Black Hat : La prévention échoue, la détection post-compromission est cruciale
L’industrie de la cybersécurité, telle que présentée lors de grandes conférences comme Black Hat, présente souvent un front unifié : les fournisseurs prétendent universellement sécuriser, protéger ou défendre les actifs numériques, en tirant fréquemment parti de l’intelligence artificielle. Pourtant, sous la surface de messages similaires, un défi critique émerge pour les organisations cherchant de véritables solutions : discerner quelles offres répondent réellement à l’évolution du paysage des menaces. Un examen plus approfondi révèle que si la prévention reste un thème dominant, une préoccupation plus pressante pour les entreprises modernes réside dans leur capacité à détecter une violation qui s’est déjà produite.
L’accent prédominant sur le fait de “maintenir les attaquants à l’extérieur” est sans aucun doute nécessaire, mais il néglige un changement fondamental dans la manière dont les acteurs de menaces sophistiqués opèrent aujourd’hui. Les adversaires contemporains contournent de plus en plus les défenses traditionnelles en ne s’appuyant pas sur des exploits perturbateurs ou des logiciels malveillants. Au lieu de cela, des groupes tels que Scattered Spider, Volt Typhoon et Mango Sandstorm obtiennent un accès et une escalade de contrôle par des méthodes apparemment inoffensives. Ces attaquants transforment en armes des outils et des identifiants légitimes, tirant parti de jetons de session volés ou abusant des systèmes d’identité fédérée pour se fondre parfaitement dans l’activité réseau autorisée. La compromission initiale commence souvent par un événement qu’aucun outil de sécurité n’est conçu pour arrêter : une connexion réussie avec des identifiants valides.
Une fois à l’intérieur, ces intrus naviguent dans les environnements en utilisant des outils système natifs, escaladent leurs privilèges via des chemins d’identité de confiance, établissent une persistance via des applications apparemment bénignes comme les applications OAuth, et exfiltrent discrètement des données sensibles. Il est crucial de noter que leurs méthodes n’impliquent aucun exploit manifeste ni binaire malveillant. Leur comportement semble simplement “appartenir” au système. Cela présente un défi significatif pour les contrôles de sécurité conventionnels, qui sont généralement configurés pour signaler des activités étrangères ou ouvertement malveillantes. Étant donné que les identifiants sont valides et que les chemins d’accès sont autorisés, ces actions ne génèrent souvent aucune alerte. De plus, les journaux critiques, s’ils n’ont pas déjà été supprimés ou altérés par les attaquants, offrent fréquemment un récit incomplet. La plupart des défenses existantes ont été conçues pour identifier ce qui est anormal ou manifestement hostile, et non ce qui est légitime mais mal utilisé. Dans de nombreux incidents réels, malgré la présence d’outils de prévention robustes, ils surveillaient efficacement les mauvais indicateurs. Les attaques d’aujourd’hui ne se distinguent pas de manière flagrante ; elles se fondent méticuleusement.
Ce paysage de menaces en évolution nécessite un recalibrage fondamental de la stratégie de sécurité, encapsulé par le principe de “supposer la compromission”. Ce n’est pas simplement un changement d’état d’esprit ; cela devrait servir de filtre pratique pour évaluer les fournisseurs de cybersécurité, en particulier lorsque chaque solution prétend prévenir les attaques. Les organisations n’ont pas besoin de devenir des experts de chaque produit de cybersécurité disponible. Au lieu de cela, l’accent devrait être mis sur la compréhension du comportement des attaquants, puis sur le questionnement rigoureux des fournisseurs concernant leurs capacités à détecter et à réagir à de telles activités.
Les questions cruciales pour les fournisseurs devraient sonder leurs capacités post-accès initial. Comment une solution détecte-t-elle l’activité après qu’un attaquant a pris pied ? Quels mécanismes sont en place pour identifier les mouvements latéraux lorsque les attaquants utilisent des identifiants valides ? Comment le produit gère-t-il les scénarios où le jeton de session d’un utilisateur dans une application cloud a été détourné ? La solution peut-elle détecter un comportement suspect de manière complète à travers diverses couches — environnements cloud, systèmes d’identité et infrastructure réseau — ou sa visibilité est-elle limitée à un seul domaine ? De plus, quelles capacités de détection et de réponse le fournisseur offre-t-il dans les situations où des journaux critiques ont été compromis ou supprimés ? Si la réponse d’un fournisseur promet principalement une augmentation du bruit d’alerte ou repose entièrement sur la prévention et l’analyse des journaux, cela suggère qu’il ne possède peut-être pas les outils nécessaires pour aider lorsqu’une compromission s’est déjà produite.
Lorsqu’une violation se produit inévitablement, le facteur décisif devient la visibilité – non seulement sur la télémétrie brute du système, mais sur les modèles nuancés du comportement de l’attaquant, corrélés de manière transparente à travers des environnements disparates. Les solutions efficaces doivent démontrer la capacité de détecter les activités malveillantes sans dépendre uniquement des agents ou des journaux, qui peuvent être contournés ou manipulés. Elles doivent identifier les comportements clés des attaquants tels que la reconnaissance, l’abus de justificatifs et la persistance, et, de manière cruciale, corréler ces actions à travers les systèmes d’identité, le trafic réseau et les environnements cloud pour construire une image complète. Ces plateformes devraient également fournir un triage exploitable qui réduit la fatigue des alertes plutôt que de l’exacerber, révélant finalement le chemin d’attaque complet plutôt que de simples événements isolés. Ce ne sont pas des capacités qui peuvent être démontrées superficiellement ; leur efficacité devient évidente dans la manière dont un produit explique et contextualise les incidents, différenciant clairement entre un système qui ne fait que présenter des données et un autre qui discerne l’intention de l’attaquant.
Alors que de nombreux fournisseurs continuent de vendre la promesse d’une prévention absolue des violations, la réalité est que les attaquants modernes n’essaient plus de “s’introduire par effraction” ; ils se “connectent”. Ils exploitent la confiance et sont, en essence, déjà à l’intérieur. La question critique pour les acheteurs de cybersécurité n’est plus de savoir si un attaquant peut être arrêté au périmètre, mais si ses actions peuvent être détectées et comprises une fois qu’il a obtenu l’accès. Ce changement de paradigme exige un nouvel accent sur une détection robuste, basée sur le comportement, qui reconnaît et répond aux signaux subtils de compromission.