Simulation Pro-active des menaces « Adversary Simulation » pour valider en production que vos outils de cyber défense vous protègent.

La cybersécurité est, à juste titre, une préoccupation majeure pour les entreprises, et elle l’est de plus en plus compte tenu de toutes les attaques réussies qui font la une des journaux.

Évidemment, les dirigeants ne veulent pas que leur entreprise soit parmi l’une d’elles, après avoir été victime d’une attaque de ransomware ou de déni de service. Pour éviter cela, votre DSI vous a certainement alloué les budgets suffisants afin de vous permettre la mise en place des meilleurs solutions de sécurité du marché. C’est parfait, vous avez maintenant le meilleur des dernières technologies EDR, NDR, NGFW, SOAR, XDR, SIEM, MSP…, et votre équipe de sécurité est maintenant bien équipée !

Vos soucis sont-ils fini pour autant ? Peut-être pas, car le nombre d’attaque réussies ne cesse d’augmenter et les demandes d’aide via la plateforme Cybermalveillance.gouv.fr confirment cela.

Votre organisation est-elle réellement protégée ? Comment le savez-vous vraiment ?

Même les meilleurs produits de cybersécurité nécessitent d’être correctement installés, configurés et maintenus à jour pour assurer une protection efficace. Avec tous vos nouveaux produits de sécurité déployés dans votre entreprise, êtes-vous certain que votre sécurité effective correspond à ce que vous espérez ?

Les alertes que produisent vos outils de sécurité sont-elles bien gérées ? Et si tel est le cas, les menaces critiques sont-elles mises en évidences par les différents outils pour être remontées comme des alertes ? Les procédures de sécurité de l’entreprise sont-elles conformes avec l’évolution constante des menaces et alignées avec les configurations des nouveaux outils de cybersécurité sur lesquels l’équipe de sécurité s’appuie ?

Si la réponse à l’une de ces questions est « Je ne sais pas » ou « je ne suis pas sûr(e) », vous devriez absolument lever ce doute au quotidien, car de nombreux moyens existent. Plutôt que de réagir aux cyberattaques de façon réactive, il vous faut mettre à l’épreuve de façon proactive vos cyberdéfenses afin de réduire au maximum les risques éventuelles et éviter les pertes de données.

Votre équipe a besoin d’un moyen de simuler des menaces en toute sécurité et de voir comment les bastions qui participent à votre cyber défense vous informent sur les attaques identifiées. En effet, tout comme un athlète olympique a besoin de s’entraîner encore et encore pour être prêt pour le jour J, votre équipe de sécurité et les outils de sécurité qu’ils utilisent doivent être validés au travers de séances de sollicitations régulières en production pour les préparer face aux attaques qui adviendront inévitablement.

C’est pour cela que la simulation de menaces en production permet un entraînement à vos équipes de sécurité dans le cadre duquel des menaces réalistes (mais inoffensives) sont mises en œuvre dans vos environnements OnPrem & Cloud – afin de tester et valider si vos outils de sécurité et vos équipes de sécurité, détectent et réagissent aux cyber attaques simulées. Les techniques utilisées par des hackers sont ainsi simulées pour être utilisées afin d’attaquer votre entreprise de manière sûre et contrôlée. Par cela, vous pourrez être rassuré sur vos capacités de détection et de prévention de vos outils de sécurité, ainsi que l’état de préparation de vos équipes de sécurité. Vous aurez ainsi éprouvés vos dispositifs de sécurité avant qu’une attaque réelle ne se produise. La simulation de menaces peut être automatisée pour fonctionner en continu, avec les dernières menaces mais aussi pour s’assurer que vos cyberdéfenses soient toujours prêtes face aux menaces en constante évolution.

Avec l’aide d’un dispositif de simulation de menace, votre DSI et les équipes de sécurité peuvent être rassurés. Ils se seront préparés à faire face aux menaces connues. Ils pourront également prouver que leurs cyberdéfenses fonctionnent pour se protéger contre les dernières menaces, plutôt que d’attendre que des attaquants essaient d’exploiter les vulnérabilités et de s’apercevoir qu’ils y avaient des failles qui auraient pu être corrigées/détectées en amont.

Si vous voulez en savoir plus sur la simulation de menaces, vous pouvez consulter les ressources ci-dessous :

Illustration avec Log4j et les recommandations de l’ANSII

Comme le rappel l’ANSSI au travers de son activité de CERT(*) , il faut se protéger et contrôler.

En effet , quel que soit le dispositif retenu pour se protéger de la vulnérabilité Log4Shell Attack (CVE-2021-44228) liée à l’utilisation d’Apache Log4j.

Il n’existe pas un seul moyen de lutter contre ce risque. Vous pouvez rajouter des règles de filtrages au niveau de vos bastions, appliquer un patch virtuel ou idéalement, upgrader vos serveurs avec la dernière mise à jour Apache Log4j version 2.15.0.

Mais, il y a une règle d’or comme le souligne le CERT : « Il est recommandé d’effectuer des tests autant que possible » .

Vous n’avez pas de temps, les ressources pour développer l’arsenal de test vous permettent de contrôle cela ! . Cet article vous en dit plus et vous propose une solution prêt à l’usage : Log4J / Log4Shell: Is Your Network Safe? Find Out for Free with Keysight

Si vous voulez en savoir plus :

(*)https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-022/

Pour tout renseignement sur les solutions de sécurité Keysight, n’hésitez pas à nous contacter !