Marvel nous divertit depuis 20 ans. Nous avons vu des dieux, des super-soldats, des magiciens et d’autres héros irradiés combattre des méchants à l’échelle galactique. L’éternel combat du bien contre le mal. Un peu comme en cybersécurité, les gars du bien combattent les cybercriminels.
Si nous choisissons d’utiliser cette analogie amusante, y a-t-il quelque chose d’utile que nous pouvons apprendre de ces films ?
Les méchants de la fin du monde viennent toujours avec une armée
Quand on regarde les différents films d’Avenger, la première chose qu’on se rend compte, c’est que les grands méchants ne se battent jamais seuls. Pensez à Ultron et son armée de robots, à Thanos ou à Loki avec les Chitauri. Ils sont tous livrés avec de grandes armées proxy de clones génériques que les héros doivent combattre avant d’atteindre le boss final.
De la même manière, des cyberattaques graves sont planifiées et livrées par des groupes organisés et structurés de cybercriminels tels que les groupes APT avec parfois des centaines de membres. Dans des scénarios réels, les attaques proviennent d’adresses IP (une ou plusieurs) qui ont été volées, piratées ou achetées par les criminels. Les IP sont leur armée de proxy sans visage et si vous voulez atteindre les attaquants, vous devez d’abord brûler cette armée d’IP.
Alors comment faire ? Vous pouvez les combattre seul et très probablement échouer, ou vous pouvez faire équipe avec d’autres super-héros comme le font les Avengers, et vous pourriez avoir une chance de riposter. Le mot-clé ici est de faire équipe et de tirer parti de la collaboration ou de l’intelligence collective.
Plus concrètement, il s’agit par exemple de partager des informations sur les attaques. La plupart des attaques laissent des traces dans différents journaux de systèmes, de services ou d’applications qui peuvent donner des indications sur les adresses IP et les types d’attaques de l’attaquant. Les partager avec d’autres utilisateurs peut aider à la correction préventive si ces adresses IP apparaissent dans les journaux d’autres personnes.
Imaginez ceci : les IP des minions d’Ultron attaquent votre serveur. Votre IDS détectera leur activité dans vos journaux, et si vous disposez d’un IPS efficace, vous pourriez empêcher ces IP de causer d’autres dommages. Mais que diriez-vous de partager ces IP Ultron avec votre voisin ? Ou toutes les autres personnes sur Terre ? Et si toutes les personnes sur Terre bloqueraient préventivement ces IP ? L’armée d’Ultron ne peut plus faire de mal. Tout ce qu’il peut faire maintenant, c’est arrêter de conquérir la Terre (ou construire une nouvelle armée). Mais dans tous les cas, tu as gagné. Tout cela est dû au pouvoir de la foule.
Iron Man n’a pas vaincu Thanos seul
Regardons de plus près la liste de l’équipe d’Avenger. Vous connaissez tous leurs noms et leurs pouvoirs respectifs. Mais avez-vous pensé à leur complémentarité ? Hulk est le tank, Thor le gros frappeur. Cap est le stratège et il peut infliger des dégâts rapprochés si nécessaire. Iron Man est l’expert en attaque à distance. Hawkeye est le tireur d’élite qui ne manque jamais. Et Widow l’espion parfait. Ils apportent tous des compétences et des pouvoirs différents à la table, rendant l’équipe si efficace (et cool).
Mais revenons à la cybersécurité. Il existe de nombreux outils qui peuvent aider à prévenir les attaques. Certains peuvent être efficaces dans des situations spécifiques, mais il n’y a pas un seul anneau pour les gouverner tous (ooups, mauvais univers 😉). Une solution EDR peut protéger vos endpoints mais ne sera pas utile pour contrer un DDoS. Un outil SIEM vous aidera à centraliser l’intelligence mais n’aidera pas à lutter activement contre les activités malveillantes. Un IDS détectera les trucs géniaux en cours dans les journaux mais n’agira pas sur eux.
Ainsi, comme les Avengers, vous avez besoin d’une équipe de solutions qui fonctionnent bien ensemble et couvrent autant de scénarios que possible. Tout d’abord, vous devez détecter et agir. Choisissez un IDS et un IPS. Combinez-le avec un CTI pour obtenir des données tierces afin d’enrichir votre base de données de menaces. Ajoutez des compétences en cybersécurité pour fonctionner efficacement. Vous obtenez le combo le plus efficace pour contrer les menaces.
Est-ce facile à mettre en mouvement ? Eh bien, cela nécessite certainement du travail. L’interfaçage de ces outils, en s’assurant que les données circulent efficacement entre tous ces composants, peut être difficile mais, au final, très gratifiant.
Des Avengers aux héros réels
Crowd intelligence et solution intégrée. C’était l’idée derrière la création de CrowdSec.
La cybersécurité est un jeu asymétrique dans lequel les attaquants ont toujours l’initiative, ce qui rend le problème difficile à résoudre pour la plupart des entreprises et des personnes. Vous pouvez jeter de l’argent ou de la technologie sur le problème, mais rien ne garantira son efficacité.
CrowdSec propose quelque chose de nouveau, quelque chose qui n’a jamais été essayé auparavant à cette échelle. Un IPS et un IDS collaboratifs qui utilisent l’intelligence de foule pour bloquer les attaques. Collaboration entre les utilisateurs pour créer une base de données IP réputée et organisée afin de s’assurer que les utilisateurs sont protégés en temps réel contre les Ultrons et les Thanoses de ce monde. En gros, les utilisateurs contribuent avec des signaux – activité IP signalée comme suspecte : cela peut aller de la force brute au bourrage de cartes de crédit ou au scalping via DDoS – et reçoivent régulièrement une liste de blocage mise à jour des adresses IP qui doivent être « tirées à vue » si ils apparaissent dans les journaux. Pensez, Waze de la cybersécurité.
Les attaquants se cachent derrière les IP. Si nous, en tant que communauté, pouvons brûler ces IP, les attaquants n’auront plus de munitions et reculeront.
Si vous souhaitez rejoindre la communauté CrowdSec, consultez le site officiel. Oh, et c’est gratuit et open-source !
