Selon Gartner, il est vivement conseillé aux entreprises d’adopter les technologies les plus récentes pour lutter contre les menaces avancées

Vous avez peut-être déjà entendu parler des avancées technologiques réalisées par Bitdefender, en particulier avec le développement au cours des cinq dernières années d’une solution de sécurité révolutionnaire, Bitdefender Hypervisor Introspection, conçue pour contrer l'augmentation des attaques ciblées et des bots fortement obfusqués (ayant une courte durée de vie et réalisant des mises à jour fréquentes). L’introspection de la mémoire au niveau de l’hyperviseur fournit une visibilité permettant de se placer sous le niveau des endpoints, en utilisant un niveau de privilège plus élevé : ring-1. Le kernel est ainsi protégé contre les techniques de rootkit hooking utilisées lors des attaques pour assurer leur furtivité. Les processus en mode utilisateur sont également protégés contre l'injection de code, le détournement de fonction et l'exécution de code à partir de la pile.

Gartner revient sur quelques rappels de sécurité dans son rapport « Host-Based Controls for Server Workloads Ready for Hybrid IT » publié en avril 2016, cité sur le blog Bitdefender:

« Vérifier régulièrement l’intégrité de la plateforme, de l'hyperviseur et du système d'exploitation sont d'excellents contrôles pour les systèmes sur lesquels vous avez perdu la main, comme dans les systèmes colocalisés. De plus, ce contrôle peut, dans une certaine mesure, protéger contre certains malwares particulièrement dévastateurs. Par ailleurs, c’est actuellement la seule protection permettant de vérifier l'intégrité d'un hyperviseur (autrefois) fiable. Ainsi, ce contrôle est idéal pour les architectures d'applications où l'intégrité de l'hyperviseur ou du matériel peut être une source d’inquiétude (par exemple, des applications à haut risque situées dans les systèmes colocalisés ou, le cas échéant, les clouds ??publics) ».

« Les équipes et les infrastructures de sécurité de l'information doivent s’adapter aux usages émergents du numérique tout en faisant face à un environnement de menaces de plus en plus avancées », déclare Neil MacDonald, Vice-Président et Gartner Fellow Emeritus. « Les experts en sécurité doivent s’impliquer dans l’utilisation des dernières tendances de technologies s’ils veulent définir, créer et gérer des programmes de sécurité et de gestion des risques efficaces qui soient simultanément favorable à l’activité commerciale et à la gestion les risques ».

Voici le top 10 des technologies pour la sécurité de l'information présenté lors du Gartner Security & Risk Management Summit 2016 :

Les “Cloud Access Security Brokers”

Les « Cloud Access Security Brokers » (CASB) fournissent aux professionnels de la sécurité de l'information un point de contrôle critique pour permettre une utilisation sécurisée et respectant les règles de conformité des services de cloud computing avec plusieurs fournisseurs de cloud. Beaucoup d’applications de type « Software as a Service » (SaaS) intègrent des options de visibilité et de contrôle limitées ; cependant, l’adoption du SaaS est de plus en plus courante dans les entreprises, ce qui accentue la frustration des équipes de sécurité qui recherchent à la fois de la visibilité et du contrôle. Les solutions CASB comblent de nombreuses lacunes des services de cloud computing individuels et permettent aux RSSI d’agir simultanément à travers un ensemble de services cloud, y compris les fournisseurs d’« infrastructure as a service » (IaaS) et de « platform as a service » (PaaS). En tant que tels, les CASB répondent à une exigence critique des RSSI pour définir des politiques de sécurité, surveiller le comportement et assurer la gestion du risque sur l'ensemble des services de cloud computing de l’entreprise. La sécurité est l’un des pré-requis les plus attendues d'une connexion directe avec un fournisseur de cloud, selon Business Insights.

                                    
L’“Endpoint Detection and Response”

Le marché des solutions EDR (Endpoint Detection and Response) se développe rapidement en réponse à la demande pour une protection plus efficace des endpoints et l'impératif de plus en plus présent de pouvoir disposer de la capacité de détecter des violations de données et d’y faire face plus rapidement. Les outils d’EDR enregistrent généralement l’activité de nombreux endpoints et les événements réseau, puis stockent ces informations soit localement sur l’endpoint, soit dans une base de données centralisée. Les bases de données d'indicateurs connus de compromission (IOC – Indicators of Compromise), l'analyse des comportements et les techniques d'apprentissage automatique sont ensuite utilisées pour rechercher en permanence les données permettant d’identifier les violations (y compris les menaces internes) le plus tôt possible pour y répondre rapidement.

Les approches de prévention des endpoints non basées sur les bases de signatures
Les approches simplement basées sur les signatures pour la prévention contre les malwares sont inefficaces contre les attaques avancées et ciblées. Il existe en complément de nombreuses autres technologies qui peuvent compléter les approches traditionnelles basées sur les signatures, ce qui inclut la protection de la mémoire et la prévention des exploits qui bloquent les accès habituellement empruntés par les malwares au sein des systèmes, ainsi que la prévention des malware basée sur l'apprentissage automatique en utilisant des modèles mathématiques, comme alternative aux signatures pour identifier et bloquer les menaces.

L’ “User and Entity Behavioral Analytics”

L'UEBA (User and Entity Behavioral Analytics), analyse comportementale de l’utilisateur et de l’entité) permet une analyse de sécurité avec un spectre large, tout comme le SIEM (Security Information and Event Management),la gestion des événements et des informations de sécurité permet une surveillance de la sécurité sur un large périmètre. L’UEBA fournit des analyses basées sur l’étude du comportement de l'utilisateur, mais aussi d'autres entités telles que les endpoints, les réseaux et les applications. La corrélation entre les analyses des différentes entités rend les résultats de ces dernières plus précis et la détection des menaces plus efficace.

La microsegmentation et la visibilité du flux

Une fois que les cybercriminels ont un pied dans les systèmes de l’entreprise, ils peuvent généralement se déplacer librement, latéralement, vers d'autres systèmes. Pour y remédier, une exigence nouvelle de « microsegmentation » (offrant plus de granularité dans la segmentation) de la circulation dans les réseaux d'entreprise est apparue. De plus, plusieurs de ces solutions fournissent une visibilité et une surveillance des flux de communication. Les outils de visualisation permettent aux administrateurs des opérations et de la sécurité de comprendre les schémas de flux, les politiques de segmentation définies et de surveiller les écarts. Enfin, plusieurs éditeurs offrent un chiffrement optionnel du trafic réseau (typiquement, des tunnels « point-to-point IPsec ») entre les charges de travail pour protéger les données en mouvement et fournir une isolation cryptographique entre les charges de travail.

Les tests de sécurité pour le DevOps (DevSecOps)

La sécurité doit devenir une partie intégrante des worflows du Devops, les DevSecOps. Des modèles d’opération de type DevSecOps commencent à se développer, ils utilisent des scripts, des « recettes     », des plans et des modèles pour diriger la configuration sous-jacente de l'infrastructure de sécurité – y compris des politiques telles que les tests d'applications de sécurité au cours du développement ou de la connectivité du réseau lors de l'exécution. De plus, des solutions réalisent des analyses automatiques de sécurité pour déceler les vulnérabilités au cours du développement, afin de mettre à jour les vulnérabilités connues avant que le développement ne soit terminé. Que la sécurité soit guidée par des schémas, des plans, des templates ou des toolchains, le concept et le résultat souhaité sont les mêmes : une configuration automatisée, transparente et conforme de l'infrastructure sous-jacente de la sécurité basée sur une politique reflétant l'état réel de déploiement des charges de travail.

Les « Intelligence Driven Security Operations Center Orchestration Solutions »

Un SOC (Security Operations Center) ou centre de gestion de la sécurité, utilisant des renseignements va au-delà des technologies préventives, du périmètre et de la surveillance basée sur les événements. Un SOC reposant sur le renseignement doit être spécialement développé et utilisé pour informer sur tous les aspects des opérations de sécurité. Pour relever les défis du nouveau paradigme de « detection and response », un SOC reposant sur le renseignement doit également aller au-delà des défenses traditionnelles, avec une architecture adaptative et des composants évolutifs contextuellement. Pour soutenir ces changements nécessaires dans les programmes de sécurité de l'information, le SOC traditionnel doit évoluer pour devenir un « intelligence-driven » SOC (ISOC) avec l'automatisation et l'orchestration des processus du SOC comme idée directrice.

Le navigateur distant

La plupart des attaques commencent en ciblant les utilisateurs finaux avec des malwares diffusés par e-mails, via des URL ou des sites Web malveillants. Pour faire face à ce risque, il est de plus en plus courant d’ouvrir une session de navigateur distant à partir d'un « serveur de navigateur » (généralement sous Linux) fonctionnant sur site ou sous forme de service cloud. En isolant la fonction de navigation du reste du endpoint et du réseau d'entreprise, les malwares sont maintenus en dehors du système de l'utilisateur final et l'entreprise réduit considérablement la surface d'attaque en transférant celui-ci vers les sessions de serveur, qui peuvent être rétablies dans un état connu comme étant sain à chaque nouvelle session de navigation, onglet ouvert ou URL consultée.

L’utilisation de « deception tools »

Les technologies dites de « deception » ou de leurre, se caractérisent par l’utilisation de différentes ruses conçues pour contrecarrer ou perturber les processus cognitifs d'un attaquant et ses outils d'automatisation, retarder ses activités ou entraver la progression de la violation de données. Par exemple, les capacités de « deception » créent des faux systèmes, avec de fausses vulnérabilités et partages réseaux et cookies. Une attaque sur ces fausses ressources est un indicateur fort qu'une attaque est en cours, car un utilisateur légitime ne devrait pas être en mesure de voir ou d’essayer d'accéder à ces ressources. Les technologies de « deception » émergent pour les réseaux, les applications, les endpoints et les données ; les meilleurs systèmes combinent plusieurs techniques. En 2018, Gartner prévoit que 10% des entreprises utiliseront des outils et des tactiques de « deception » et participeront activement aux opérations de tromperie contre les cybercriminels.

Le recours à des prestataires de services de confiance se généralisent

A mesure que les services de sécurité des entreprises sont poussés à étendre leurs capacités de protection vers des technologies fonctionnelles et l'Internet des Objets, de nouveaux modèles de sécurité doivent émerger pour préserver les niveaux de confiance. Les services de prestataires de confiance sont conçus pour permettre l’évolution et supporter les besoins de milliards d’appareils, la plupart ne disposant que d’une capacité de traitement limitée. Les entreprises à la recherche de prestataire de service de confiance qualifiés offrant des services de confiance distribués ou basés sur le consensus devraient rechercher en priorité des services de partenaires incluant un provisioning sécurisé, l'intégrité des données, la confidentialité, l'identité et l'authentification des appareils. Certaines approches de pointe utilisent la confiance distribuée et des architectures ressemblant aux « blockchains » pour gérer la confiance distribuée et préserver l'intégrité des données à une grande échelle.