Un nouvel Avis d’Experts d’IBM sur le thème de la cybersécurité sous l’angle « secure by design ».
Une excellente façon d’atténuer les effets d’un incident cybernétique consiste à créer des modèles d’attaques.
Il est nécessaire que les analystes construisent un modèle d’attaque à partir d’un événement de sécurité (tel qu’une exécution de commande ou un téléchargement de fichier malveillant), comprenant tout un ensemble de paramètres et d’informations qui les aideront ensuite à découvrir ces mêmes attaques et à se défendre.
Pour atteindre ce niveau d’analyse, les professionnels de la sécurité ont besoin d’outils de sécurité et de gestion des événements (SIEM) intégrés aux systèmes cognitifs (comprenant de l’intelligence artificielle).
Certaines situations exigent même que les analystes aient un accès direct aux « endpoints » (ou périphériques) affectés pour examiner correctement un incident.
Les implications d’un accès distant
Au cours de la phase de remédiation, les analystes doivent avoir une vision complète de l’environnement pour découvrir des cibles supplémentaires sur leur réseau qui pourraient être compromises.
Cependant, il peut être coûteux et inefficace de communiquer ces menaces par téléphone ou d’établir une session de contrôle à distance pour accéder à des dispositifs ciblés.
Cette opération peut également être interrompue si les analystes ne tiennent pas compte des contraintes d’architecture du périphérique.
La procédure d’accès aux périphériques à distance peut aussi entraîner des violations des politiques de sécurité si elle n’est pas correctement orchestrée avec les processus de réponse aux incidents et de gestion des changements.
Pour cette raison, les responsables de la sécurité doivent sécuriser leur environnement dès la conception. Cela signifie inclure la sécurité dans l’infrastructure au plus bas niveau afin que les analystes puissent immédiatement contrôler les périphériques à distance lorsqu’un incident se produit.
Le principe de sécurisation par conception (« secure by design ») exige que les développeurs et architectes tiennent compte de la particularité des réseaux complexes lorsqu’ils construisent leurs applications et infrastructures.
Idéalement, les solutions ou outils sont intégrés de manière à prendre en charge les politiques de gestion des changements.
Les modèles d’attaque changent constamment
Les cybercriminels changent constamment leurs stratégies et leurs techniques pour garder une longueur d’avance sur les cyber-spécialistes.
Les analystes en sont donc convaincus : leur organisation sera attaquée.
En concevant dès sa conception l’infrastructure de façon sécurisé, pour reconnaître les modèles d’attaques dynamiquement, les équipes de sécurité peuvent créer plus de flexibilité et prendre en charge les périphériques à distance sans perturber les procédures de gestion du changement ou les politiques de sécurité.