que de nombreuses catégories de sécurité illustrent les lacunes des stratégies de sécurité axées sur la détection, examinons une catégorie populaire en particulier : la détection et la réponse aux terminaux (EDR).
L’adoption d’EDR s’est développée comme une traînée de poudre. Déjà une industrie de 2 milliards de dollars, c’est en croissance à un TCAC de 25,3 %. C’est logique : la plupart des attaques commencent au point de terminaison, et si vous les détectez tôt dans la chaîne d’attaque, vous minimisez l’impact. Une bonne solution EDR fournit également une télémétrie complète des terminaux pour faciliter les enquêtes, la conformité, ainsi que la recherche et la suppression des vulnérabilités.
La sécurité des terminaux est un domaine précieux dans lequel investir et un élément essentiel de la confiance zéro– mais ce n’est pas tout. Malgré les affirmations des fournisseurs selon lesquelles une détection et une réponse « étendues » rassemblent les données dans l’ensemble de l’entreprise, les solutions XDR ne fournissent pas à elles seules une défense en profondeur. Les EDR ont un antivirus pour arrêter les logiciels malveillants connus, mais ils permettent généralement à tout autre trafic de passer, en comptant sur les analyses pour éventuellement détecter ce que l’AV a manqué.
Tous les outils ont leurs défauts, et EDR ne fait pas exception, car :
Toutes les attaques ne commencent pas au terminal. Internet est le nouveau réseau, et la plupart des organisations disposent d’un large éventail de données et d’applications stockées sur différents clouds. Ils utilisent également fréquemment des appareils tels que des VPN et des pare-feu routables depuis Internet. Tout ce qui est exposé fait l’objet d’une attaque. Zscaler ThreatLabz a découvert que 30 % des attaques basées sur SSL se cachent dans des services de partage de fichiers basés sur le cloud comme AWS, Google Drive, OneDrive et Dropbox.
Tous les terminaux ne sont pas gérés. EDR s’appuie sur des agents installés sur chaque appareil géré par le service informatique, mais cela ne tient pas compte de la myriade de scénarios dans lesquels des points de terminaison non gérés peuvent toucher vos données ou vos réseaux : appareils IoT et OT, points de terminaison personnels (BYOD) utilisés pour le travail, troisième -partenaires et sous-traitants ayant accès aux données, fusions ou acquisitions récentes, même invités venant à votre bureau pour utiliser le Wi-Fi.
L’EDR peut être contourné. Tous les outils de sécurité ont leurs faiblesses et EDR s’est avéré assez facile à éviter en utilisant plusieurs techniques courantes, telles que l’exploitation des appels système. Les attaquants utilisent des techniques de chiffrement et d’obscurcissement pour générer automatiquement de nouveaux PDF, des documents Microsoft 365 et d’autres fichiers qui peuvent modifier l’empreinte digitale des logiciels malveillants et contourner les modèles de cybersécurité traditionnels sans être détectés.
Les menaces modernes évoluent très rapidement. Les souches de rançongiciels d’aujourd’hui, presque toutes disponible à l’achat sur le dark web pour tout cybercriminel potentiel, peut crypter les données beaucoup trop rapidement pour que les technologies basées sur la détection soient utiles. LockBit v3.0 peut chiffrer 25 000 fichiers en une minute, et c’est même pas le rançongiciel le plus rapide. À l’inverse, le délai moyen de détection et d’atténuation d’une violation a été mesuré à 280 jours. C’est assez de temps pour que LockBit chiffre plus de 10 milliards de fichiers.
Mettez votre sécurité en ligne
Il est vrai que les technologies antivirus basées sur les signatures ne suffisent plus à stopper les attaques sophistiquées. Mais il est également vrai que les mêmes analyses alimentées par l’IA derrière les technologies de détection peuvent (et doivent !) être utilisées pour la prévention, et pas seulement pour la détection, si elles sont fournies en ligne. Cette stratégie de prévention doit tenir compte de l’ensemble de votre infrastructure, pas seulement de vos terminaux ou de toute autre partie de votre architecture.
Un bac à sable est un exemple clé d’outil de sécurité qui peut être déployé de cette manière. Les sandbox offrent une protection en temps réel contre les menaces sophistiquées et inconnues en analysant les fichiers et les URL suspects dans un environnement sécurisé et isolé. Leur déploiement en ligne (plutôt que comme relais) signifie qu’un fichier n’est pas autorisé à continuer tant que la solution n’a pas rendu son verdict.
La plate-forme Zscaler Zero Trust Exchange comprend un proxy cloud natif qui inspecte tout le trafic, chiffré ou non, pour permettre un accès sécurisé. En tant que proxy, les contrôles en couches de la plate-forme, y compris le bac à sable avancé intégré, sont tous fournis en ligne avec une approche axée sur la prévention.
Compléter vos technologies de détection avec le bac à sable en ligne natif du cloud de Zscaler vous offre :
Protection en temps réel, alimentée par l’IA, contre les menaces zero-day
Zscaler utilise des algorithmes avancés d’apprentissage automatique qui sont continuellement affinés par le plus grand cloud de sécurité au monde, qui traite plus de 300 milliards de transactions par jour. Ces algorithmes analysent les fichiers et les URL suspects en temps réel, détectant et bloquant les menaces potentielles avant qu’elles ne causent des dommages.
Cela commence par une analyse de préfiltrage qui vérifie le contenu du fichier par rapport à plus de 40 flux de menaces, signatures antivirus, listes de blocage de hachage et règles YARA pour les indicateurs de compromission connus (IOC). En réduisant le nombre de fichiers nécessaires pour une analyse plus approfondie, les modèles AI/ML fonctionnent plus efficacement. Lorsqu’un fichier reste inconnu ou suspect après le triage initial, Zscaler Sandbox le fait exploser pour effectuer une analyse statique, dynamique et secondaire robuste, y compris une analyse de code et de charge utile secondaire qui détecte les techniques d’évasion avancées. Une fois terminé, un rapport est généré avec un score de menace et un verdict exploitable, bloquant les fichiers malveillants et suspects en fonction des configurations de politique.
Évolutivité
L’un des principaux arguments de vente du cloud est sa capacité à évoluer rapidement pour répondre aux besoins des organisations de toutes tailles. Les contrôles de sécurité déployés dans le cloud sont naturellement plus faciles à provisionner et à gérer, ce qui donne à votre organisation la flexibilité nécessaire pour s’adapter à l’évolution des besoins de sécurité.
Coûts réduits
Le coût est l’un des principaux facteurs définissant de nombreuses stratégies de sécurité, et il se présente sous de nombreuses formes : productivité des utilisateurs, efficacité opérationnelle, coûts du matériel, etc. Mais le coût le plus important à noter est le coût de la violation. En prévenant les attaques, vous éliminez les temps d’arrêt, les atteintes à la réputation, les pertes d’activité et les coûts de remédiation, qui peuvent facilement totaliser jusqu’à sept chiffres pour une seule attaque. ESG a constaté qu’une organisation moyenne utilisant Zero Trust Exchange connaît une réduction de 65 % des logiciels malveillants, une réduction de 85 % des ransomwares et une réduction de 27 % des violations de données, contribuant à un retour sur investissement global de 139 %.
Protection complète contre les menaces
Zero Trust Exchange offre des capacités complètes de prévention, de détection et d’analyse des menaces, offrant aux organisations une stratégie de contrôle de sécurité uniforme sur tous les sites, utilisateurs et appareils. Zscaler Sandbox peut analyser des fichiers n’importe où, pas seulement sur le point de terminaison, et est intégré à une gamme de fonctionnalités supplémentaires telles que la sécurité DNS, l’isolation du navigateur (pour les attaques sans fichier), la prévention des pertes de données, la sécurité des applications et de la charge de travail, la tromperie et bien d’autres. Cela fournit une vue complète de la posture de sécurité de votre organisation et de la défense en profondeur que les équipes de sécurité recherchent.
La prévention avant tout
Dans la course aux armements contre les attaquants, les équipes de sécurité doivent donner la priorité aux contrôles de sécurité en ligne par rapport aux technologies de détection passthrough. Les fichiers ne doivent pas être autorisés sur les points de terminaison ou les réseaux, sauf si vous êtes certain qu’ils sont bénins, car s’ils s’avèrent malveillants, il est probable que vous ne les découvrirez qu’une fois les dommages causés.
Si vous souhaitez en savoir plus sur Zscaler Zero Trust Exchange, visitez zscaler.com.