Ransomware

Break the attack chain : le gambit d’ouverture

Share with your network!

Le paysage des menaces n’a jamais cessé d’évoluer. Toutefois, le rythme de changement au cours des dix dernières années ne ressemble à rien de ce que la plupart des professionnels de la sécurité ont connu auparavant. Les menaces actuelles se concentrent davantage sur les personnes que sur l’infrastructure.

Mais ce n’est pas tout. Si les cyberattaques pouvaient autrefois être des événements isolés, elles sont aujourd’hui presque toujours constituées de plusieurs phases. En effet, la plupart des menaces modernes suivent le même schéma : compromission initiale, déplacement latéral et impact.

Si cette approche a le potentiel de causer plus de dégâts, elle offre également aux équipes de sécurité plus d’opportunités de détecter et de bloquer les cyberattaques. En mettant en place des protections à des étapes clés de la chaîne d’attaque, nous pouvons déjouer et frustrer les aspirants cybercriminels avant qu’ils n’atteignent leur destination ultime.

Cela commence par comprendre le gambit d’ouverture : comment les cybercriminels tentent-ils d’obtenir un accès à votre roi — ici, vos réseaux et données ? Et qu’est-il possible de faire pour les tenir à l’écart ?

Comprendre les tactiques des cybercriminels

Le parallèle avec les échecs se poursuit lorsque nous nous intéressons aux dernières évolutions du paysage des menaces, nos tactiques de défense provoquant l’adaptation des méthodes d’attaque. L’authentification multifacteur (MFA) en est le parfait exemple.

Ces dernières années, les professionnels de la sécurité se sont tournés vers l’authentification multifacteur pour protéger les comptes et les identifiants de connexion. Les cybercriminels ont réagi en développant des tactiques de contournement de l’authentification multifacteur et des méthodes d’usurpation d’identité pour déjouer ces protections. À tel point que le contournement de l’authentification multifacteur peut désormais être considéré comme la norme dans les attaques de phishing d’identifiants de connexion d’entreprise. Les cybercriminels sont de plus en plus nombreux à acheter des kits prêts à l’emploi leur permettant d’utiliser des tactiques de type adversary-in-the-middle (AiTM) pour mettre en place une écoute clandestine numérique et voler des identifiants de connexion.

Nous avons également constaté l’essor d’autres méthodes activées par des humains, comme les attaques par téléphone (TOAD). Cette méthode combine des techniques de phishing vocal et par email pour inciter les victimes à divulguer des informations sensibles, comme des identifiants de connexion ou des données financières.

Quelle que soit la méthode employée, le résultat souhaité à ce stade est le même. Les cybercriminels cherchent à franchir vos défenses afin de passer à l’étape suivante de leur attaque. C’est ce qui fait du gambit d’ouverture une étape critique du cycle de vie d’une cybermenace.

Les cybercriminels modernes sont passés maîtres dans l’art d’échapper à toute détection une fois qu’ils ont infiltré nos réseaux. Ils savent comment passer inaperçus, se déplacer latéralement et élever les privilèges. Par conséquent, si cette étape de l’attaque réussit, les entreprises font face à un problème de taille. La bonne nouvelle, c’est que plus nous comprenons les tactiques employées par les cybercriminels modernes, plus nous pouvons adapter nos défenses pour les stopper net avant qu’ils ne puissent causer des dégâts considérables.

Contrer le gambit

Notre meilleure chance de bloquer les cybercriminels est d’intervenir avant et pendant la compromission initiale. En parvenant à contrer le gambit d’ouverture, nous pouvons garder les cybercriminels là où ils doivent être : à l’extérieur de notre périmètre.

Personne ne sera surpris d’apprendre que la plupart des menaces commencent dans la boîte de réception. Dès lors, plus nous pouvons prendre de mesures pour bloquer les messages malveillants avant qu’ils n’atteignent nos collaborateurs, mieux c’est.

Il n’y a pas de solution miracle. La protection de la messagerie optimisée par l’intelligence artificielle (IA) constitue la meilleure alternative. Proofpoint Email Protection est la seule protection contre les menaces basée sur l’IA et l’apprentissage automatique qui neutralise les attaques avancées actuelles.

Proofpoint Email Protection s’appuie sur des billions de points de données pour détecter et bloquer le piratage de la messagerie en entreprise (BEC, Business Email Compromise), le phishing, les ransomwares, les menaces ciblant la chaîne logistique et bien d’autres encore. La solution met également en corrélation les informations de threat intelligence issues de la messagerie, du cloud et du réseau pour vous aider à garder une longueur d’avance sur les menaces nouvelles et en constante évolution qui ciblent vos collaborateurs.

Toutefois, aucune défense n’est totalement impénétrable — c’est la dure réalité. Aujourd’hui, les équipes de sécurité doivent partir du principe que certaines menaces atteindront la boîte de réception. Et vos collaborateurs doivent être prêts à y faire face.

Armer cette ligne de défense essentielle requiert une visibilité totale sur les personnes attaquées au sein de votre entreprise — et sur les tenants et les aboutissants (quand, où et comment). Une fois que vous avez identifié les personnes les plus à risque, à savoir vos VAP (Very Attacked People™, ou personnes très attaquées), vous devez déterminer qui est le plus vulnérable. Il peut s’agir d’utilisateurs disposant de privilèges plus élevés ou de collaborateurs peu intéressés par les formations de sécurité ou qui échouent aux simulations de phishing.

Toutes ces informations peuvent vous aider à adapter vos défenses et à mettre en place des protections là où elles seront les plus utiles. En protégeant vos collaborateurs et leurs boîtes de réception et en utilisant des formations de sensibilisation à la sécurité informatique pour changer leur comportement, vous serez dans les conditions idéales pour protéger votre roi.

Cependant, la cybersécurité, comme les échecs, est un jeu du chat et de la souris. Chaque coup peut être contré, et il faut parfois plusieurs « échecs » avant un « échec et mat ». C’est pourquoi il est essentiel de défendre vos réseaux et données depuis le gambit d’ouverture jusqu’à la fin de partie.

Vous avez apprécié cet article ?

Pour découvrir comment briser la chaîne d’attaque et protéger vos collaborateurs avec une sécurité centrée sur les personnes, visionnez le webinaire dans son intégralité : « Break the Attack Chain – Partie 1 : le gambit d’ouverture ».

Apprenez-en plus sur Proofpoint Email Protection et n’oubliez pas de revenir la semaine prochaine pour examiner avec nous la deuxième phase de la chaîne d’attaque — les déplacements latéraux et les élévations de privilèges.