Renforcer la cyberrésilience ? Utilisez le framework MITRE ATT&CK comme étoile polaire

Ce blog se concentrera sur cyber-résilience et détection. La cyberrésilience peut concerner de nombreux domaines, mais cette série de contre-blogs se concentrera sur les techniques et les tactiques visant à aider votre organisation à mettre fin à une violation active et à découvrir ce qu'il faut mettre en place pour détecter la violation le plus rapidement possible. Je vais discuter de la façon dont Segmentation Zero Trust d'Illumio être utilisé à la fois pour la détection et la protection.

Commençons par le début et voyons comment nous pouvons y parvenir avec Illumio et en utilisant les outils existants dont vous disposez peut-être dans votre organisation. Avec les bons outils, vous pouvez être prêt à prévenir, à détecter et à réagir.

Fermez la porte d'entrée ! : Sécurisation de vos actifs critiques

Pour commencer, parlons d'un exemple concret.

Chacun a quelque chose de très spécial dans sa maison. Il peut s'agir d'un héritage familial, d'un bijou ou de quelques lingots d'or, si vous avez de la chance. Pour cet exemple, nous allons les appeler « actifs critiques ». « Ces objets spéciaux vous viennent toujours à l'esprit ; ils doivent être protégés à tout prix.

Que faites-vous traditionnellement pour protéger nos actifs critiques ?

Nos maisons ont des murs, des fenêtres et une porte pour les protéger de la pluie, du vent et des animaux. Si nous considérons cela en pourcentage, disons que cela permet d'éviter environ 50 % des risques liés à vos actifs critiques.

Les portes et les fenêtres sont agréables à avoir, mais elles peuvent toujours être ouvertes à tout moment. Nous y ajoutons des serrures pour éviter les 10 % de risques suivants. Nous sommes en train d'obtenir un périmètre plus sécurisé, mais comme tout, nous pouvons l'améliorer !

Ensuite, nous devons voir qui se trouve à l'extérieur de notre maison, s'il se faufile vers la porte ou la fenêtre la nuit. Nous avons installé un éclairage avec des détecteurs de mouvement qui s'éteignent lorsqu'ils détectent un mouvement. Aujourd'hui, nous bénéficions d'une protection supplémentaire de 2 % et, lentement mais sûrement, nous y parvenons.

Mais on ne peut pas rester debout toute la nuit à regarder les lumières s'allumer. Nous voulons être informés et les enregistrer lorsque cela se produit. Nous allons sur Internet, quelques clics plus tard, et le lendemain, un nouveau système de caméra apparaît avec un enregistrement activé par le mouvement, une caméra vidéo à sonnette et des capteurs de portes et de fenêtres ! Nous avons maintenant une couverture allant jusqu'à 70 %.

Le périmètre de votre maison est de plus en plus difficile à franchir, vous supposez donc que vos actifs critiques sont protégés en toute sécurité.

Mais lorsque vous rentrez chez vous un jour et que vous découvrez que la porte dérobée a été laissée ouverte par accident, vous paniquez à l'idée que vos actifs essentiels ont été volés. Cette fois, heureusement, rien ne s'est passé. Ouf, fais attention cette fois, mais ça fait réfléchir. Si quelqu'un avait découvert que la porte arrière de votre maison était ouverte, aurait-il pu s'emparer de vos biens essentiels ? Vous vous rendez compte que la sécurisation de votre maison contre une brèche n'est pas encore terminée.

Si vos actifs critiques ne sont sécurisés qu'à 70 %, comment pouvez-vous protéger complètement votre domicile contre une violation ? Laisse-moi être le premier à faire éclater ta bulle : tu ne le feras pas et tu ne peux pas. Les violations sont inévitables.

Pour vous préparer en cas de violation, vous devez séparer vos actifs critiques du reste de la maison. Ainsi, lorsqu'une partie de votre maison est violée, vous pouvez fermer la porte à vos actifs critiques et vous assurer que le malfaiteur ne peut pas y accéder.

J'espère que vous commencez à voir des similitudes entre l'exemple ci-dessus et la stratégie de cybersécurité de votre organisation. Nous verrons comment ces étapes sont liées aux meilleures pratiques de sécurité normales que tout le monde devrait suivre. cyber-résilience et détection.

Utiliser le framework MITRE ATT&CK pour renforcer la cyberrésilience

Le billet de Paul faisait référence à Cadre MITRE ATT&CK et pour cause. Il s'agit d'un schéma directeur de la façon dont les attaquants pensent, des mesures qu'ils prendront pour accéder à vos actifs critiques et de la manière de les arrêter à chaque phase.

Les équipes de sécurité peuvent utiliser ce cadre pour apprendre à protéger leur organisation contre les modèles d'attaque que les mauvais acteurs utilisent.

Les attaques qui atteignent l'extrême droite du cadre ci-dessous (exfiltration et impact) indiquent généralement qu'une organisation est en début de maturité en matière de sécurité.

Si un attaquant passe à la phase d'exfiltration, cela signifie que votre organisation est réactive face aux failles de sécurité. Vous espérez probablement que vos outils EDR peuvent à eux seuls arrêter une violation lorsqu'elle se produit, mais les violations fonctionnent rarement de cette façon.

Quel est le niveau de maturité de votre organisation en matière de sécurité ? Image de CISOSHARE.

Lorsqu'une violation se produit, l'objectif devrait être d'y mettre fin le plus tôt possible, et Zero Trust Segmentation peut vous aider à déterminer où s'arrêtent les outils EDR.

En fait, selon la société de sécurité offensive Bishop Fox, combiner radicalement détection et réponse avec Illumio a empêché un attaquant de se propager tout en détectant 4 fois plus vite.

Quelle est la prochaine étape ? Améliorer la maturité de votre organisation en matière de sécurité

Dans cette série, nous répondrons à la série de Paul et commencerons à décrire les étapes à suivre pour améliorer la maturité de votre organisation en matière de sécurité à l'aide de meilleures pratiques en matière de cybersécurité et Illumio Zero Trust Segmentation. Alors que les pirates informatiques évoluent constamment et modifient leur façon d'attaquer, ces tactiques d'équipe bleue peuvent vous aider à résister à l'épreuve du temps.

Avant le prochain article de blog, réfléchissez à la première étape pour améliorer la cyber-résilience pourrait l'être, et prenez des notes sur l'état de sécurité actuel de votre organisation. Vous pouvez les consulter au fur et à mesure pour voir comment vous vous situez.

Poursuivez votre lecture le mois prochain pour savoir comment empêcher les violations de se propager sur votre réseau le plus rapidement possible.

Vous souhaitez en savoir plus sur la segmentation Illumio Zero Trust ? Nous contacter aujourd'hui pour une consultation et une démonstration.