Comment penser comme un acteur de la menace
Mon équipe explique l’ attaque du début à la fin . Nous faisons le lien entre les différentes phases de la kill chain d’un attaquant pour saisir rapidement les causes racines d’une attaque pendant qu’elle se produit.
Nous copions également les techniques et la manière de penser des attaquants.
Les attaquants abordent le monde en termes d’objectifs et de séquences d’activités. Ils enchaînent différentes techniques (c’est pour cette raison que nous appelons ces scénarios d’attaques des « kill chain ») et empruntent les voies qui leur sont les plus avantageuses. Ce processus n’est pas linéaire. C’est ce que nous appelons la pensée graphique.
En tant que spécialises de la défense, nous devons adopter le même état d’esprit. Nous ne pouvons pas nous contraindre à penser en termes de listes, en essayant de reconstituer l’ensemble du puzzle lorsqu’une attaque est en cours. Nous devons savoir très rapidement comment les attaquants ont obtenu l’accès, comment ils se déplacent latéralement et quelle est leur destination.
Les spécialistes de la défense identifient les activités malveillantes avec plus de précision lorsqu’ils comprennent la séquence de ces activités dans leur ensemble, et pas seulement les techniques individuelles isolées.
L’analyse d’une récente série d’attaques de fraude financière en est un bon exemple : nous avons remarqué que les attaquants utilisaient un proxy inverse pour contourner l’authentification multifacteur (MFA). Nous avons relevé les indicateurs de contournement de la MFA et avons attiré l’attention sur d’autres cas où cette nouvelle technique a fait son apparition. Ce que nous avons appris sur la collecte d’informations d’identification grâce à notre capacité à faire le lien entre ces éléments nous permet de réagir plus tôt lors de l’attaque. Cela nous permet de renforcer nos compétences en tant que spécialistes de la défense.
Lorsqu’on me demande ce qu’on peut mettre en œuvre pour mieux protéger une organisation, je réponds toujours la même chose : Il est indispensable d’utiliser systématiquement la MFA. C’est l’une des recommandations les plus importantes que nous formulons. C’est l’une des mesures les plus essentielles que les entreprises peuvent prendre pour mieux se défendre, en s’efforçant de parvenir à un environnement sans mot de passe, car cela désamorce toutes les nouvelles techniques d’attaque. L’utilisation correcte de la MFA complique la tâche des attaquants. Et s’ils ne peuvent pas accéder à une identité et à votre organisation, lancer une attaque devient beaucoup plus compliqué.
Suivez Microsoft