Un nombre croissant de services se déplacent vers un environnement multicloud pour tirer le meilleur parti des avantages considérables que ces environnements peuvent apporter en ce qui concerne l’utilisation des meilleurs packages et produits pour chaque fonction vitale de les affaires. Cependant, un environnement multicloud s’accompagne de plusieurs dangers pour la sécurité de l’information – une vérité à laquelle de nombreuses organisations sont encore assez aveugles. Nous avons pris place avec Mark Wojtasiak, vice-président de la méthode produit chez Vectra AI, pour discuter des menaces, des options et de la nécessité d’améliorer la compréhension générale de l’entreprise. Dans cette toute première partie de nos échanges, nous nous sommes concentrés sur les questions essentielles soulevées par les nouvelles surfaces d’attaque de l’environnement multicloud.
THQ :
Pensons-nous que suffisamment d’entreprises apprécient complètement la méthode selon laquelle les environnements multicloud ou cloud hybride peuvent changer le paysage des cyber-dangers auxquels elles sont confrontées ?
MW :
Non. Non, je ne pense pas qu’ils le fassent. Je pense qu’il y a deux questions essentielles qui doivent être abordées – et ce ne sont pas celles que nous avons généralement posées. Généralement, nous avons demandé si nous étions présents ? Et avons-nous le contrôle ?
Je ne crois pas complètement aux affaires dans la base comprendre ce que l’utilisation d’un cloud hybride ou d’une configuration multicloud implique du point de vue de la surface d’attaque ou du point de vue des cybermenaces, car les questions que les équipes de sécurité doivent se poser changent dans ces environnements.
Avec le déplacement de la surface d’attaque vers l’hybride et le multicloud, les préoccupations sont désormais : 1– où sommes-nous exposés aujourd’hui ? Et 2– où sommes-nous menacés en ce moment ? Je ne pense pas que beaucoup d’entreprises puissent répondre efficacement à ces questions.
Les nouvelles réalités de l’exposition directe et du compromis
THQ :
C’est donc la changement crucial dans la surface d’attaque? De la visibilité et du contrôle à l’exposition directe et au compromis ?
MW :
Oui. Il y a beaucoup d’élan derrière la gestion de la posture du cloud et dans la gestion de la posture SAAS et des choses comme ça. Et c’est tout sur la compréhension de votre exposition. Où l’exposition au nuage existe-t-elle ? Où pouvons-nous fermer ces vulnérabilités ? Ce qui est un effort constant, du fait que la réponse peut changer d’heure en heure, voire de minute en minute. Vous n’en êtes jamais un et vous en avez fini avec ça. Tout simplement parce que vous comprenez où se trouvent vos vulnérabilités et votre exposition directe. C’est quelque chose, mais les attaquants sont très intelligents. Ils vont constamment découvrir des méthodes, vous devez donc faire suivre cette question de l’exposition directe avec la deuxième préoccupation : où sommes-nous compromis maintenant. Donc, si vous comprenez l’exposition directe et que vous comprenez le compromis, ces 2 choses s’alimentent mutuellement.
Ainsi, plus vous vous rassurez, plus vous en apprenez sur votre exposition directe et plus vous en apprenez sur votre compromis. Vous améliorez continuellement votre posture. Se poser continuellement ces préoccupations et y répondre va certainement aider.
Et avec l’expansion de la surface d’attaque, ce que nous constatons, c’est que l’un des problèmes les plus importants est l’identité… les attaques contre les systèmes d’identité et l’exploitation des systèmes d’identité non seulement pour compromettre les informations d’identification et obtenir l’accès, mais également pour accéder aux comptes privilégiés. Et dès que vous avez accès à des comptes chanceux, niveau administrateur, alors vous avez les clés du royaume et vous avancez pour la plupart sans être découvert.
On peut parler de la garantie de toutes ces innovations catégories, mais en fin de compte, cela revient à où sommes-nous menacés ? Nous avons essentiellement besoin de répondre à cette préoccupation. Et je ne crois pas qu’on puisse y répondre assez rapidement. Et nous devons déterminer les moyens de le faire mieux.
THQ :
Quelle est la distinction d’une ligne entre l’exposition directe et le compromis ?
MW :
L’exposition est « où existe une porte ouverte ? » Le compromis est « Où y a-t-il eu une porte ouverte, par laquelle l’attaquant est actuellement entré ? »
Devancer le danger
THQ :
Alors comment faire face à ça ? Si quelqu’un arrive actuellement, comment le devancez-vous ?
MW :
Les attaquants ont des tendances. Vous pouvez cartographier leur attaque et leur protection, mais ils ont tous des tendances et, si vous comprenez leurs propensions et leurs habitudes, et que vous avez des conceptions de détection qui peuvent voir ces choses se produire, vous pouvez sortir devant eux. C’est ce que nous réalisons dans les conceptions de détection Vectra – je peux voir ces choses se produire, vous pouvez vraiment voir une attaque au fur et à mesure qu’elle se déroule, par opposition à la voir après que les dégâts ont déjà commencé, qu’il s’agisse d’une attaque de ransomware ou d’informations x fill, ou quoi que ce soit. Vous pouvez aller de l’avant en comprenant comment un agresseur se comporte tout au long de cette chaîne de cybercriminalité, comment il est réellement entré, comment il fait sa reconnaissance, comment il fait son travail de découverte. Rassemblez toutes ces choses et vous pouvez dire « Oui, c’est une attaque en cours de développement. »
Si elles ont réellement eu accès à informations d’identification privilégiées, vous pouvez placer des contrôles à l’emplacement. Vous pouvez demander à un humain de faire quelque chose à ce sujet, ou vous pouvez les automatiser. Mais plus tôt, l’exposition, la détection précoce et la compréhension du comportement d’un adversaire peuvent vous révéler ce que l’ennemi voit. Et je ne crois pas que beaucoup d’entreprises le fassent encore.
L’exigence de modification
Nous pouvons éduquer les entreprises qui restent dans cet environnement qu’elles exigent pour voir ce que voit l’agresseur. Mais nous devons arrêter de faire les choses comme nous le faisions auparavant, car les environnements de cloud multicloud et hybrides représentent un tout nouveau stade de risques. Si nous supposons toujours un compromis, ce qui est juste raisonnable dans cet environnement, nous devons examiner comment nous gérons cela – et nous devons le faire avec de toutes nouvelles méthodes.
Nous utilisons l’IA pour voir ce que voit un agresseur. En réalité, nous utilisons l’IA pour exécuter tous les travaux ordinaires sans les épaules des analystes humains. Cette méthode, vous évitez aux analystes d’avoir à trier toutes les petites occasions auxquelles ils doivent faire face en ce moment, afin qu’ils puissent se concentrer sur les dangers confirmés de haut niveau et faire ce que les humains savent le mieux faire – la pensée latérale . Nous utilisons l’IA pour automatiser le banal et encourageons les analystes à être aussi intelligents que nous le savons, afin de faire face aux risques des adversaires humains intelligents.
Dans la partie 2 de ce court article, nous explorerons précisément comment l’IA et les analystes humains peuvent fonctionner en harmonie pour vaincre les dangers d’attaque en temps réel de l’environnement multicloud énormément plus complexe.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
