L’évolution du paysage des menaces présente des risques et des coûts toujours croissants en raison de facteurs progressifs tels que les incitations financières pour les acteurs de la menace, la disponibilité des logiciels malveillants, l’expansion des surfaces d’attaque et la capacités sophistiquées de l’IA générative.
Parmi ces dernières, les entreprises adopter des solutions d’IA le font rapidement et souvent sans avoir pleinement conscience ni considération des risques encourus, tant du point de vue de la confidentialité des données que de leur protection.
La disponibilité de systèmes d’IA générative et de grands modèles de langage (LLM) comme ChatGPT dans les environnements d’entreprise présente de nombreux risques, notamment des attaques par injection indirecte et directe, qui peuvent contourner les contrôles LLM pour générer des logiciels malveillants et alimenter des attaques d’ingénierie sociale sophistiquées.
Mais alors que de nombreux responsables de la sécurité se concentrent désormais sur ces menaces sophistiquées, une technique rudimentaire se cache derrière de nombreuses attaques récentes. Le Rapport d’enquête sur les violations de données Verizon 2024 (DBIR) a constaté que l’exploitation des vulnérabilités pour l’entrée initiale des violations a triplé en 2023, augmentant de 108 %. Une fois l’accès initial obtenu, les attaquants peuvent lancer des attaques furtives et indétectables comme des ransomwares et des attaques d’extorsion pure.
En 2024, le nombre de vulnérabilités et d’expositions courantes à la sécurité informatique (CVE) dans le monde est de devrait augmenter de 25 pour cent, atteignant 34 888 vulnérabilités, soit environ 2 900 par mois – un volume écrasant pour toute équipe de remédiation.
Ce mélange moderne de techniques d’attaque rudimentaires et complexes place les organisations dans un état constant de risque omniprésent, exigeant le passage d’un état d’esprit plus traditionnel et réactionnaire à un état d’esprit préventif.
Pourquoi la gestion continue de l’exposition aux menaces est importante
Les lacunes dans les correctifs, les correctifs d’urgence et les variations globales d’utilisation des applications au sein d’une organisation contribuent tous au taux de réussite d’un attaquant lorsqu’il s’agit d’exploiter les vulnérabilités.
Du point de vue de la défense, les efforts de mise à jour des correctifs doivent être prioritaires sur les vulnérabilités qui ont une forte probabilité d’exploitabilité, mais même si les classements standard de gravité des vulnérabilités comme le Common Vulnerability Scoring System (CVSS) représentent la gravité, ils ne représentent pas toujours un risque. Dans de nombreux cas, les équipes manquent d’informations sur l’utilisation des applications, le contexte commercial et l’exploitabilité d’une vulnérabilité pour déterminer le risque réel.
Inventé par Gartner, Gestion continue de l’exposition aux menaces (CTEM) est une approche systémique et un programme utilisé pour identifier, évaluer et atténuer les vecteurs d’attaque et risques de sécurité liés aux actifs numériques.
En application, les équipes d’entreprise peuvent utiliser CTEM pour améliorer la gestion des vulnérabilités, en particulier lorsqu’il s’agit d’augmenter la vitesse et la quantité de correctifs et d’améliorer l’efficacité de la détection et de la réponse aux violations.
Par définition, un cycle CTEM complet définit cinq étapes clés :
Cadrage — Aligner les évaluations sur les principales priorités et risques de l’entreprise.
Découverte — Identifier de manière globale divers éléments au sein et au-delà de l’infrastructure de l’entreprise qui pourraient présenter des risques.
Priorisation — Identifier les menaces présentant la plus forte probabilité d’exploitation et signaler celles qui pourraient avoir l’impact le plus significatif sur une organisation.
Validation — Valider la manière dont les attaquants potentiels pourraient exploiter l’identification des vulnérabilités ou des expositions.
La mobilisation — Veiller à ce que toutes les parties prenantes soient informées et alignées sur les objectifs de remédiation et de mesure des risques.
Pourtant, même si de plus en plus d’entreprises adoptent une stratégie CTEM, les volumes de cyber-risques et de cyberattaques continuent d’augmenter. La plupart des solutions de sécurité disponibles aujourd’hui s’alignent techniquement sur le cadre CTEM. Cependant, on suppose que les technologies et les stratégies fonctionneront ensemble de manière transparente et resteront constantes, ce qui n’est tout simplement pas le cas.
Dans le fluide d’aujourd’hui paysage de la cybersécurité, les cas d’utilisation critiques tels que la surface d’attaque croissante, les ransomwares et les lacunes en matière de contrôle de sécurité rendent la nature de la sécurité de l’entreprise dynamique. Les techniques rudimentaires telles que l’exploitation des vulnérabilités et les méthodes d’attaque plus prospectives basées sur l’IA nécessitent des stratégies de défense adaptatives.
Explorer la cyber-résilience adaptative
Les stratégies actuelles, et la technologie utilisée pour les mettre en œuvre, reposent souvent sur une approche réactive qui éclaire les mécanismes de défense courants, notamment les signatures, les heuristiques et l’analyse du comportement, ainsi que les indicateurs d’attaque (IOA) et les indicateurs de compromis (IOC).
Cependant, pour contrer les menaces en constante évolution qui utilisent une combinaison de tactiques rudimentaires et sophistiquées, une stratégie proactive et en constante évolution est nécessaire pour renforcer le cadre de sécurité existant, le rendre plus résilient aux cyberattaques et fournir une défense plus robuste.
Cinq aspects clés forment une stratégie adaptative de cyber-résilience :
1) Surveillance continue — Assurer une surveillance continue des surfaces d’attaque internes et externes, ce qui est essentiel pour identifier et atténuer rapidement les menaces.
2) Agilité — La flexibilité intégrée à la stratégie permet une adaptation rapide aux paysages changeants des menaces à l’aide de processus et d’outils agiles.
3) Contrôles de sécurité adaptatifs —Intégrer les technologies émergentes pour garantir que les mesures de sécurité actuelles sont renforcées et soutenir un cadre complet de défense en profondeur.
4) Évaluations des risques — Remplacer les mesures statiques par des évaluations dynamiques des risques pour refléter le paysage des risques en temps réel et soutenir la prise de décision chronologique.
5) Validation continue — Assurer une validation régulière des contrôles et des processus de sécurité pour maintenir et améliorer la cyber-résilience.
Une architecture cyber-résiliente adaptative est conçue pour anticiper, résister, se remettre et s’adapter aux conditions défavorables, aux stress, aux attaques ou aux compromissions sur les cyber-ressources. En optimisant CTEM avec une approche adaptative, les équipes peuvent répondre efficacement à l’évolution des menaces en temps réel, leur permettant ainsi d’adopter une position proactive plutôt que de contrôler les dégâts de manière réactive.
Les contrôles compensatoires tels que l’application de correctifs virtuels constituent en outre un palliatif essentiel pour atténuer l’exploitation des vulnérabilités en empêchant les attaques sur les systèmes d’exploitation non corrigés et les vulnérabilités des applications. L’atténuation des contrôles tels que l’application de correctifs virtuels peut aider les équipes à mettre en œuvre des calendriers d’application de correctifs avec moins de perturbations commerciales et moins de ressources, créant ainsi une passerelle vers la cyber-résilience.
Alors que les cybermenaces continuent d’évoluer en complexité et en fréquence, les organisations doivent adopter une stratégie de cybersécurité aussi dynamique que les menaces qu’elles visent à combattre. La cartographie stratégique d’une stratégie adaptative de cyber-résilience peut bannir la complaisance en matière de cybersécurité qui accompagne la gestion traditionnelle des vulnérabilités.
Il s’agit d’une approche qui peut aider les dirigeants et leurs équipes à accélérer la réponse aux événements de violation, à minimiser les dommages causés par les violations et, plus important encore, à reprendre leurs activités comme d’habitude.
Articles Liés: