C'est une proposition qui échoue. Les équipes informatiques passent tellement de temps à essayer de surveiller chaque bout du réseau, à la recherche de tout ce qui semble anormal. Et, si un drapeau rouge était brandi (vraisemblablement par une solution SIEM massive), un «plan de réponse en cas d'incident» serait mis en place.
Je me demande vraiment - pourquoi l'informatique est-elle si bloquée sur "Détecter et Réagir"?
Pensez-y; l'objectif est toujours de «mettre en place votre sécurité, de garder un œil vigilant et de réagir lorsque quelque chose se passe». C'est un mode d'opération assez coûteux; il faut du temps et des ressources informatiques importantes pour mettre en place des mécanismes de détection appropriés, qui va générer un premier ensemble de faux positifs qui doivent être affinés, et qui va nécessiter des rapports et des réunions pour s'assurer que la détection fonctionne réellement.
Pourquoi ne pas simplement mieux comprendre le problème et travailler pour l'empêcher de se produire en premier lieu?
Prenez l'accès initial à votre réseau - la connexion elle-même, pour être plus précis. Si l'organisation craint que les utilisateurs partagent des mots de passe ou qu'un attaquant externe puisse un jour compromettre les identifiants d'un utilisateur, ils peuvent choisir de tirer parti des données d'audit des connexions fournies par Windows. C'est une source d'information viable, à condition que les détails de vérification de chaque point de terminaison soient centralisés. Vous avez besoin d'une solution SIM ou SIEM pour analyser les données du journal à la recherche d'anomalies, comme par exemple un même utilisateur se connectant sur plusieurs machines en quelques minutes ou un utilisateur se connectant après les heures d'ouverture, ainsi qu'un e-mail de notification préconfiguré. Mais, même avec tout cela en place, il faut encore du temps pour que l’audit se mette à jour, et pour que les notifications soient reçues - tout ce temps, l'utilisateur est déjà connecté.
Alors, votre réaction? C'est un peu tard - et dans le cas d'une violation de données ou d'un attaquant externe compromettant un point de terminaison avec des logiciels malveillants, le coût de votre plan «détecter et réagir» peut être beaucoup plus que le temps de l’équipe informatique.
Réduire le coût du risque grâce à la prévention
Au lieu de cela, parce que vous savez quels comptes ont accès aux données sensibles et sur quels systèmes ils doivent être connectés, en mettant en place une solution qui impose des restrictions d'ouverture de session (horaires, machines, nombre de connexions simultanées, etc.) pour prévenir une utilisation inappropriée des informations d'identification (que ce soit par un initié ou une menace externe), vous déplacez le modèle de l'informatique «détecter et réagir» à un focalisé sur la «prévention».
Ces connexions simultanées ou cet accès après les heures d'ouverture qui étaient un problème il y a un instant? Avec des solutions préventives en place, cela n'arrivera jamais. Aucune notification. Pas de réaction à 2 heures du matin.
Un endroit pour « détecter et réagir »
Maintenant, après avoir prêché la prévention au cours des dernières minutes, il faut dire que même la meilleure stratégie de prévention doit être validée au fil du temps, alors «détecter et réagir» est utile. La différence est que la prévention devrait être l'objectif principal, avec «détecter et réagir» qui suit, plutôt que l'inverse.
En plaçant fermement les efforts autour de solutions et de stratégies préventives, le service informatique réduit de manière proactive le coût de la gestion des risques, renforce la position de sécurité de l'organisation et «détecte et réagit» pour assurer le bon fonctionnement des mesures préventives.