Les solutions de Breach and Attack Simultation (BAS) ont commencé à se développer en Europe et en France au cours de l’année 2022.
Elles apportent une nouvelle dimension au combat cyber : celle de la mesure de l’efficacité réelle de la détection et de la réaction. Les CISO’s ne veulent plus se contenter des promesses des éditeurs de solutions cyber (xDR, DLP, IP/DS, PXY,...), ou des fournisseurs de services (SOC, NOC, MSSP,...).
Ils expriment le besoin d’une maîtrise renforcée de leurs moyens de SecOps en lien avec l’évolution de la nature des attaques cyber et la perte de contrôle liée à la cloudification.
Ce besoin repose sur deux axes : Humain et Technologique.
Les résultats de l’étude reposent sur 85 campagnes de simulation réalisées sur 11 pays en 2022."
Chaque jour, plus de 400,000 nouveaux types de cyber-malveillances sont répertoriées par des analystes de sécurité. Cela veut dire que chaque minute, plus de 250 nouvelles armes sont lancées dans le cyber-espace. Parfois les modes opératoires utilisés par les pirates se ressemblent énormément les unes aux autres. D’autres fois, les blackhats font plus preuve d’originalité dans leur quête des territoires inconnus…
Chaque jour, plus de 400,000 nouveaux types de cyber-malveillances sont répertoriées par des analystes de sécurité. Cela veut dire que chaque minute, plus de 250 nouvelles armes sont lancées dans le cyber-espace. Parfois les modes opératoires utilisés par les pirates se ressemblent énormément les unes aux autres. D’autres fois, les blackhats font plus preuve d’originalité dans leur quête des territoires inconnus…
L'année dernière, les téléchargements de logiciels malveillants inconnus ont augmenté de plus de 900% avec plus de 970 téléchargements par heure comparativement à 106 l'année précédente.
Virus malveillants connus et inconnus, bots et vulnérabilités sur les mobiles, découvrez où votre organisation est la plus exposée dans le Rapport de Sécurité Check Point 2016.
Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...RECOVEO
Sauvegardes anciennes, incomplètes ou sabotées ? Payer la rançon ou repartir de 0 : quelle alternative ?
Suite à de nombreuses demandes d’interventions post cyberattaques, Recoveo a souhaité partager son retour d’expérience afin d’éviter tout risque d’aggravation de l’environnement dans le cadre d’infection par ransomware.
Télécharger la version originale ici : https://www.raid112.com/livre-blanc-collectivites
Gardez à l’esprit que la détection d’anomalies et la compréhension d’un comportement malveillant, ainsi que la détection de menaces, sont des activités ayant pour but des objectifs très différents.
Pour assurer l’avenir de la cybersécurité, nous aurons besoin des deux.
Des nouveaux systèmes de protection des données doivent répondre à des menaces de plus en plus dévastatrices, qui font leur apparition avec l'augmentation de la sophistication des technologies. Répondre à ces défis nécessite un système qui est capable d'observer les activités entourant les précieuses données de votre organisation.
Toutes les entreprises connectées à internet sont vulnérables aux
cyber attaques. Sans une bonne protection, elles s’exposent à des pertes substantielles. Déployer un programme fiable de gestion des vulnérabilités s’avère donc essentiel. Celui-ci doit couvrir plusieurs aspects, qu'un responsable en cyber sécurité doit toujours garder à l'esprit. Nous vous les présenterons dans ce rapport.
Livre blanc : 10 conseils pour récupérer ses données suite à une cyberattaque...RECOVEO
Sauvegardes anciennes, incomplètes ou sabotées ? Payer la rançon ou repartir de 0 : quelle alternative ?
Suite à de nombreuses demandes d’interventions post cyberattaques, Recoveo a souhaité partager son retour d’expérience afin d’éviter tout risque d’aggravation de l’environnement dans le cadre d’infection par ransomware.
Télécharger la version originale ici : https://www.raid112.com/livre-blanc-ransomware
Livre Blanc DSI : 10 conseils empiriques pour récupérer ses données suite à u...RECOVEO
Sauvegardes anciennes, incomplètes ou sabotées ? Payer la rançon ou repartir de 0 : quelle alternative ?
Suite à de nombreuses demandes d’interventions post cyberattaques, Recoveo a souhaité partager son retour d’expérience afin d’éviter tout risque d’aggravation de l’environnement dans le cadre d’infection par ransomware.
Télécharger la version originale ici : https://www.raid112.com/livre-blanc-ransomware-dsi
Une plaquette commerciale des services actuellement proposés par Mon Cloud. Inventaire, ticketing, supervision, sauvegarde, sécurisation de la messagerie, sensibilisation à la cybersécurité et au RGPD, serveurs à la demande...
Les cyberattaques frappent rapidement et sans relâche. Chaque vague devient plus ciblée, évasive et potentiellement plus mortelle pour votre organisation. Selon Cybercrime: The CredentialConnection d’IDC, plus de 70 % des atteintes réussies aux données commencent sur les points de terminaison, de sorte que la nécessité d’une sécurité efficace des points de terminaison est claire.SandBlastAgent est une protection complète des points de terminaison et une solution EDR qui offre des technologies de prévention des menaces pour la défense de haut niveau contre les cyberattaques connues et inconnues à jour zéro. Une stratégie de prévention des menaces d’abord contrecarre les attaques avant qu’elles ne puissent déclencher leur destruction sur votre organisation.
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm
Cette formation représente la première partie d’une suite de formation relative aux techniques essentiel pour un analyste SOC et bien plus encore.
Elle permet d’avoir des compétences fonctionnelles pour tout analyste SOC qui souhaite commencer dans ce métier ou encore pour toute personne travaillante ou souhaitant travailler dans la sécurité défensive : les Blue teams.
Les équipes bleues font référence à l'équipe de sécurité interne qui défend l’organisme contre les menaces et les cyberattaques.
Le Blue Teaming peut englober beaucoup de métiers : Analyste SOC, Incident Responder, Threat Hunte et même administrateurs !
C’est d’abord une mentalité de vigilance constante contre les acteurs de menaces, qui consiste à défendre, de protéger les organismes mais aussi de durcir les mécanismes de défense et rendre la réponse aux incidents beaucoup plus efficace.
Revue des différents types de menaces informatiques, analyse de l'évolution des attaques informatiques, étude de cas avec WannaCry, psychologie du marché de la sécurité informatique, évolution de la réglementation
Etant donné le tumultueux cyber-environnement dans lequel nous vivons aujourd’hui, les organisations deviennent de plus en plus conscientes de l’importance de la protection des endpoints liés au réseau.
This amazing and unique event has taking place last saturday (29 Sept 2018) and has allowed cybersecurity enthusiasts from several regions of the Cameroon to meet and boost their capacity around a theme worthy of interest: APT type attacks.
During this workshop, the main focus was on exploring the MITRE approach with its ATT&CK framework for adversaries simulation, APT simulation.
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Laurent Speyser
(Conférence dessinée)
Vous êtes certainement à l’origine, ou impliqué, dans un changement au sein de votre organisation. Et peut être que cela ne se passe pas aussi bien qu’attendu…
Depuis plusieurs années, je fais régulièrement le constat de l’échec de l’adoption de l’Agilité, et plus globalement de grands changements, dans les organisations. Je vais tenter de vous expliquer pourquoi ils suscitent peu d'adhésion, peu d’engagement, et ils ne tiennent pas dans le temps.
Heureusement, il existe un autre chemin. Pour l'emprunter il s'agira de cultiver l'invitation, l'intelligence collective , la mécanique des jeux, les rites de passages, .... afin que l'agilité prenne racine.
Vous repartirez de cette conférence en ayant pris du recul sur le changement tel qu‘il est généralement opéré aujourd’hui, et en ayant découvert (ou redécouvert) le seul guide valable à suivre, à mon sens, pour un changement authentique, durable, et respectueux des individus! Et en bonus, 2 ou 3 trucs pratiques!
L'année dernière, les téléchargements de logiciels malveillants inconnus ont augmenté de plus de 900% avec plus de 970 téléchargements par heure comparativement à 106 l'année précédente.
Virus malveillants connus et inconnus, bots et vulnérabilités sur les mobiles, découvrez où votre organisation est la plus exposée dans le Rapport de Sécurité Check Point 2016.
Livre Blanc collectivités : 10 conseils empiriques pour récupérer ses données...RECOVEO
Sauvegardes anciennes, incomplètes ou sabotées ? Payer la rançon ou repartir de 0 : quelle alternative ?
Suite à de nombreuses demandes d’interventions post cyberattaques, Recoveo a souhaité partager son retour d’expérience afin d’éviter tout risque d’aggravation de l’environnement dans le cadre d’infection par ransomware.
Télécharger la version originale ici : https://www.raid112.com/livre-blanc-collectivites
Gardez à l’esprit que la détection d’anomalies et la compréhension d’un comportement malveillant, ainsi que la détection de menaces, sont des activités ayant pour but des objectifs très différents.
Pour assurer l’avenir de la cybersécurité, nous aurons besoin des deux.
Des nouveaux systèmes de protection des données doivent répondre à des menaces de plus en plus dévastatrices, qui font leur apparition avec l'augmentation de la sophistication des technologies. Répondre à ces défis nécessite un système qui est capable d'observer les activités entourant les précieuses données de votre organisation.
Toutes les entreprises connectées à internet sont vulnérables aux
cyber attaques. Sans une bonne protection, elles s’exposent à des pertes substantielles. Déployer un programme fiable de gestion des vulnérabilités s’avère donc essentiel. Celui-ci doit couvrir plusieurs aspects, qu'un responsable en cyber sécurité doit toujours garder à l'esprit. Nous vous les présenterons dans ce rapport.
Livre blanc : 10 conseils pour récupérer ses données suite à une cyberattaque...RECOVEO
Sauvegardes anciennes, incomplètes ou sabotées ? Payer la rançon ou repartir de 0 : quelle alternative ?
Suite à de nombreuses demandes d’interventions post cyberattaques, Recoveo a souhaité partager son retour d’expérience afin d’éviter tout risque d’aggravation de l’environnement dans le cadre d’infection par ransomware.
Télécharger la version originale ici : https://www.raid112.com/livre-blanc-ransomware
Livre Blanc DSI : 10 conseils empiriques pour récupérer ses données suite à u...RECOVEO
Sauvegardes anciennes, incomplètes ou sabotées ? Payer la rançon ou repartir de 0 : quelle alternative ?
Suite à de nombreuses demandes d’interventions post cyberattaques, Recoveo a souhaité partager son retour d’expérience afin d’éviter tout risque d’aggravation de l’environnement dans le cadre d’infection par ransomware.
Télécharger la version originale ici : https://www.raid112.com/livre-blanc-ransomware-dsi
Une plaquette commerciale des services actuellement proposés par Mon Cloud. Inventaire, ticketing, supervision, sauvegarde, sécurisation de la messagerie, sensibilisation à la cybersécurité et au RGPD, serveurs à la demande...
Les cyberattaques frappent rapidement et sans relâche. Chaque vague devient plus ciblée, évasive et potentiellement plus mortelle pour votre organisation. Selon Cybercrime: The CredentialConnection d’IDC, plus de 70 % des atteintes réussies aux données commencent sur les points de terminaison, de sorte que la nécessité d’une sécurité efficace des points de terminaison est claire.SandBlastAgent est une protection complète des points de terminaison et une solution EDR qui offre des technologies de prévention des menaces pour la défense de haut niveau contre les cyberattaques connues et inconnues à jour zéro. Une stratégie de prévention des menaces d’abord contrecarre les attaques avant qu’elles ne puissent déclencher leur destruction sur votre organisation.
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm
Cette formation représente la première partie d’une suite de formation relative aux techniques essentiel pour un analyste SOC et bien plus encore.
Elle permet d’avoir des compétences fonctionnelles pour tout analyste SOC qui souhaite commencer dans ce métier ou encore pour toute personne travaillante ou souhaitant travailler dans la sécurité défensive : les Blue teams.
Les équipes bleues font référence à l'équipe de sécurité interne qui défend l’organisme contre les menaces et les cyberattaques.
Le Blue Teaming peut englober beaucoup de métiers : Analyste SOC, Incident Responder, Threat Hunte et même administrateurs !
C’est d’abord une mentalité de vigilance constante contre les acteurs de menaces, qui consiste à défendre, de protéger les organismes mais aussi de durcir les mécanismes de défense et rendre la réponse aux incidents beaucoup plus efficace.
Revue des différents types de menaces informatiques, analyse de l'évolution des attaques informatiques, étude de cas avec WannaCry, psychologie du marché de la sécurité informatique, évolution de la réglementation
Etant donné le tumultueux cyber-environnement dans lequel nous vivons aujourd’hui, les organisations deviennent de plus en plus conscientes de l’importance de la protection des endpoints liés au réseau.
This amazing and unique event has taking place last saturday (29 Sept 2018) and has allowed cybersecurity enthusiasts from several regions of the Cameroon to meet and boost their capacity around a theme worthy of interest: APT type attacks.
During this workshop, the main focus was on exploring the MITRE approach with its ATT&CK framework for adversaries simulation, APT simulation.
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Laurent Speyser
(Conférence dessinée)
Vous êtes certainement à l’origine, ou impliqué, dans un changement au sein de votre organisation. Et peut être que cela ne se passe pas aussi bien qu’attendu…
Depuis plusieurs années, je fais régulièrement le constat de l’échec de l’adoption de l’Agilité, et plus globalement de grands changements, dans les organisations. Je vais tenter de vous expliquer pourquoi ils suscitent peu d'adhésion, peu d’engagement, et ils ne tiennent pas dans le temps.
Heureusement, il existe un autre chemin. Pour l'emprunter il s'agira de cultiver l'invitation, l'intelligence collective , la mécanique des jeux, les rites de passages, .... afin que l'agilité prenne racine.
Vous repartirez de cette conférence en ayant pris du recul sur le changement tel qu‘il est généralement opéré aujourd’hui, et en ayant découvert (ou redécouvert) le seul guide valable à suivre, à mon sens, pour un changement authentique, durable, et respectueux des individus! Et en bonus, 2 ou 3 trucs pratiques!
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO Technology
En cette année 2024 qui s’annonce sous le signe de la complexité, avec :
- L’explosion de la Gen AI
-Un contexte socio-économique sous tensions
- De forts enjeux sur le Sustainable et la régulation IT
- Une archipélisation des lieux de travail post-Covid
Découvrez les Tech trends incontournables pour délivrer vos produits stratégiques.
L'IA connaît une croissance rapide et son intégration dans le domaine éducatif soulève de nombreuses questions. Aujourd'hui, nous explorerons comment les étudiants utilisent l'IA, les perceptions des enseignants à ce sujet, et les mesures possibles pour encadrer ces usages.
Constat Actuel
L'IA est de plus en plus présente dans notre quotidien, y compris dans l'éducation. Certaines universités, comme Science Po en janvier 2023, ont interdit l'utilisation de l'IA, tandis que d'autres, comme l'Université de Prague, la considèrent comme du plagiat. Cette diversité de positions souligne la nécessité urgente d'une réponse institutionnelle pour encadrer ces usages et prévenir les risques de triche et de plagiat.
Enquête Nationale
Pour mieux comprendre ces dynamiques, une enquête nationale intitulée "L'IA dans l'enseignement" a été réalisée. Les auteurs de cette enquête sont Le Sphynx (sondage) et Compilatio (fraude académique). Elle a été diffusée dans les universités de Lyon et d'Aix-Marseille entre le 21 juin et le 15 août 2023, touchant 1242 enseignants et 4443 étudiants. Les questionnaires, conçus pour étudier les usages de l'IA et les représentations de ces usages, abordaient des thèmes comme les craintes, les opportunités et l'acceptabilité.
Résultats de l'Enquête
Les résultats montrent que 55 % des étudiants utilisent l'IA de manière occasionnelle ou fréquente, contre 34 % des enseignants. Cependant, 88 % des enseignants pensent que leurs étudiants utilisent l'IA, ce qui pourrait indiquer une surestimation des usages. Les usages identifiés incluent la recherche d'informations et la rédaction de textes, bien que ces réponses ne puissent pas être cumulées dans les choix proposés.
Analyse Critique
Une analyse plus approfondie révèle que les enseignants peinent à percevoir les bénéfices de l'IA pour l'apprentissage, contrairement aux étudiants. La question de savoir si l'IA améliore les notes sans développer les compétences reste débattue. Est-ce un dopage académique ou une opportunité pour un apprentissage plus efficace ?
Acceptabilité et Éthique
L'enquête révèle que beaucoup d'étudiants jugent acceptable d'utiliser l'IA pour rédiger leurs devoirs, et même un quart des enseignants partagent cet avis. Cela pose des questions éthiques cruciales : copier-coller est-il tricher ? Utiliser l'IA sous supervision ou pour des traductions est-il acceptable ? La réponse n'est pas simple et nécessite un débat ouvert.
Propositions et Solutions
Pour encadrer ces usages, plusieurs solutions sont proposées. Plutôt que d'interdire l'IA, il est suggéré de fixer des règles pour une utilisation responsable. Des innovations pédagogiques peuvent également être explorées, comme la création de situations de concurrence professionnelle ou l'utilisation de détecteurs d'IA.
Conclusion
En conclusion, bien que l'étude présente des limites, elle souligne un besoin urgent de régulation. Une charte institutionnelle pourrait fournir un cadre pour une utilisation éthique.
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...OCTO Technology
Par Nicolas Bordier (Consultant numérique responsable @OCTO Technology) et Alaric Rougnon-Glasson (Sustainable Tech Consultant @OCTO Technology)
Sur un exemple très concret d’audit d’éco-conception de l’outil de bilan carbone C’Bilan développé par ICDC (Caisse des dépôts et consignations) nous allons expliquer en quoi l’ACV (analyse de cycle de vie) a été déterminante pour identifier les pistes d’actions pour réduire jusqu'à 82% de l’empreinte environnementale du service.
Vidéo Youtube : https://www.youtube.com/watch?v=7R8oL2P_DkU
Compte-rendu :
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...OCTO Technology
par Claude Camus (Coach agile d'organisation @OCTO Technology) et Gilles Masy (Organizational Coach @OCTO Technology)
Les équipes infrastructure, sécurité, production, ou cloud, doivent consacrer du temps à la modernisation de leurs outils (automatisation, cloud, etc) et de leurs pratiques (DevOps, SRE, etc). Dans le même temps, elles doivent répondre à une avalanche croissante de demandes, tout en maintenant un niveau de qualité de service optimal.
Habitué des environnements développeurs, les transformations agiles négligent les particularités des équipes OPS. Lors de ce comptoir, nous vous partagerons notre proposition de valeur de l'agilité@OPS, qui embarquera vos équipes OPS en Classe Business (Agility), et leur fera dire : "nous ne reviendrons pas en arrière".
2. SOMMAIRE
Ce document est interactif
Ce symbole indique un hyperlien
LIVRE BLANC | BLACK NOISE Efficacité de la détection d’attaques 2
3. 3
Comment analyser les
Comment analyser les
capacités réelles de
capacités réelles de
défense Cyber ?
défense Cyber ?
Des tests sur toute la
Des tests sur toute la
Cyber Kill Chain
Cyber Kill Chain
Qu’avons-nous appris
Qu’avons-nous appris
en 2022 ?
en 2022 ?
Pour une
Pour une détection cyber
détection cyber
plus efficace
plus efficace en 2023
en 2023
1
2
4
LIVRE BLANC | BLACK NOISE Efficacité de la détection d’attaques 3
4. COMMENT ANALYSER
LES CAPACITÉS RÉELLES
DE DÉFENSE CYBER ?
1
LIVRE BLANC | BLACK NOISE Efficacité de la détection d’attaques 4
5. Les solutions de Breach and Attack
Simultation (BAS) ont commencé à se
développer en Europe et en France au cours
de l’année 2022.
Elles apportent une nouvelle dimension au combat cyber : celle de
la mesure de l’efficacité réelle de la détection et de la réaction. Les
CISO’s ne veulent plus se contenter des promesses des éditeurs de
solutions cyber (EDR, XDR, DLP), ou des fournisseurs de services
(SOC, NOC).
Ils expriment le besoin d’une maîtrise renforcée de leurs moyens
SecOps en lien avec l’évolution de la nature des attaques cyber et la
perte de contrôle liée à la cloudification.
Ce besoin est à double facteurs :
Humain
Technologique
LIVRE BLANC | BLACK NOISE Efficacité de la détection d’attaques 5
6. MITRE Att@ck simplified Cyber Kill chain
Une étude basée sur
85 campagnes …
… avec un mode
opératoire unique
outillées par un Breach & Attack Simulation
un protocole d’intervention validé par chaque entreprise/
organisation
5270 événements de sécurité malveillants exécutés
une détection des événements
déclarative
tous profils d’organisations confondus (grands groupes,
ETI, organisations publiques),
un typage « non détecté » pour les événements non iden-
tifiés
tous secteurs d’activités,
un recoupement systématique avec l’entreprise sur l’ex-
haustivité des attaques simulées
tous modèles de SOC confondus : interne, externe
(MSSP) ou hydride
• Network access
• Network sniffing
• Ports scans
• Service discovery
• AD enumeration
• Accounts bruteforce…
• Process/service exploitation
• Passwords/tickets dump
• Account creation
• AV/EDR bypass
• System modification
• CVE exploitation…
• Ransomware (encryption)
• Wiper (destruction)
• Cryptominer
• RAT (Remote Access Tool)
• Malware traffic (C&C)
• Cloud services exfiltration…
ANNÉE 2022
Les simulations d’attaques opérées pour cette étude sont toutes corrélées
à la base de connaissance du MITRE ATT&CK@.
Elles suivent la décomposition simplifiée suivante de la Cyber Kill Chain :
Les résultats mesurés
concernent des organisations
françaises avec des périmètres
INITIAL & DISCOVERY
COMPRISSION & LATERAL
MOVEMENT
IMPACT & EXFLITRATION
LIVRE BLANC | BLACK NOISE Efficacité de la détection d’attaques 6
7. 2
DES TESTS POUR TOUTE
LA CYBER KILL CHAIN
LIVRE BLANC | BLACK NOISE Efficacité de la détection d’attaques 7
8. Impact & exflitration (5%)
Discovery Credential Access Lateral Movement
Initial access &
discovery (74%)
3
1 2
Le top 3 des simulations d’attaques les
plus fréquemment jouées par catégorie
du MITRE ATT&CK® (ie Tactic) est le
suivant :
Ces mêmes évènements simulés se répartissent sur un
modèle simplifié de la Cyber Kill Chain de la manière
suivante :
Compromission & lateral
mouvement (21%)
LIVRE BLANC | BLACK NOISE Efficacité de la détection d’attaques 8
9. Initial Access et Discovery :
74% des événements, pourquoi ?
Les tests de la catégorie Initial Access & Discovery reproduisent les techniques de reconnaissance mises
en œuvre par les attaquants pour cartographier la cible et identifier les composants (systèmes notamment)
exploitables dans les phases suivantes de l’attaque :
LES RÉSEAUX INTERNES
Les tests de la sous-catégorie Credential Access visent l’obtention des comptes d’accès et représentent 25%
des événements simulés parmi les 74%. Ces phases de découverte sont toujours verbeuses et représentent
donc une part significative des événements simulés.
Compromission & Lateral Movement :
La suite logique…
Lesphasesdecompromissionsontplusfinesetplusciblées.Cesontlesmarqueursdespremiersimpactspotentiels
sur les systèmes. Les stratégies de mise en œuvre sont multiples et dépendent directement de la finalité de
l’attaque et du système (OS) sur lequel l’attaquant opère.
L’attention des équipes de sécurité se focalise davantage sur les phases amont pour bloquer l’activité malveillante,
avant même que l’impact ne soit déclenché, considérant qu’une telle exécution est le reflet de l’échec des
phases de détection précédentes et de l’ensemble de la stratégie de défense.
Ceci explique le faible taux des événements simulés dans cette catégorie.
Impact & Exflitration :
LES SERVEURS LES APPLICATIONS
LIVRE BLANC | BLACK NOISE Efficacité de la détection d’attaques 9
10. 5270
Lors de ces campagnes de mesure menées en
2022, 5270 événements ont été pris en compte
(soit 62 événements par campagne en moyenne).
ÉVÈNEMENTS
LIVRE BLANC | BLACK NOISE Efficacité de la détection d’attaques 10
12. Le niveau de détection des attaques par étape de la Kill Chain est le suivant :
Les points de mesure mettent en évidence un taux de
détection moyen des attaques cyber de 8%. Si ce taux
atteint tout de même 20% pour les entreprises les plus
matures sur ce sujet, il reste largement perfectible.
8%
Key Learning #1 :
Le taux de détection global reste trop faible.
LIVRE BLANC | BLACK NOISE Efficacité de la détection d’attaques 12
Impact & exflitration (5%)
Initial access &
discovery (74%)
Compromission & lateral
mouvement (21%)
13. Simulations d’attaques
• Dans la majorité des cas, la finalité d’une
attaque est de toucher des endpoints
connectés au réseau ciblé ; il semble donc
naturel de focaliser la surveillance sur ces
endpoints
• Détecter une activité malveillante sur un
système présente un taux de faux positifs
plus faible : une alerte sur un système a une
plus grande probabilité d’être une réelle
activité malveillante
LIVRE BLANC | BLACK NOISE Efficacité de la détection d’attaques 13
LES TOPS
PRIVILEGE ESCALATION
EXECUTION
DEFENSE EVASION
LATERAL MOVEMENT
RECONNAISSANCE
DISCOVERY
EXFILTRATION
LES FLOPS
INITIAL ACCESS
Analyse des stratégies de
détection adoptées par les
organisations
Danger, zone de risque : une attaque est sensiblement moins bien détectée en
amont (7% de détection) qu’au milieu ou en aval de la kill chain (respectivement
12 et 11%). En résumé, l’étude montre que l’on détecte mieux les activités
malveillantes qui touchent directement un système plutôt que celles qui se
diffusent sur les réseaux à la recherche des dits-systèmes.
14. POUR QUE LES RESPONSABLES
DE SECOPS FASSENT L’IMPASSE
SUR CETTE PHASE AMONT,
IL FAUDRAIT DES TAUX DE
DÉTECTION BIEN PLUS ÉLEVÉS
DANS LES PHASES EN AVAL.
Le faible taux de détection des actions de type Discovery au niveau système s’explique
notamment par l’utilisation de plus en plus répandue de la technique du LotL, comme l’évoque
l’ANSSI dans son panorama des menaces.
Pour se dissimuler, les attaquants exploitent des outils légitimes présents sur les réseaux des
victimes, échappant ainsi à la détection selon la technique du living-off-the-land (LotL) qui
consiste à utiliser des outils déjà présents sur le réseau de la victime, notamment des outils
d’administration comme PowerShell, pour arriver à leurs fins.
Détail intéressant, les actions persistantes restent les plus difficiles à détecter au sein de cette
catégorie « Compromission & lateral movement ». Quand ces actions sont détectées, c’est
généralement au moment de leur « création » (modification des clefs de registre, création de
taches planifiées, configuration d’un root kit, positionnement de fichiers, etc.). Les attaquants
parviennent ainsi à maintenir les accès obtenus pendant de longues durées et sans révéler
leur présence.
LIVRE BLANC | BLACK NOISE Efficacité de la détection d’attaques 14
15. Key Learning #2 :
L’EDR, une arme de détection efficace à challenger
75%
L’EDR est la source de
détection primaire dans
75% des cas.
LIVRE BLANC | BLACK NOISE Efficacité de la détection d’attaques 15
Près d’un tiers des simulations d’élévation de privilèges sont détectées. Ces techniques,
utiliséespourobtenirdesautorisationsdeniveaudeprivilègessupérieurs,sontprincipalement
identifiées grâce aux protections déployées sur les endpoints (postes de travail et serveurs)
et en premier lieu les EDR.
Cette technologie, se déploie massivement dans les entreprises depuis les dernières années.
Elle , démontre son apport indéniable pour déceler et bloquer de tels comportements
malveillants.
L’EDR est également l’élément de défense principal pour faire face aux autres catégories
de simulations d’attaques de ce top 3, d’autant plus s’il est couplé à un SIEM. Les alertes
provenant de ces outils sont rapidement et correctement considérées par les équipes SecOps.
Elles présentent le délai de réaction moyen le plus faible de notre analyse.
16. Même s’il faut les challenger
pour améliorer leur efficacité,
les solutions de type EDR sont
indéniablement un composant
clé de l’arsenal défensif actuel
des entreprises. Elles sont
d’autant plus efficaces couplées
avec un SIEM.
LIVRE BLANC | BLACK NOISE Efficacité de la détection d’attaques 16
17. Key Learning #3 :
Les attaques au niveau réseau passent sous les radars
83%
5 entreprises sur 6
n’ont pas la capacité de
détecter des scans de
réseau massifs
LIVRE BLANC | BLACK NOISE Efficacité de la détection d’attaques 17
• Sur la couche réseau : connexion d’équipement illégitime au réseau local, scans de ports,
écoute du trafic, etc.
• Sur les services systèmes, sans exécution de commandes : reconnaissances des services,
bruteforce de comptes, etc.
• Pour des exfiltrations d’informations : vers des serveurs C&C ou encore plus facilement vers
des services cloud standard dont la finalité est détournée par les attaquants.
• Un manque de technologies adéquates : les attaquants en profitent (peu de solutions de type
NDR, ID/PS déployées …)
• Une configuration non-optimale des outils en place : l’information n’est pas obtenue à la
source ou les seuils de détection ne sont pas adaptés.
• Une remontée / exploitation trop faible des logs : les traces restent localement sur
l’équipement qui les génère, sans remonter dans un SIEM ni donc déclencher d’alertes. Par
exemple, les logs des firewalls sont souvent exclus : coût du volume de stockage, faible
capacité à identifier un signal pertinent dans un tel volume de données, etc
• Des processus de traitement et de réaction des SOC parfois perfectibles : notamment un
seuil de notification inadéquat qui induit un excès de faux positifs.
C’estunenseignementclédestestsréalisés:lesattaquesquinedéclenchentpasd’exécution
de code système sont peu détectées. Il s’agit notamment des actions menées :
18. Ces constats ouvrent des opportunités pour
de nouvelles approches de renforcement de
la détection d’attaques
LIVRE BLANC | BLACK NOISE Efficacité de la détection d’attaques 18
L’ÉCHEC DU MILLE-FEUILLE DES CYBER TECHS ?
Les observations conduites semblent sévères.
Un volume d’investissements Cyber en forte croissance (croissance
annuelle du marché mondial de la cybersécurité : CAGR 2023-2027 = 9
à 14% selon les études) pour des résultats qui ne sont pas au rendez-
vous. Les observations faites ne sont pas tant un manque de capacité
technologique qu’un manque d’optimisation de l’utilisation de ces
dernières. Revenir à la boucle basique : Plan, Do, Check, Act (PDCA) est
une belle opportunité. Sans parler de ROI Cyber, mais en confrontant ses
moyens au réel, chaque organisation apprend à faire beaucoup mieux
avec ce qu’elle a déjà.
1 2
L’EDR est parfois utilisé en tant que
source de détection primaires des
scans de ports pour pallier l’absence
de solutions purement dédiées à cet
objectif. Cet usage détourné reste
complexe à implémenter et présente des
difficultés sur les étapes de configuration
et de définition des seuils d’alerte.
La mise en place de honeypots pour
remédier au manque d’outils de
détection en amont de la kill chain.
En disséminant de tels leurres à plusieurs
endroits du réseau avec des configurations
opportunes c’est terriblement efficace. Une
activité réseau suspecte sur ces cibles de
choix permet une levée d’alerte rapide.
19. 4
POUR UNE DÉTECTION
CYBER PLUS EFFICACE
EN 2023
LIVRE BLANC | BLACK NOISE Efficacité de la détection d’attaques 19
20. Une stratégie de cyberdéfense efficace doit
permettre de détecter les attaques le plus en
amont possible pour limiter la capacité de
l’attaquant à toucher les systèmes vitaux.
Face à la découverte permanente de nouvelles vulnérabilité et
à l’évolution des techniques d’attaque, la défense doit s’adapter
constamment, et rapidement afin de dissuader l’attaquant.
Le système de défense repose sur trois
pilliers :
rendre complexe les techniques
que doit déployer l’attaquant
Complexité
rendre l’attaque coûteuse en
moyens, compétences et temps
Coût
rentre impossible l’utilisation de
modèles d’attaques standars
Non standard
LIVRE BLANC | BLACK NOISE Efficacité de la détection d’attaques 20
21. La capacité de détection se retrouve focalisée sur la
zone centrale de la Kill Chain qui concerne les activités
malveillantes sur les systèmes. Les entreprises se
sont concentrées sur les actions exécutées au niveau
des endpoints pour construire le principal maillon de la
chaîne de défense.
Les autres types d’actions issus des modes opératoires
des attaquants ne sont pas suffisamment détectés.
DANGER MAJEUR : dépendre excessivement de
l’EDR, c’est accepté d’être en mode aveugle en cas de
dysfonctionnement de celui-ci. Les attaquants l’ont
parfaitement compris.
Impact & exflitration
Initial access &
discovery
Compromission & lateral
mouvement
L’EDR serait-il leur meilleur ennemi ?
LIVRE BLANC | BLACK NOISE Efficacité de la détection d’attaques 21
22. À quoi serons-nous attentifs en 2023 ?
• Une plus forte capacité à détecter
les prémices d’une attaque lors des
premières activités et interactions avec les
environnements réseaux avec une stratégie
de type Honeypot
• Une meilleure détection des actions
destinées à acquérir une croissance
approfondie des systèmes et de l’Active
Directory, pierre angulaire du SI. De
nombreuses commandes, qui s’appuient
sur natifs (LOLT attack, dualused tools),
sont caractèristiques de comportements
hostiles et restent peu détectées.
Par analogie avec le déploiement de mesures de sécurisation complémentaires
à différents niveaux techniques portées par une défense en profondeur, la
capacité de détection doit également intégrer des sources à même de capter
les signaux et de réagir à plusieurs niveaux.
Plus généralement, comme évoqué par l’ANSSI , le renforcement des moyens
de détection est un axe clé pour une évolution vers un modèle Zero Trust.
• Un délai de neutralisation plus rapide de la
menace en cas de comportement hostile
détecté. Cela n’implique pas uniquement
la dimension technologique. L’expérience
montre que la réaction peine souvent par
défaut d’organisation et de collaboration
entre la cyber-sécurité et l’exploitation du
SI. Des stratégies claires de qualification
des menaces et des SLAs acceptables et
tenus peuvent changer la vie des acteurs
opérants sur le SI.
INFO SUPPLÉMENTAIRE
Un SIEM a été blacklisté par la plateforme d’envoi de mail
interne lors d’une campagne intensive. Les simulations
d’attaques ont généré de nombreuses alertes au niveau du
SIEM qui a envoyé trop d’emails de notification. Le SOC ne
recevait donc plus de message. Un attaquant peut donc mettre
hors service l’alerting du SIEM en le saturant d’événements
non importants, menés à l’encontre de cibles secondaires.
Il peut ensuite se concentrer sur son réel objectif avec un
risque moindre de détection.
LIVRE BLANC | BLACK NOISE Efficacité de la détection d’attaques 22
Pour renforcer techniquement les capacités de détection et in
fine permettre une défense efficace, 3 mesures clés s’imposent :
23. Une solution de « Breach & Attack Simulation » (BAS) doit simuler
les modes opératoires des attaquants pour mesurer l’efficacité
de la détection et de la réaction face aux attaques cyber. L’objectif
est de mettre le système de défense sous stress-test pour vérifier
l’efficacité de ses réactions.
Il faut savoir générer du bruit, du joli bruit en reproduisant des
patterns d’attaque réalistes sur toutes les étapes de la Cyber
kill chain. Les meilleures solutions de BAS permettent de tester
plusieurs modes opératoires pour chaque technique d’attaque
considérée.
LIVRE BLANC | BLACK NOISE Efficacité de la détection d’attaques 23
Breach and attack simulation :
COMMENT ÇA MARCHE ?
24. LIVRABLE ÉDITÉ PAR LA SOCIÉTÉ ERIUM
LIVRABLE ÉDITÉ PAR LA SOCIÉTÉ ERIUM
WWW.ERIUM.FR/SOLUTION/BLACKNOISE
LIVRE BLANC 2022 - 2023 « L’EFFICACITÉ DE LA DÉTECTION
LIVRE BLANC 2022 - 2023 « L’EFFICACITÉ DE LA DÉTECTION
D’ATTAQUES : BAROMÈTRE BLACK NOISE »
D’ATTAQUES : BAROMÈTRE BLACK NOISE »