mai 23, 2016
Le darwinisme dans la sécurité informatique : s’adapter ou disparaître.
« Ce n’est pas le plus fort de l’espèce qui survit, ni le plus intelligent. C’est celui qui sait le mieux s’adapter au changement. »
– Charles Darwin
Ça fait un moment que je n’ai pas donné mon avis sur mon sujet préféré : l’avenir de la sécurité informatique, donc je me lance. Soyez prêts pour de nombreux termes, heureusement tous familiers, concernant les dernières technologies de la sécurité de l’information, le marché et les tendances, avec en plat d’accompagnement des données associées et des réflexions. Préparez le pop-corn, on y va…
Ici, je parlerai de la sécurité informatique idéale et de quelle façon l’industrie de la sécurité est en train d’évoluer (et ce qui se passe actuellement au cours de cette évolution), et comment on peut expliquer tout cela à l’aide de la théorie de l’évolution de Monsieur Darwin. Comment la sélection naturelle conduit certaines espèces à dominer, tandis que d’autres passent à la trappe, laissés aux paléontologistes pour les années à venir. Oh, et je parlerai aussi de ce que sont la symbiose et les parasites.
Je commencerai par quelques définitions…
La quasi perfection dans un monde imparfait.
La protection parfaite, la sécurité à 100%, est impossible. L’industrie de la sécurité informatique peut et doit bien sûr viser la perfection, en créant un processus de systèmes protégés au mieux. Mais les coûts augmentant de presque 100%, le coût de la protection finit par être plus élevé que celui des dommages potentiels engendrés par le pire scénario catastrophe.
Par conséquent, il paraît logique de donner la définition suivante concernant une protection réaliste (réalisable) idéale (du point de vue des potentielles victimes). La protection idéale est celle où le coût de pirater notre système est plus élevé que le coût des dommages potentiels qui pourraient être causés. Ou vu sous un autre angle : la protection idéale est celle avec laquelle une attaque réussie coûte plus cher que les gains qu’elle engendre.
Il y aura bien sûr des moments où le montant d’une attaque n’aura pas d’importance pour les hackers, par exemple, dans le cas d’attaques cybernétiques soutenues par des États. Cela ne veut pas dire pour autant qu’il faille abandonner.
Par conséquent, comment peut-on développer un système de sécurité qui fournit une protection idéale (réalisable) optimale ?
Les défenseurs modernes vs. les défenseurs traditionaux : pensez aux adversaires et non aux incidents, par @johnlatwc #TheSAS2016 pic.twitter.com/gss5MITuO1
— Eugene Kaspersky (@e_kaspersky) February 8, 2016
La théorie de la survie du plus apte dans le monde de la sécurité informatique
Un des principes fondamentaux du darwinisme est la variation génétique. A cause de la recombinaison des gênes, des mutations et autres raisons inconnues, les organismes vivants acquièrent de nouveaux traits. Et au fil du temps, les plus chanceux (les plus forts) prolifèrent, tandis que les moins chanceux restent en marge voire disparaissent. C’est la raison pour laquelle les ours dans l’Arctique sont blancs et ceux du Kamchatka sont bruns.
Des faits similaires se produisent dans la sécurité informatique : les cybercriminels sont sans cesse en quête de nouvelles vulnérabilités dans les systèmes informatiques et inventent de nouvelles méthodes d’attaques dans le but de voler des données ou de l’argent aux utilisateurs et aux entreprises qui utilisent ces systèmes informatiques.
Peu importe qu’un groupe de cybercriminels soit le plus intelligent et le plus rapide, c’est le plus fort qui garde toujours un trait d’avance et prospère au top du royaume de la cyberclandestinité en obtenant le plus de bénéfices grâce à leur savoir-faire criminel » breveté « . Ce groupe évolue vers quelque chose de plus grand et de plus fort, tandis que les autres disparaissent. La seule différence avec l’évolution biologique de Darwin est la vitesse du changement, il ne s’agit pas de millénaires : il suffit de quelques mois pour que plusieurs générations de menaces évoluent.
Afin de créer un système de sécurité supérieur qui fournirait une protection (optimale) idéale, les développeurs doivent dès le départ envisager un plan des plus diaboliques qui soit parmi tous les scénarios possibles. Il serait tellement épouvantable que les hackers auraient peu de chances d’y arriver (du moins, c’est ce qu’on espère). Le fait de construire une protection face à de tels scénarios d’attaques apocalyptiques assure deux choses : stopper un optimisme dangereux et en tirer le meilleur. De plus, s’attendre au pire des scénarios dès le départ n’aide pas seulement à identifier le problème, mais aussi à en comprendre son ampleur et à développer une stratégie optimale pour le contrer. Si vous connaissez vos faiblesses, vous n’êtes plus la proie, mais devenez le chasseur.
D’accord, dans la théorie, ça paraît très simple et logique, mais l’est-ce tout autant dans la pratique ? De quelle façon peut-on prendre de l’avance sur les hackers et prévoir leur prochaine attaque ?
S’adapter ou disparaître.
La manière la plus judicieuse de nous adapter à un environnement d’entropie en vigueur est d’arriver à un modèle de conduite adaptatif. Nous commençons à adopter une conduite découlant d’analyses d’un(e) situation/environnement qui prévaut sur la base d’un nombre limité de données confirmées (souvent en son absence) et d’une multitude d’hypothèses. Chaque itération du cycle » analyse – action – résultat » diminue l’ambiguïté et augmente la rationalité de conduite, la performance et autres paramètres importants pour les entreprises.
Nous avons commencé à employer un modèle adaptatif dans la sécurité informatique en 2013. L’année suivante, nous avions découvert que cette approche avait été adoptée par Gartner et sa vision d' » architecture de sécurité adaptative « . Cette dernière est fondée sur l’application cyclique d’outils provenant de domaines liés à des cyberattaques de base : préventif, investigateur, rétrospectif et prédictif. Adopter un tel modèle permet de créer une protection optimale correspondant au cycle de vie des cyberattaques, un modèle capable de s’adapter rapidement au changement de conditions internes et externes.
Source : Concevoir une architecture de sécurité adaptative pour une protection contre des attaques avancées, Gartner (Février 2014)
Depuis 2013, l’architecture de sécurité adaptative est le fondement de notre stratégie produits. Même si au début nous avons souffert de quelques problèmes, nous n’avons pas baissé les bras dans la mesure où nous savions qu’il s’agissait de la bonne approche afin de mieux protéger les réseaux de nos clients d’entreprises et de résoudre leurs problèmes pertinents de sécurité. Bien que peu de temps se soit écoulé, nous avons déjà accompli de grands progrès vers la mise en place de nos plans.
Houston, nous avons un problème.
A quoi donc ressemblent désormais les choses avec la mise en place de l’architecture adaptative de sécurité dans le monde des entreprises ?
Pour être tout à fait honnête, ce n’est pas super.
D’un côté, il existe très peu de fournisseurs capables d’établir tous les éléments afin de permettre la création d’un cycle continu d’une sécurité adaptative. Différentes pièces du puzzle ne sont pas toutes compatibles entre elles et il est difficile de les combiner en un unique système central de contrôle.
D’un autre côté, les clients se concentrent sur des domaines spécifiques du cycle (principalement sur la prévention), et ont tendance à ne pas apprécier l’importance des autres et de la complexité dans son ensemble. Une telle perspective erronée des consommateurs est aggravée par certains éditeurs de sécurité, annonçant la création d’un remède universel magique contre le cybercrime.
En définitive, nous nous faisons des illusions concernant la sécurité, déroutés face à un dernier incident. Le cercle vicieux d’une situation d’urgence imminente et des menaces constantes envers les entreprises mènent à une hausse des dépenses dans la sécurité informatique (sans augmentation de son efficacité) et à une dévalorisation des systèmes informatiques.
Dans le darwinisme, le changement est une des forces de propulsion du développement biologique. Il en est de même pour la sécurité informatique, dans le but d’avoir une longueur d’avance sur les hackers, quitte à établir un changement radical. Ce dernier est en cours : l’industrie de la sécurité et les consommateurs sont tous les deux conscients du problème (cette » première étape » étant indispensable) et sont sur la bonne voie. Chez Kaspersky Lab, notre approche particulière de ce changement indispensable s’établit comme suit.
Il est temps de refaire le plein et de mettre les gaz.
Dans un premier temps, nous avons lancé une large gamme de services afin de renforcer notre position dans tous les domaines du modèle. Désormais, notre portfolio est organisé de la manière suivante : formation du personnel à tous les niveaux, méthode basée sur la threat intelligence, essais d’infiltration, analyse des incidents et recommandations pour les résoudre, ainsi que de nombreuses autres choses concernant le cycle complet sur » la prévention, la détection, la réaction et le pronostic « .
Du point de vue du produit, nous avons renforcé notre forte position habituelle dans le domaine de la » prévention » avec une solution dans le domaine de la » détection » afin de se protéger des attaques ciblées (Kaspersky Anti Targeted Attack Platform) et l’intégration de systèmes SIEM. Et dans un avenir proche, nous assisterons au lancement d’une solution EDR (Endpoint Detection and Response) totalement fonctionnelle, qui regroupera dans un » tableau général » divers évènements à travers tous les appareils d’un réseau.
Par conséquent, nous lancerons d’ici peu une gamme complète de produits et services pour la création et l’accompagnement permanent en faveur d’une architecture de sécurité adaptative. Sa principale fonctionnalité comprend les systèmes d’analyse des menaces super-sensibles : avec des capteurs tout autour du réseau et sur tous les nœuds nous sommes capables de présenter au consommateur des données plusieurs fois élevées de sorte que les décisions soient prises en connaissance de cause. Ajoutez-y à cela notre expertise humaine et les compétences de nos produits : l’efficacité de la lutte contre les attaques ciblées complexes n’en sera que sensiblement meilleure.
La principale chose à savoir : les consommateurs n’ont pas besoin – et ne devraient pas – plonger dans le grand bain tous seuls lorsqu’il s’agit d’introduire un tel système. Il devrait être abordé par étapes, régulièrement – de manière évolutive, selon la théorie de Darwin, telles que les particularités d’une entreprise donnée, l’infrastructure informatique et autre demande de détails en particulier. L’expérience prouve que les consommateurs préfèrent engager les choses avec des services (formation et rapports d’enquête), et ajouter de nouvelles pièces au puzzle géant de la sécurité adaptative au fur et à mesure qu’ils avancent.
A suivre…
Ce n’est pas un secret si je vous dis que nous ne sommes pas les seuls à développer sans cesse une nouvelle génération de sécurité informatique adaptative. En revanche, nous sommes ravis d’être les leaders en la matière, ce qui nous encourage et nous motive encore plus.
Les consommateurs ne prêtent pas attention au nom d’un produit ou à son apparence sur YouTube ou en termes de marketing. La seule chose qui compte pour eux, toutes choses étant égales, est qu’ils évitent le plus grand nombre d’incidents et les pertes associées. Par conséquent, cela signifie qu’on doit continuer à travailler sans relâche sur la sécurité adaptative, pour satisfaire au mieux le marché.
C’est tout pour aujourd’hui mes amis. Je serai de retour très prochainement avec un nouvel article. J’en écrirai plus concernant la sélection naturelle et la lutte pour la survie – en plus des mutations… inévitables.
@e_kaspersky parle d’un modèle de sécurité adaptatif et du futur de la sécurité informatique Tweet