Bruce Schneier: l’avenir de la réponse aux incidents

Bruce Schneier

La sécurité est une combinaison de protection, de détection et de réponse. Il a fallu beaucoup de temps à l’industrie pour arriver à ce point cependant. Les années 1990 ont été l’ère de la protection. Notre industrie était pleine de produits qui permettraient de protéger vos ordinateurs et vos réseaux. En 2000, nous avons réalisé qu’il fallait aussi formaliser la détection et l’industrie était pleine de services et de produits de détection.

Cette décennie est celle de la réponse. Au cours des dernières années, nous avons commencé à voir des produits et services de réponse aux incidents (IR). Les équipes de sécurité les incorporent dans leur arsenal en raison de trois tendances en informatique. Premièrement, nous avons perdu la maîtrise de notre environnement informatique. Une partie de nos données est maintenue dans le nuage informatique par d’autres entreprises, et plusieurs de nos réseaux sont externalisées. Cela rend les interventions plus compliquées, parce que nous n’avons pas toujours de visibilité sur des parties critiques de nos infrastructures réseau .

Deuxièmement, les attaques deviennent plus sophistiquées. La montée des APT (Advanced Persistent Threat, menace permanente avancée) – des attaques sur des cibles qui ne sont pas motivées par l’appât du gain – apporte avec elle un nouveau genre de pirate, qui exige une nouvelle modélisation des menaces. Et comme le piratage devient une partie de plus en plus intégrante de la géopolitique, les réseaux indépendants sont souvent les dommages collatéraux des combats entre États nations.

Troisièmement, les entreprises continuent de sous-investir dans la protection et la détection, qui sont imparfaites, même dans le meilleur des cas, obligeant les réponses à prendre le relais.

Dans les années quatre-vingt-dix, j’avais l’habitude de dire que « la sécurité est un processus, pas un produit ». C’était une déclaration stratégique concernant l’idée fausse qu’on peut en avoir fini avec sécurité ; face à un paysage changeant des menaces, vous devez continuellement réévaluer votre politique de sécurité.

Sur le plan tactique, la sécurité est à la fois un produit et un processus. En réalité, c’est une combinaison de personnes, processus et technologies. Ce qui change, ce sont les ratios. Les systèmes de protection sont presque uniquement de la technologie, avec l’aide de personnes et processus. La détection nécessite plus ou moins une proportion égale de personnes, processus et technologie. La réponse est principalement le fait de personnes, avec une aide cruciale du processus et de la technologie.

Le gourou de la facilité d’utilisation, Lorrie Faith Cranor, écrivit un jour :

« Lorsque cela est possible, les concepteurs de systèmes sécurisés devraient trouver des moyens de garder les humains hors de la boucle. »

Voilà de sages conseils, mais vous ne pouvez pas automatiser l’IR. Le réseau de chacun est différent. Toutes les attaques sont différentes. Tous les environnements de sécurité sont différents. Les environnements réglementaires sont différents. Tous les organismes sont différents, et des considérations politiques et économiques sont souvent plus importantes que les considérations techniques. L’IR a besoin de personnes, parce qu’une IR réussie nécessite réflexion.

C’est nouveau pour l’industrie de la sécurité, et cela signifie que les services et produits de réaction seront différents. Pendant la majeure partie de sa vie, l’industrie de la sécurité a été en proie aux problèmes d’un marché de citrons. C’est un terme économique qui fait référence à un marché où les acheteurs ne peuvent pas faire la différence entre les bons et les mauvais produits. Sur ces marchés, les produits médiocres font disparaître les bons produits ; le prix est le critère d’achat, car il n’y a pas de bonne façon de tester la qualité. Ça a été le cas des antivirus, ça a été le cas des pare-feu, ça a été le cas des IDS (NDE : Intrusion Detection System, Système de détection d’intrusion), et ça a été le cas ailleurs. Mais parce que l’IR est axée sur les gens, alors la protection et détection ne le sont pas dans une telle mesure, ce ne sera pas le cas ici. Les meilleurs produits se vendront mieux parce que les acheteurs seront rapidement en mesure de déterminer qu’ils sont meilleurs.

La clé du succès de l’IR se trouve dans la phrase suivante de Cranor :

« Toutefois, il existe certaines tâches pour lesquelles les solutions envisageables et rentables de remplacement des humains ne sont pas disponibles. Dans ce cas, les concepteurs de systèmes doivent bâtir leurs systèmes afin d’aider les humains à s’y intégrer et maximiser leurs chances de remplir avec succès leurs fonctions critiques pour la sécurité. »

Ce dont nous avons besoin, c’est une technologie qui aide les gens, pas une technologie qui les remplace.

La meilleure façon que j’ai trouvée d’y réfléchir est la boucle OODA. OODA signifie « observer, orienter, décider, agir », et c’est une façon développée par le stratège militaire de l’US Air Force John Boyd d’imaginer des situations contradictoires en temps réel. Il pensait à des avions de combat, mais l’idée générale a été appliquée à tout, des négociations contractuelles à la boxe, de l’informatique aux réseaux IR.

La vitesse est essentielle. Dans ces situations, les gens traversent constamment les boucles OODA dans leur tête Et si vous pouvez imaginer plus rapidement que l’autre – si vous pouvez « pénétrer à l’intérieur de sa boucle OODA » alors vous avez un avantage énorme.

Nous avons besoin d’outils pour faciliter toutes ces étapes :

* Observer, ce qui signifie savoir ce qui se passe sur nos réseaux en temps réel. Cela inclut les informations de détection des menaces en temps réel des IDS, la surveillance et analyse des données des journaux de bord, des données de performance de système et réseau, des données standard de gestion de réseau et même des données sur la sécurité physique – et puis des outils pour savoir quels outils utiliser pour synthétiser et présenter dans des formats utiles. Les incidents ne sont pas normalisés ; ils sont tous différents. Plus une équipe IR peut observer ce qui se passe sur le réseau, plus elle peut comprendre l’attaque. Cela signifie qu’une équipe IR doit être capable d’opérer à travers toute l’organisation.

* Orienter, c’est-à-dire de comprendre ce que cela signifie dans le contexte, aussi bien dans le contexte de l’organisation que dans le contexte de la grande communauté de l’Internet. Il ne suffit pas de connaître une attaque ; Les équipes IR ont besoin de savoir ce que cela signifie. Un nouveau logiciel malveillant est-il utilisé par les cybercriminels ? L’organisation déploie-t-elle un nouveau progiciel ou prépare-t-elle des licenciements ? L’organisation a-t-elle déjà été victime d’attaques de cette adresse IP particulière ? Le réseau a-t-il été ouvert à un nouveau partenaire stratégique ? Répondre à questions, c’est mettre en correspondance les données du réseau aux informations de l’actualité, aux flux d’intelligence réseau et aux autres informations de l’organisation. Ce qui se passe dans une organisation est souvent plus pertinent pour une équipe de réponse aux incidents que les détails techniques d’une attaque.

* Décider, ce qui signifie trouver quoi faire et à quel moment. C’est en fait difficile car il s’agit de savoir qui a le pouvoir de décider et de lui donner les informations nécessaires pour décider rapidement. Les décisions IR impliquent souvent des contributions de dirigeants, il est donc important d’être en mesure de leur donner l’information dont ils ont besoin rapidement et efficacement. Toutes les décisions doivent être justifiables après coup et documentées. Les environnements réglementaires et la gestion des litiges sont devenus très complexes, et il faut en tenir compte dans les décisions, pour se protéger.

* Agir, ce qui signifie être capable d’opérer des modifications rapidement et efficacement sur nos réseaux. Les équipes IR ont besoin d’un accès au réseau de l’organisation – de tout le réseau de l’organisation. Encore une fois, les incidents sont différents, et il est impossible de savoir à l’avance de quel type d’accès une équipe IR aura besoin. Mais en fin de compte, ils ont besoin d’un accès étendu ; la sécurité viendra d’un audit plutôt que d’un contrôle d’accès. Et ils doivent s’entraîner à plusieurs reprises, parce que rien n’améliore la capacité d’une personne à agir plus que la pratique.

L’utilisation de tous ces outils ensemble dans un cadre unifié fera le succès de l’équipe. Et faire marcher la réponse aux incidents, c’est la touche ultime pour faire fonctionner la sécurité. Le but ici est de réunir les gens, la technologie et les processus, d’une manière que nous n’avons pas vue auparavant en matière de sécurité réseau. C’est quelque chose que nous devons faire pour continuer à nous défendre contre les menaces.

Cet article a d’abord été publié dans IEEE Security & Privacy.

Texte © 2014 Bruce Schneier, CTO, Co3 Systems, Inc.
Traduction française et mise en forme © 2014 Le Diligent
Portrait de Bruce Schneier © Ann De Wulf