La veille stratégique, une arme contre les attaques avancées ?
Les cybercriminels innovent sans cesse : ils scrutent les dernières avancées technologiques, exploitent les dernières modes et profitent bien souvent de la méconnaissance de leurs victimes, peu au fait des technologies les plus récentes (tels que, par exemple, des configurations laissées par défaut ou des erreurs de déploiement).
Si elles veulent les contrer, les équipes de cybersécurité n'ont alors d'autre choix que de mener une coûteuse veille permanente sur ces nouvelles attaques et rechercher, chaque jour, dans leurs journaux de connexions, de nouveaux comportements malveillants et de nouvelles traces d'outils d'attaque.
Cela exige de leur part un effort d'autant plus considérable que les attaquants ont massivement recourt aux techniques d'automatisation des attaques sur le Web et sont donc capables de soumettre les organisations à un véritable barrage d'attaques, ciblant de plus en souvent leurs applications métier stratégiques.
Ainsi, selon une étude F5 Networks, un site Internet est touché par un exploit critique toutes les 23 minutes, avec les conséquences potentielles que l'on connaît. Une étude du Ponemon Institute relative au coût de la cybercriminalité indique quant à elle que le coût d'une seule cyberattaque peut dépasser le million de dollars, et que de nombreuses entreprises peuvent subir des centaines de tentatives d'effraction en une semaine.
Pourquoi les attaques réussissent-elles ?
Il est cependant possible d'identifier les deux principales causes du succès de ces attaques, avant de tenter d'y remédier :
- Une automatisation massive des attaques à l'aide de bots malveillants
- Une difficulté au sein des organisations à rester à jour sur les techniques d'attaques, ce qui se traduit généralement par des règles et des politiques de sécurité sur les équipements filtrants qui ne reflètent pas l'État de l'Art des attaques
Ces facteurs sont exacerbés par le fait que les entreprises transfèrent désormais largement leurs charges de travail dans le Cloud et font face à un degré inédit de complexité infrastructurelle et opérationnelle, ajoutant dans certains cas une opacité technique favorable aux erreurs de configuration.
Lutter contre l'automatisation des attaques
Sur le premier point, il est désormais vital d'être en mesure de distinguer les utilisateurs humains légitimes des bots automatisés malveillants. Quelle que soit la méthode d'attaque mise en oeuvre par un bot, qu'elle soit connue ou non, si celui-ci est bloqué de par sa nature même de bot alors l'attaque ne pourra avoir lieu (mais il sera possible de capturer de précieuses analyses comportementales sur les menaces, qui s'avéreront très utile pour le second point !).
Du côté des solutions, un pare-feu pour applications Web avancé (AWAF) intelligent sera en mesure de détecter et bloquer les bots selon plusieurs approches complémentaires, y compris sur le trafic provenant des applications mobiles natives.
Rester à jour des techniques d'attaques
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
Sur le second point, les entreprises ont désormais conscience qu'il n'est pas dans leur coeur de métier d'exercer une veille technique complexe sur les nombreuses nouvelles techniques d'attaques. Elles souhaitent désormais de préférence déléguer cela à un ensemble d'outils et de services mieux adaptés à réagir en temps quasi-réel aux évolutions de la menace, à créer et mettre à jour des jeux de règles complexes représentatifs des nouvelles attaques, et pouvoir déployer cela aussi bien en interne que dans des environnements Cloud privés, publics, hybrides ou multiples.
Ainsi selon le rapport SOAD (State of Application Delivery) 2018 de F5, 42 % des clients interrogés dans la zone EMEA, la mise en place de règles de sécurité cohérentes dans l'ensemble des applications d'une entreprise constitue l'aspect « le plus complexe ou frustrant » de la gestion des environnements multi-Cloud. Dans le même temps, 39 % estiment que la plus grande difficulté consiste à protéger les applications contre les menaces actuelles et émergentes. Le rapport SOAD conclut que ces inquiétudes ont entraîné une hausse du nombre d'entreprises déployant des pare-feu pour applications Web, 61 % d'entre elles utilisant aujourd'hui cette technologie pour protéger leurs applications.
Déléguer pour mieux gérer
Cette tendance se renforce à l'heure de l'entrée en application du règlement européen sur les données personnelles. Les entreprises ont conscience que les règles de protection et d'utilisation des données ont changé. Ne pouvant plus transiger, elles réalisent qu'elles doivent choisir entre assurer des moyens de veille considérable à leurs équipes de sécurité informatique ou externaliser cette dernière et, bien entendu, la fastidieuse gestion des règles du WAF qui va avec
Et le choix est évident : aujourd'hui, les attaques visent à dérober des informations d'identification, à neutraliser des applications critiques ou à forcer leurs accès par force brute ou « credential stuffing ». Elles passent par des bots, des applications mobiles corrompues à l'insu de leurs utilisateurs ou encore des serveurs puissants détournés ou loués à des cybercriminels. Il est devenu bien trop complexe pour des équipes de sécurité internes de suivre en détail l'évolution quotidienne des techniques afin de créer de nouvelles règles pour leurs équipements filtrants. Elles doivent pouvoir se reposer sur des équipements de nouvelle génération dont les règles sont mises à jour dynamiquement, en fonction des comportements applicatifs et par un acteur majeur capable de mutualiser ces tâches complexes pour l'ensemble de ses clients.
Cela leur permettra de bénéficier par ailleurs de fonctionnalités avancées telles que l'ajustement automatique de la configuration, l'analyse comportementale des clients et serveurs ou l'élaboration de signatures dynamiques en temps réel. Par ailleurs, dans un contexte DevOps et NetOps les équipes pourront facilement déployer des services de protection des applications dans n'importe quel environnement, avec des configurations au cas par cas et une capacité à modifier les règles sans interrompre les services.
C'est en s'appuyant ainsi sur une veille active et opérationnelle des techniques attaques menée par un spécialiste, des règles dynamiques injectées en temps quasi-réel et un blocage préemptif des bots malveillants, que les équipes sécurité pourront renverser le modèle propice aux cybercriminels et mieux protéger leurs organisations.
Patrick Berdugo, Directeur Général France - F5 Networks.
Sur le même thème
Voir tous les articles Cybersécurité