professionnel de la cybersécurité

Derrière les stratégies et solutions nécessaires pour contrer les cybermenaces d’aujourd’hui se cachent des chercheurs en cybersécurité dévoués. Ils passent leur vie à disséquer le code et à analyser les rapports d’incident pour découvrir comment arrêter les méchants.

Mais qu’est-ce qui motive ces spécialistes? Pour comprendre les raisons pour lesquelles ces professionnels de la cybersécurité font ce qu’ils font, nous avons décidé de discuter avec des analystes en cybersécurité du monde entier.

Pour obtenir des points de vue de toute l’Europe, de l’Asie et des Amériques, nous nous sommes récemment entretenus avec une équipe de chercheurs du réseau mondial d’Acronis des centres d’opérations de cybersécurité (CPOC): Candid Wüest, Vice-président de la recherche sur la cybersécurité basé en Suisse; Alexandre Ivanyuk, Directeur principal, positionnement des produits et de la technologie, basé à Singapour; et deux analystes cybersécurité, Topher Tebow et Blake Collins, qui sont tous deux basés aux États-Unis

La conversation a donné des informations intéressantes sur leur vision du monde, leur approche de l’analyse des cybermenaces et les risques qui ressortent comme les plus grands défis auxquels le domaine de la cybersécurité est aujourd’hui confronté.

En tant qu’analyste de la sécurité, qu’est-ce qui vous pousse à faire ce genre de travail?

Alors que les motivations individuelles pour lesquelles ces chercheurs en cybersécurité font ce qu’ils font variaient d’une personne à l’autre (comme ils le feraient dans n’importe quel secteur), deux traits étaient au centre des préoccupations: l’amour de la résolution de problèmes et le désir d’être les bons.

Wüest a expliqué: “Je suis une personne curieuse qui aime les énigmes et les défis. Par conséquent, suivre les cyberattaques et trouver des moyens de perturber efficacement leur processus me fascine.”

Collins a fait écho à ce sentiment en disant: “Les logiciels malveillants me fascinent car ils peuvent être un peu un casse-tête. Comment y est-il arrivé, que fait-il et qui en est responsable? tellement satisfaisant. De plus, lorsque vous supprimez une menace, vous avez le sentiment de rendre le monde meilleur. “

Cette volonté de rendre le monde numérique plus sûr a également été partagée par d’autres. Tebow a expliqué: «À certains égards, écrire des règles de détection ou signaler un nouveau serveur C2, cela ressemble à une justice justicière. Je ne suis peut-être pas toujours Batman, mais c’est quand même incroyable d’être Alfred – soutenir l’effort pour éliminer les criminels.»

Wüest reconnaît que faire d’Internet un endroit plus sûr pour tous a un impact réel. “Il est dérangeant de voir que certains cyber-attaques ont détruit des vies dans le monde réel. Je voudrais donc apporter ma contribution pour améliorer la situation. ”

Leurs efforts pour résoudre les problèmes et prévenir les attaques sont absolument nécessaires. Pendant que 75% des entreprises déclarent avoir mis en place toutes les mesures de sécurité recommandées, plus de la moitié ont vu des temps d’arrêt imprévus en raison de la perte de données l’année dernière.

Quelle est la plus grande surprise que vous ayez rencontrée au cours de votre carrière en tant qu’analyste en sécurité?

Même après 55 ans combinés dans la cybersécurité, ces chercheurs trouvent encore des surprises dans leur travail quotidien.

D’un point de vue technique, dit Collins, “le volume même de logiciels malveillants qui existe me surprend. Si vous suivez l’actualité de la cybersécurité, vous avez une idée générale que les logiciels malveillants sont partout, causant des problèmes. Mais dans les coulisses, vous commencez à apprécier à quel point le nombre de variantes de logiciels malveillants est de. “

Tout aussi intimidant, a ajouté Wüest, est le temps qu’il faut pour changer les mauvaises habitudes. «En tant qu’industrie, nous nous battons toujours beaucoup avec d’anciens concepts de problèmes tels que les injections SQL, les mots de passe par défaut faibles ou les données sensibles non chiffrées. Il existe des solutions à ces problèmes, mais elles ne sont pas appliquées aussi largement qu’elles devraient l’être. un énorme scandale de confidentialité, il y a un tollé initial, mais les gens retombent rapidement dans leurs vieilles habitudes. ”

Ces habitudes, malheureusement, peuvent conduire à quelque chose de pire: l’apathie. «La plus grande surprise est la complaisance des professionnels de la cybersécurité», a déclaré Tebow. «C’est stupéfiant pour moi de voir combien de fois j’ai rencontré une attitude« c’est comme ça ». J’adorerais voir un plus grand nombre de professionnels s’enthousiasmer pour le défi de vaincre les cybercriminels, même en célébrant les petites victoires en cours de route. . “

Quelles tendances ou techniques avez-vous trouvées les plus efficaces pour identifier ou contrer les nouvelles cybermenaces?

Compte tenu du flot de nouvelles menaces, qui ne cesse d’augmenter maintenant que les attaquants utilisent l’automatisation et les optimisations AI / ML, Wüest est un partisan de solutions de protection indépendantes des menaces.

«Au lieu d’essayer d’identifier les 4 millions de nouveaux échantillons de logiciels malveillants qui apparaissent chaque semaine, concentrez-vous sur la protection de vos données contre toute falsification ou chiffrement indésirable, quel que soit l’aspect du logiciel malveillant. Une surveillance intelligente du comportement qui va au-delà du contexte des processus peut être un arme efficace contre les cybermenaces modernes. “

En tant que responsable de la recherche sur la cybersécurité, il ajoute que l’analyse du comportement des entités utilisateur (UEBA) combinée à Zero Trust, Secure Access Service Edge (SASE) et l’authentification multifacteur (MFA) est prometteuse, en particulier compte tenu du travail actuel de n’importe où. -avec-la réalité – mais il a averti qu’il n’y avait pas de solution miracle.

«Une approche intégrée à travers les silos avec une automatisation et une visibilité efficaces est essentielle, mais il en va de même pour les bases – telles que l’authentification forte et la gestion des correctifs – que trop d’organisations ignorent encore.

Ivanyuk a convenu, affirmant que “l’utilisation d’heuristiques comportementales et de modèles IA / ML appropriés est essentielle pour identifier les incursions, mais des choses simples comme la MFA et la gestion basée sur les rôles, soutenues par des évaluations de vulnérabilité constantes et la gestion des correctifs, sont étonnamment efficaces pour prévenir les attaques.”

Pour rendre ces types de solutions automatisées possibles, Collins dit que la capacité de distiller un comportement ou un code généralement malveillant jusqu’à une simple règle ou signature lui a bien servi.

“Ces types de détections vous permettent de diffuser un large réseau qui peut apporter de nouveaux logiciels malveillants non détectés à des fins d’analyse.”

Tebow a noté que l’analyse des tendances est également une technique efficace. Lors de ses recherches sur les logiciels malveillants de cryptojacking, il a décidé d’examiner les tendances générales de la crypto-monnaie. “J’ai constaté que les pics et les baisses du cryptojacking suivaient la hausse et la baisse de la valeur de la crypto-monnaie. Cela nous a donné une longueur d’avance de 24 à 48 heures pour nous défendre contre la prochaine vague d’attaques et savoir quelle crypto-monnaie rechercher.”

Y a-t-il eu des incidents où la sophistication de l’attaque vous a surpris ou même impressionné?

Alors qu’Ivanyuk cite des classiques comme l’attaque Stuxnet et le récent hack SolarWinds comme de bons exemples, Collins note que ce n’est pas toujours la sophistication d’une attaque qui est impressionnante.

«Je suis toujours impressionné par les exploits que les acteurs malveillants peuvent trouver», a-t-il déclaré. “Il y a quelques années, il y avait un bogue dans PHP7 qui permettait à RCE qui était étonnamment facile à utiliser en passant un paramètre avec une charge utile dans une adresse Web. Parfois, plus l’exploit est simple, plus il est impressionnant.”

Wüest, qui faisait partie de l’équipe qui a mené l’une des premières analyses approfondies de Stuxnet, a déclaré que certains attaquants de ransomware avaient adopté une approche intéressante en utilisant une console cloud de sauvegarde non protégée.

«Ils ont volé des données sensibles en créant une nouvelle sauvegarde vers un emplacement cloud sous leur contrôle. Ensuite, ils ont utilisé le logiciel de sauvegarde pour restaurer les logiciels malveillants sur les charges de travail critiques au sein de l’organisation. C’était une utilisation impressionnante de techniques de vie hors du terrain, retourner contre eux la propre infrastructure de confiance de la victime. ”

Pouvez-vous classer les menaces de sécurité qui vous préoccupent le plus et expliquer pourquoi?

Ces quatre chercheurs en cybersécurité ont convenu que les ransomwares restent la plus grande menace pour la sécurité aujourd’hui, en particulier compte tenu du passage du simple cryptage des données à l’exfiltration des données.

«Les ransomwares ciblés sont en tête de ma liste car le schéma de double extorsion, où les données sont volées et les charges de travail sont cryptées, peut être très rentable pour les attaquants», a déclaré Wüest. «Avec des demandes de rançon atteignant 50 millions de dollars, il n’y a aucune raison pour que les cybercriminels s’arrêtent. Les techniques appliquées ont longtemps été fusionnées avec des méthodes APT telles que vivre de la terre ou l’exploitation de services exposés comme la vulnérabilité Exchange ProxyLogon, ce qui rend plus difficile la détecter de manière fiable. ”

Au cours des 15 derniers mois, les analystes d’Acronis CPOC ont trouvé des preuves que plus de 1 600 entreprises à travers le monde avaient perdu leurs données suite à une attaque de ransomware, c’est pourquoi ils ont surnommé 2021 «l’année de l’extorsion».

«C’est à un point que j’hésite même à les appeler plus encore des gangs de ransomwares», a ajouté Tebow. “J’ai commencé à les appeler des gangs d’extorsion. L’exfiltration des données et la menace de divulguer tout ce qui est sensible sont devenues une méthode principale d’extorsion, à laquelle ils ajoutent des demandes de rançon croissantes après une période initiale et menaçant d’attaques supplémentaires, comme un DDoS, si la rançon n’est pas payée. “

«Les ransomwares leur permettent d’obtenir de l’argent dans des crypto-monnaies introuvables, tandis que voler de l’argent via les services bancaires en ligne augmente les chances qu’ils soient attrapés plus tard», a expliqué Ivanyuk. “Le problème est que les ransomwares continuent de bien fonctionner, d’autant plus que les particuliers et les entreprises ne sont toujours pas informés sur les ransomwares.”

En fait, une récente enquête Acronis auprès des utilisateurs et des professionnels de l’informatique du monde entier a révélé 25% des utilisateurs ne savait pas ce qu’est un ransomware.

Au-delà des ransomwares, les quatre chercheurs s’attendent tous à voir une augmentation des attaques de la chaîne d’approvisionnement comme la violation de SolarWinds. «Il existe de nombreuses variantes de ces attaques, de la compromission d’un fournisseur de logiciels à l’injection de code dans un référentiel de code open source», a déclaré Wüest

“En raison de la nature de la chaîne de confiance, il peut être presque impossible d’identifier une telle manipulation avant qu’il ne soit trop tard, car elle est téléchargée à la demande à partir d’une source fiable et vérifiée par le certificat numérique officiel. De telles attaques ne sont pas simples à créer, mais continueront d’augmenter à l’avenir, car ils réussissent même avec des cibles bien protégées. “

Tebow a ajouté qu’il y avait un risque supplémentaire que quiconque dans la cybersécurité devrait rester concentré – qu’il soit chercheur ou en première ligne.

“Je vois le désir des analystes et des organisations de” le faire par eux-mêmes “comme une menace énorme”, a-t-il averti. “Si nous maintenons la méthode cloisonnée de la vieille école de lutte contre la cybercriminalité, nous n’avons aucun espoir de vaincre les cybercriminels. Ce n’est qu’en travaillant ensemble que nous avons une chance de gagner de grandes batailles contre les cybercriminels.”

À propos des centres d’opérations d’Acronis Cyber ​​Protection: Acronis gère un réseau mondial de centres d’opérations de protection cybernétique, avec des sites à Singapour, en Arizona et en Suisse, qui permettent aux analystes du CPOC d’utiliser une approche de suivi du soleil pour des opérations 24 heures sur 24. Les analystes détectent, analysent et préparent les réponses aux nouveaux risques liés aux données, des dernières cyberattaques aux catastrophes naturelles. Les informations recueillies sont utilisées pour émettre des alertes de menace afin de protéger les environnements des clients et aider l’entreprise à développer ses solutions de cyberprotection.



Leave a Reply