Par Edwin Doyle, Évangéliste mondial de la cybersécurité.
Au début de chaque année, les RSSI, cyber vendeurs et autres soi-disant experts sont invités à faire des prédictions sur l'année à venir. Sur quelles menaces devrons-nous nous concentrer et comment pouvons-nous les arrêter? C'est une tentative compréhensible de contrôler l'avenir; si seulement c'était aussi simple.
Il y a de l'aide à portée de main cependant. Dans un petit pas vers la Matrice qui nous possède, il s'avère que nous dépendons désormais des machines, non seulement parce qu'elles peuvent effectuer des tâches mieux que les humains, mais aussi parce que l'Internet en expansion infinie nécessite beaucoup plus de sécurité que par le passé. Et nous n'avons pas développé d'équipes de sécurité en conséquence.
Arrêtez de vérifier les journaux! Les machines peuvent rechercher les valeurs aberrantes, tout le reste suit les règles. Faites confiance à la technologie pour gérer les fruits à portée de main. Ainsi, pour des choses comme un enregistrement de domaine au cours des trois derniers jours ou un nouveau domaine de messagerie qui vient de frapper le réseau, une machine peut gérer le processus avec plus d'efficacité et de rapidité que n'importe quel humain.
Nous savons tous qu'il y a 3,4 millions d'emplois vacants liés à la cybersécurité. Tout le monde a du mal à embaucher et à obtenir le budget pour embaucher, alors pourquoi gaspiller des ressources coûteuses et talentueuses sur des tâches subalternes? Automatisez en pensant d'abord aux API. Nous devons abandonner l'idée que les humains peuvent contrôler manuellement tous les événements et changements. Cet état d'esprit va changer en 2023, pour gérer les exceptions par rapport à tous les événements – couvrant les déploiements, les changements, les mises à niveau, les incidents, etc.
Nous évoluons rapidement vers des environnements où à peu près tout peut présenter une API et nous permet d'automatiser beaucoup plus qu'auparavant. Cependant, les humains dans les organisations et les SOC fonctionnent toujours selon le principe qu'ils sont les seuls à savoir vraiment quoi faire et à cause de cette possessivité, ils ne lâcheront pas prise et ne feront pas confiance aux machines et à l'automatisation. Vous pouvez voir cela reflété dans la pensée SIEM-’Si seuls les journaux peuvent se retrouver dans mon SIEM, alors l'opérateur peut traiter tous les événements et les trier". La réalité est que les gens sont chers et rares et qu'ils font des erreurs et se fatiguent. De plus, la technologie traditionnelle et cet état d'esprit ne permettent pas d'analyser les tendances et de cartographier à grande échelle les renseignements sur les menaces ingérés sur l'ensemble du domaine.
Retournez l'entonnoir à l'envers et opérez à partir d'un point de départ où tout est pris en charge en dehors des exceptions. Cela devrait libérer du temps pour la puce gens réfléchir à la façon dont ils peuvent améliorer le moteur plutôt que de le faire fonctionner tout le temps.
Nous avons déjà emprunté cette voie avec un antivirus dans ses premières années. Nous en avons eu assez de vérifier chaque événement et nous faisons désormais confiance à la technologie à presque 100% lorsqu'elle met un fichier en quarantaine. Les exceptions sont la plupart de ce que les opérateurs gèrent maintenant, car cela nécessite vraiment de l'intelligence. Les IPS auraient déjà dû suivre cette voie, mais pourraient pousser dans cette direction cette année. Imaginez qu'une signature IPS soit déclenchée à cause d'un CVE connu et que le serveur principal soit connu pour être vulnérable. Dans un environnement entièrement automatisé, le correctif correct serait programmé pour être installé pendant une fenêtre de temps préalablement convenue.
Le plus grand défi sera qu'une fois que des directives telles que NIS2 entreront en jeu, nous devrons dire à l'infrastructure SCADA critique, comme une usine de fusion de fer, que nous devons arrêter certains paquets IP de manière automatisée. Leur approche est toujours axée sur la production d'abord. Ils sont en retard sur le reste de l'industrie en matière de cyberprotections, ayant été les derniers à se connecter en ligne. Ne faites pas ce qu'une machine peut faire!
Les entreprises continueront de se retirer de l'adoption du cloud public au profit d'une diversité d'infrastructure élargie et d'une utilisation accrue des services SaaS, mais ces changements de plate-forme continueront d'entraîner une augmentation des risques pour les organisations jusqu'à ce qu'elles mûrissent leurs programmes de sécurité. L'accent mis sur la planification de la reprise après sinistre est donc un excellent moyen de mettre en place des contrôles de sécurité réguliers dans toute l'organisation à mesure que les utilisateurs adoptent de nouvelles applications SaaS.
Shakespeare avait raison... La vie est une belle tragédie. Les cyberarmes ont désormais le potentiel de remplacer les vies humaines sur le terrain lorsque des pays s'engagent dans un conflit. C'est un progrès en quelque sorte. Cependant, la guerre entre la Russie et l'Ukraine est plus qu'un terrain d'entraînement pour les cybercriminels et les terroristes. Lorsque le groupe de piratage informatique Conti s'est publiquement rangé du côté de la Russie dans ce conflit, il a été ciblé et dissous, mais les individus et les groupes impliqués dans Conti se sont simplement regroupés sous des noms différents (Hive ransomware par exemple) et ont continué leur assaut contre les entités occidentales.
Il est difficile de voir comment les gouvernements dans ce conflit recrutent des spécialistes pour la cyberguerre. Pensez à l'attaque de ransomware sur Pipelines Coloniaux il y a quelques années. Si ces acteurs de la menace vivaient en Russie ou en Ukraine, ils fourniraient un ensemble de compétences utiles dans la guerre. Que pensez - vous qu'un criminel, travaillant avec un budget illimité et les vents forts du patriotisme dans son dos pour concevoir des cyberarmes infligeant le plus de dégâts, fera avec ces nouvelles compétences et armes après la guerre? Étant donné leurs caractères sans scrupules, j'imagine qu'ils volent toutes ces armes maintenant. Et pensez-vous que l'un ou l'autre gouvernement a le temps de s'en soucier?
Nous assisterons à une consolidation dans l'espace des fournisseurs de cybersécurité à mesure que les introductions en bourse deviendront moins attrayantes et que les valorisations précédemment gonflées seront correctement dimensionnées. Ce changement posera un défi sous la forme d'un changement organisationnel pour de nombreuses entreprises qui adoptent actuellement une stratégie de pointe.
RSSI sur le terrain Check Point, Pete Nicolleti, a inventé l'expression “ " consolider à un seul point de vérité."Peu importe la norme que vous suivez, cette seule vitre allusive pourrait être mieux considérée comme consolidant des points de vérité uniques. Laissez les machines faire le travail en vous apportant ces points de données et attribuez des compétences humaines à chaque volet de fenêtre pour une solution intelligente.
La seule prédiction sur laquelle je mettrai de l'argent est que ce sera une année de dichotomie. SIM tech promet de fournir des données fiables pour la livraison de l'IoT, tandis que le cryptage risque d'être piraté par l'informatique quantique!
Alors sur ce, je vous souhaite la meilleure nouvelle année de votre vie.
Découvrez des idées et des solutions révolutionnaires en matière de cybersécurité et plus encore – assurez-vous d'assister au prochain événement CPX 360 de Check Point. Inscrivez-vous ici.
Enfin, pour recevoir chaque semaine dans votre boîte de réception des actualités, des meilleures pratiques et des ressources de pointe en matière de cybersécurité, veuillez vous inscrire au CyberTalk.org bulletin d'information.
Post 5 prédictions pas si évidentes pour l'année à venir apparu en premier sur CyberTalk.