Le partage de renseignements sur les menaces donne un avantage aux défenseurs

Cybersécurité

La cybersécurité est un secteur extrêmement concurrentiel. Il est unique dans le domaine des technologies de l’information car nous ne sommes pas seulement confrontés à la concurrence d’autres éditeurs, mais nous avons aussi des adversaires humains qui représentent en réalité LA vraie concurrence.

Bien que nos produits et services soient amenés à concurrencer ceux d’autres éditeurs dans notre secteur, cette concurrence ne doit jamais se faire au détriment de notre capacité à protéger nos clients.

Récemment, Sophos a publié un message encourageant le secteur de la cybersécurité à se concurrencer avant tout sur le terrain de la technologie, et pas sur celui des renseignements sur les menaces. Si, dans notre secteur, nous parvenons à nous coordonner pour partager rapidement des renseignements, idéalement en temps réel, alors les entreprises, les gouvernements et les particuliers seront en mesure de se défendre contre leurs adversaires de manière plus efficace et proactive. Une telle démarche pourrait changer les règles du jeu de la cyberdéfense, en donnant aux défenseurs un avantage sur les attaquants.

Au cours des cinq dernières années, Sophos a réalisé des progrès significatifs en améliorant à la fois la facilité d’utilisation et la capacité à prévoir de ses produits, deux dimensions technologiques au niveau desquelles, selon moi, les éditeurs devraient véritablement se concurrencer. En particulier, nous avons apporté les éléments suivants :

  • Une approche au niveau du design basée avant tout sur l’API dans tous nos produits compatibles avec Sophos Central afin de faciliter l’automatisation et l’intégration avec d’autres outils et plateformes que nos clients et partenaires utilisent pour mener à bien leurs opérations.
  • Des flux de travail au niveau des opérations de sécurité au sein de nos produits qui sont fortement influencés par notre équipe Managed Threat Response (MTR) et qui, par conséquent, sont très à l’écoute des besoins des professionnels du secteur.
  • Une utilisation systématique, au niveau de l’ensemble de notre portefeuille, de modèles d’apprentissage automatique (Machine Learning/ML) de grande qualité qui ont été créés conjointement par nos équipes Sophos AI et SophosLabs afin d’améliorer l’efficacité de la détection et attirer l’attention des opérateurs de sécurité.

La capacité à prévoir et la facilité d’utilisation ne sont que deux domaines technologiques importants où la concurrence entre les éditeurs contribuera à placer la barre encore plus haut au niveau de l’ensemble du secteur, mais il en existe bien sûr d’autres. Si les éditeurs rivalisaient au niveau d’améliorations technologiques innovantes comme celles-ci et partageaient des renseignements sur les menaces, nous compliquerions collectivement, à bien des égards, la vie des adversaires lors de leurs tentatives d’attaque. En diffusant nos connaissances, tout le monde pourrait déployer des défenses afin de se protéger contre des attaques ultérieures récurrentes et/ou similaires, signifiant ainsi que les attaquants ne pourraient pas les utiliser encore et encore. En effet, ils seraient alors obligés de changer d’infrastructure ou de tactique, ce qui serait coûteux, augmentant ainsi globalement l’effet dissuasif.

A l’occasion d’une conférence/keynote que j’ai donnée récemment lors de la Cyber Threat Alliance’s TIPS track du Virus Bulletin 2020, j’ai exploré les moyens d’inciter les entreprises, les gouvernements et les éditeurs de sécurité à surmonter les obstacles qui les empêchent de partager des informations sur les cybermenaces. Le secteur a progressé, mais il existe encore des obstacles à dépasser. L’un d’entre eux est la confidentialité, un vrai problème qui dérange une majorité d’entre nous depuis des décennies. Il est temps que nous arrêtions de thésauriser et que nous commencions à développer des technologies permettant de préserver la confidentialité afin d’éliminer les préoccupations tout en nous aidant à progresser. Il s’agit d’un domaine de recherche important dans la mesure où nous continuons à être à l’affût de nouvelles méthodes pour rendre les opérations plus coûteuses et plus difficiles à mettre en œuvre pour les attaquants tout en réduisant les obstacles au partage au sein du secteur de la sécurité.

Plus le secteur de la sécurité se rapprochera d’un partage et de l’opérationnalisation des renseignements sur les menaces en temps réel, plus nous serons susceptibles d’entraver nos adversaires de manière significative.

Plus tôt, j’ai mentionné la capacité à prévoir comme un excellent exemple de technologie au niveau de laquelle les éditeurs devraient rivaliser. L’une des méthodes clés pour améliorer la prévisibilité découle d’une compréhension exhaustive du paysage des menaces, et cette dernière dépend souvent de l’accès aux données, qu’il s’agisse d’échantillons de malwares, de campagnes de phishing, de caractéristiques de ransomwares, de comportements d’adversaires ou encore d’outils d’attaque.

Sophos possède un très grande périmètre d’action, nous avons donc un accès exhaustif à ces données. Plus important encore, les SophosLabs et Sophos AI disposent d’énormes pipelines de traitement pour donner un sens à toutes les données que nous observons chaque jour, et notre service MTR nous donne très souvent une vision anticipée sur les nouvelles menaces, alors qu’elles n’en sont qu’à leur stade initial (parfois au niveau de leur développement même).

Tous les éditeurs de sécurité n’ont pas un accès uniforme à ce type de données, même s’ils ont accès à des points d’eau (watering holes) bien connus du secteur comme VirusTotal. Une telle situation signifie que les éditeurs ou les chercheurs indépendants ne sont pas sur un même pied d’égalité pour créer des innovations technologiques, comme par exemple davantage de modèles d’apprentissage automatique (ML) prédictifs haut de gamme, car le partage est encore un obstacle. Afin d’aider à surmonter ce problème, je suis ravi d’annoncer une initiative conjointe entre SophosAI et ReversingLabs, appelé SOREL-20M, afin de fournir le premier ensemble de données de recherche sur les malwares, pour une production à grande échelle, dans le seul but d’améliorer la sécurité au niveau de l’ensemble du secteur.

Certains de nos lecteurs peuvent se demander pourquoi une entreprise de sécurité publie un tel trésor en matière de malwares. Rassurez-vous, les échantillons ont été désarmés afin d’éviter une éventuelle exécution accidentelle, et de plus un attaquant aurait à sa disposition des options bien moins coûteuses que de réarmer ces composants. En général, il est essentiel que les défenseurs aient accès à ces types d’outils offensifs, que ce soit sous la forme d’échantillons de malwares, ou de nombreux outils et frameworks que les attaquants peuvent utiliser pour la pré- et la post-exploitation. Pour en savoir plus sur cette coentreprise et les avantages qu’elle apportera, n’hésitez pas à visiter notre page SophosAI dédiée, créée en partie pour servir de plateforme pour ce type de projets de partage de données comme SOREL-20M.

Cette initiative n’est qu’un début, car nous prévoyons de faire d’autres annonces pour vous présenter nos futurs projets de partage de renseignements sur les menaces et de développement d’outils et vous expliquer notre philosophie de déploiement qui sous-tend tous nos efforts, le tout animé par cette volonté de transformer le secteur afin d’offrir plus de transparence et d’ouverture pour mieux armer les défenseurs et faire progresser le secteur dans son ensemble.

Billet inspiré de Sharing Threat Intelligence Gives Defenders an Edge, sur le Blog Sophos.

Leave a Reply

Your email address will not be published.