Avec autant d’options sur le marché, quelle devrait être la liste de contrôle pour les RSSI ? Check Point Software Technologies partage 5 questions que les CISO doivent se poser lorsqu’ils choisissent des solutions de terminaux adaptées à l’organisation pour éviter les failles de sécurité et la compromission des données sans compromettre la continuité des activités.
- Ma suite de sécurité pour les points finaux protège-t-elle mon organisation contre les attaques de phishing ?
De nos jours, les courriers électroniques de phishing font appel à des techniques d’ingénierie sociale très sophistiquées, conçues pour exploiter les faiblesses humaines. Ils comprennent des techniques d’usurpation qui visent à rendre le courrier électronique légitime aux yeux de ceux qui ne se méfient pas. Il est essentiel de garder une longueur d’avance sur ces cybercriminels et d’éviter que l’utilisateur ait à se soucier de la détection pour prévenir ce type d’attaques.
Choisissez une solution qui non seulement détecte et bloque l’accès aux sites de phishing connus, mais qui empêche activement les attaques complexes et sophistiquées telles que le phishing “Zero-day”, l’usurpation d’identité, le harponnage et le “Business Email Compromise” (BEC). Pour ce faire, il faut être en mesure d’effectuer des analyses complètes de sites web et de formulaires, y compris de sites web à base d’images uniquement, ainsi que d’effectuer une analyse heuristique approfondie, et des analyses de réputation qui comprennent des algorithmes de similarité visuelle et textuelle de sites connus.
- Mon organisation est-elle protégée contre les attaques sophistiquées de type “zero-day ransomware” ?
Rien qu’en 2019, le coût des logiciels rançonnés pour les entreprises a été estimé à plus de 7,5 milliards de dollars US. Le problème des logiciels à rançon de type “zero-day” est que vous ne savez même pas qu’ils existent avant qu’il ne soit trop tard, ce qui laisse les équipes de sécurité à la recherche de solutions. Pour aggraver les choses, ils peuvent pénétrer dans l’entreprise par de multiples points d’entrée, y compris le web, les courriels et les dispositifs de médias amovibles. Malheureusement, les produits de sécurité traditionnels ne peuvent pas relever le défi.
Heureusement, il existe une solution. Les RSSI peuvent rechercher un moteur anti-ransomware qui surveille les modifications apportées aux fichiers sur les disques des utilisateurs et identifie les comportements de ransomware tels que le cryptage de fichiers non légitimes. Si le moteur détecte une activité inhabituelle, il prend des clichés intelligents du système infecté, et non seulement bloque l’attaque, mais récupère aussi automatiquement les fichiers cryptés.
- Peut-on s’assurer que tous les fichiers entrants sont sûrs sans perturber la productivité des employés ?
Dans un monde où tout va très vite, les entreprises ne peuvent pas se permettre de perdre du temps à inspecter chaque fichier qui arrive sur le réseau, comme les pièces jointes des courriels ou du Web et les dispositifs amovibles comme les clés USB. Cependant, nous ne pouvons pas non plus prendre le risque de permettre le téléchargement de n’importe quel fichier sans inspection, car il suffirait d’un seul point d’entrée vulnérable pour dévaster l’ensemble du réseau des organisations.
C’est pourquoi les RSSI doivent garder à l’esprit d’inclure une fonction de nettoyage automatique des fichiers, connue sous le nom de Désarmement et reconstruction du contenu (CDR). Cette fonction permet de prévenir les attaques de manière proactive en filtrant les documents entrants, en supprimant tout contenu exploitable et tout élément potentiellement nuisible. Ces opérations de nettoyage des fichiers doivent également être rapides, avec un temps d’attente minimal, sans perturber la productivité des employés.
- Pouvons-nous détecter et contenir automatiquement les infections liées aux bottes avant que des données sensibles ne soient exposées ?
Les robots sont souvent utilisés par les pirates informatiques lorsqu’ils ciblent des personnes ou des organisations particulières dans le cadre de ce que l’on appelle la menace persistante avancée (APT). Ces bots fonctionnent en se connectant à un système de commande et de contrôle et permettent au pirate de contrôler le bot pour exécuter l’attaque, généralement le vol de données personnelles, financières, organisationnelles ou de propriété intellectuelle. Dans certains cas, les cybercriminels peuvent envoyer des courriers électroniques de spam qui attaquent les ressources et exécutent des attaques de consommation de bande passante qui, au final, ont un impact sur la productivité, en cachant des journaux importants à votre équipe SOC, ou même en menant une attaque de chasse à la baleine sur un membre du personnel supérieur. Le pire, c’est que tout cela peut être fait sans que vous ne vous en rendiez compte.
Le fait de disposer d’une solution anti-bot dans la sécurité de votre point d’accès empêchera de telles attaques de se produire en surveillant en permanence le trafic sortant et en identifiant les communications avec les serveurs de commande et de contrôle. Si une machine infectée est détectée, l’anti-bot bloque le trafic, répare l’attaque et isole la machine compromise pour empêcher la propagation de l’infection.
- Ma solution de sécurité des points d’accès peut-elle visualiser et analyser automatiquement les incidents, les contextualiser et y remédier ?
Bien que les solutions traditionnelles de détection et de réaction des points d’extrémité (EDR) soient capables de détecter les comportements suspects, elles ne comportent généralement que très peu de règles toutes faites et n’offrent aucune solution automatique. Lorsque la remédiation manuelle est effectuée, il y a un risque supplémentaire de résidus d’attaque qui n’ont pas été nettoyés. Ce processus est également long et nécessite des analystes hautement qualifiés. C’est une chose sur laquelle vous ne pouvez pas faire de compromis.
Une solution idéale pour le point final devrait automatiquement et complètement remédier à la chaîne de cyber-mutilation. La solution devrait offrir des capacités de criminalistique qui surveillent et enregistrent automatiquement les événements des points d’accès, y compris les fichiers affectés, les processus lancés, les modifications du registre du système ainsi que l’activité du réseau. Une solution de remédiation efficace mettra automatiquement en quarantaine le dispositif infecté pour empêcher la propagation de l’infection latérale, et restaurera le point d’extrémité dans un état sûr lorsqu’une attaque est détectée. Cela permet également de réduire considérablement le temps que les équipes de sécurité et de TI doivent consacrer à l’analyse des incidents, ce qui leur permet de se concentrer sur leurs tâches les plus critiques.
Vigilance dans le confort du travail à distance
Il est impossible de savoir quand les cybercriminels ont jeté un œil sur votre organisation, et un système ne peut jamais être sûr à 100 %. Cependant, en suivant votre stratégie de sécurité, les elfes du paysage peuvent minimiser votre exposition et les risques. Il est important de toujours avoir une longueur d’avance sur la défense.