Le PDG de Mandiant voit une réponse nationale au ransomware

Kevin Mandia témoigne lors d’une audience du Comité sénatorial du renseignement à Capitol Hill le 23 février 2021 à Washington, DC.

a attiré la colère | Getty Images

Comme le démontre la récente brèche de Log4j, les entreprises et les organisations gouvernementales américaines se font attaquer par les cybercriminels. Il se présente sous la forme de ransomwares, de violations de données, de déni de service distribué (DDoS) et d’autres attaques dommageables.

Maintenant, beaucoup disent que ça suffit.

« Je pense que plus de gens profitent des États-Unis – et de notre ouverture et de notre véritable main-d’œuvre mondiale – que dans tout autre pays », a déclaré Kevin Mandia, PDG de la société de cybersécurité Mandiant, lors d’une session sur la cybersécurité au récent Technology Executive de CNBC. Sommet du Conseil (TEC) à New York.

Plutôt que de simplement renforcer les défenses traditionnelles telles que les pare-feu et d’attendre d’être la prochaine victime potentielle d’une cyberattaque, les entreprises commencent à adopter une approche plus proactive de la sécurité. Ils passent à l’offensive, recherchent activement les cybermenaces et les désactivent avant qu’elles ne puissent faire des ravages sur les systèmes et les réseaux.

L’augmentation des ransomwares, l’un des types d’attaques les plus insidieux et les plus dommageables, est un facteur majeur pour passer à l’offensive. Un rapport d’août 2021 de la société de recherche International Data Corp. a montré que plus d’un tiers des organisations dans le monde ont subi une attaque ou une violation de ransomware qui a bloqué l’accès aux systèmes ou aux données au cours des 12 derniers mois.

Las des agressions en cours, les organisations ripostent.

« Ce que vous commencez à voir, c’est une réponse nationale coordonnée – peut-être même une réponse internationale coordonnée – parce que [of] ransomware « , a déclaré Mandia.  » Franchement, tout le monde le déteste, à l’exception des personnes qui le font et des personnes qui hébergent ceux qui le font. « 

Un bon exemple d’une coordination efficace a été le retrait plus tôt cette année de REvil, une opération de ransomware-as-a-service liée à la Russie. Un groupe de pays et d’organisations chargées de l’application de la loi a utilisé des méthodes techniques et juridiques pour mettre l’opération hors d’Internet.

Bien qu’on ne sache pas exactement comment REvil a été mis hors service, la collaboration de plusieurs entités est un développement positif dans l’effort de minimiser ou d’éliminer les menaces, a déclaré Mandia. Les ransomwares devenant un problème de sécurité nationale ainsi qu’un problème criminel, les États-Unis doivent envisager de mobiliser des ressources militaires dans la lutte pour arrêter ces attaques, a-t-il déclaré.

« Nous pouvons faire beaucoup de choses différentes plutôt que de simplement nettoyer constamment l’allée neuf après le crime », a-t-il déclaré. Une action militaire « ne signifie pas des frappes de drones, cela signifie une réponse proportionnelle » aux attaques, a-t-il ajouté. Cela ne peut se produire que lorsque les sources de l’attaque sont identifiées.

Une étape importante serait la création d’une « doctrine » nationale qui indique comment les États-Unis traiteront les créateurs de logiciels de rançon et d’autres cybermenaces, ainsi que les pays qui les hébergent, a déclaré Mandia.

« Il pourrait y avoir une certaine imprécision dans cette doctrine, mais les gens doivent savoir que la nation va avoir une réponse coordonnée » aux attaques, a-t-il déclaré. « Il arrive un moment où vous ne pouvez plus rester là et le supporter. »

Les responsables technologiques s’attendent à ce que le niveau élevé de menaces externes se poursuive, les membres du TEC répondant à une récente enquête de CNBC affirmant que la cyberguerre parrainée par l’État (32 %) et les organisations criminelles (25 %) restent les cybermenaces les plus dangereuses. Ils donnent à l’administration Biden des notes décentes dans ses efforts de cybersécurité jusqu’à présent, avec moins de 5% des membres du TEC affirmant que Biden a fait un « mauvais » travail en matière de cybersécurité au cours de sa première année en fonction. Trente-neuf pour cent des personnes interrogées ont déclaré que l’administration Biden avait fait du « bon travail », tandis que 9 % ont qualifié ses efforts d' »excellents ». 35 % ont déclaré que l’administration avait fait un « travail moyen » en matière de cybersécurité.

Déployer des outils de chasse aux menaces et de renseignement

Sur une base individuelle, les entreprises peuvent prendre des mesures pour devancer les cybercriminels. Par exemple, ils peuvent déployer des outils ou des services de chasse aux menaces et de renseignements sur les menaces.

Avec la chasse aux menaces, les équipes de sécurité des entreprises recherchent de manière proactive dans les réseaux et les systèmes pour trouver et isoler les menaces avancées qui peuvent échapper aux outils de sécurité plus anciens tels que les pare-feu, les systèmes de détection d’intrusion et les produits de gestion des informations et des événements de sécurité. Les dernières offres de recherche de menaces peuvent être au moins partiellement automatisées via des technologies telles que l’apprentissage automatique, de sorte que les entreprises n’ont pas besoin de s’appuyer sur des processus de recherche manuels fastidieux.

Les renseignements sur les menaces sont également efficaces pour détecter et arrêter les cyberattaques. Les équipes de sécurité peuvent exploiter des ressources telles que l’intelligence open source, l’intelligence des médias sociaux et les services d’un certain nombre de fournisseurs pour suivre les menaces existantes et émergentes.

La Threat Intelligence permet aux entreprises de développer une approche plus proactive de la cybersécurité, en grande partie parce qu’elle est prédictive. Un autre avantage clé de l’utilisation de ces ressources est qu’elles favorisent le partage des connaissances et des expériences au sein de la communauté de la cybersécurité, ce qui soutient l’idée d’un vaste effort pour « attaquer » les cybercriminels avant qu’ils ne frappent.

Les technologies d’identité telles que l’authentification multifacteur (MFA) et les outils avancés de sécurité des terminaux, qui prennent tous deux en charge le concept de sécurité « zéro confiance », peuvent également aider les entreprises à être plus proactives.

« L’authentification multifacteur est une chose phénoménale pour briser le mouvement latéral », a déclaré Mandia. MFA est la première étape vers un réseau de confiance zéro, dit-il.

La récente enquête TEC révèle que plus de la moitié (52 %) ​​des personnes interrogées déclarent que leur entreprise en est aux premières étapes de la mise en œuvre de la sécurité zéro confiance ; 27 % déclarent avoir déjà mis en œuvre l’approche et en voir les avantages.

La surveillance des réseaux et des points de terminaison, tels que les appareils mobiles, continuera à devenir de plus en plus sophistiquée et efficace avec l’ajout de l’IA, de l’apprentissage automatique et de la science des données, car les équipes de sécurité peuvent mieux prédire quand des activités suspectes sont réellement le début d’une attaque.

Outre la technologie, la formation des employés à la sensibilisation à la sécurité est essentielle pour créer un programme de sécurité proactif.

Les tactiques telles que le phishing, les logiciels malveillants et l’ingénierie sociale réussissent dans de nombreux cas parce que les employés ne sont pas correctement formés – ou pas du tout formés – à la façon de reconnaître ces incidents.

Avec l’état d’esprit, les outils et la formation appropriés, les entreprises peuvent créer un programme de cybersécurité proactif qui déjoue les cybercriminels avant qu’ils ne puissent causer de dommages.

Bob Violino, spécial à CNBC.com