Stimuler la Croissance des Entreprises en Périodes de Turbulences du Point de Vue du PDG de SOC Prime : Partie II
Table des matières :
Comment la fusion de Sigma & MITRE ATT&CK® renforce la défense cybernétique collective pour obtenir un avantage concurrentiel dans la guerre cybernétique mondiale
Cet article est basé sur l’interview originale menée par AIN.UA et couvert dans l’ article correspondant.
Dans cette deuxième partie de l’interview avec le fondateur, PDG et président de SOC Prime, Andrii Bezverkhyi, nous fournirons des informations sur la manière dont Sigma, en combinaison avec MITRE ATT&CK, façonne l’avenir de la défense cybernétique. Pour en savoir plus sur la stratégie de continuité des affaires de SOC Prime, consultez l’interview initiale avec le CISO de SOC Prime de la série d’articles dédiés.
Qu’est-ce que Sigma et MITRE ATT&CK — « Tableau périodique » des menaces cybernétiques
Sigma, un langage commun pour tous les experts en cybersécurité à travers le monde, a été créé en 2016. À l’époque, Florian Roth et Thomas Patzke ont fait le tout premier engagement dans le référentiel GitHub SigmaHQ . Alors, comment fonctionne ce langage ?
Traditionnellement, les antivirus travaillent avec des bases de données de signatures (la liste des indicateurs) pour toutes les menaces existantes. Les bases de signatures pour les antivirus propriétaires et leurs successeurs, les solutions EDR, sont généralement fermées, donc un utilisateur régulier observe le résultat de la mise en œuvre. Mais avec les connaissances Sigma, les utilisateurs peuvent créer de telles signatures pour toute menace existante ou émergente et ajouter ces signatures à une base de données ouverte accessible par tous.
Sigma permet d’exprimer la signature comportementale pour toute technologie de sécurité, depuis le registre d’événements local pour Microsoft Windows ou Sysmon jusqu’à la télémétrie AWS ou les conteneurs Docker, ce qui permet aux ingénieurs de détection d’identifier le problème exact et où il s’est produit. En exploitant Sigma, l’administrateur de l’entreprise pourra identifier l’hameçonnage via l’URL de l’email, les tentatives d’exploiter une vulnérabilité de type zero-day découverte dans l’application web de l’organisation, ou des attaques potentielles de vérification multi-facteurs (MFA) affectant l’espace de travail Slack de l’entreprise.
Les experts de SOC Prime sont parmi les pionniers dans l’utilisation des règles Sigma pour une détection efficace des menaces et une défense cybernétique proactive. De plus, l’entreprise a été pionnière dans le marquage des règles Sigma avec le cadre MITRE ATT&CK agissant comme une base de connaissances accessible à l’échelle mondiale des TTP adverses utilisées par tous les défenseurs cybernétiques, quel que soit leur rôle en cybersécurité et la pile technologique utilisée. Le cadre a été créé par MITRE, et tout comme Sigma, c’est un projet open-source maintenu et développé par la communauté mondiale d’experts.
Les règles Sigma sont largement recommandées comme un moyen efficace d’identifier les menaces et de détecter proactivement les cyberattaques par des organisations telles que le Federal Bureau of Investigation (FBI), la National Security Agency (NSA), le Centre australien de cybersécurité (ACSC) et le Centre canadien pour la cybersécurité (CCCS). L’Agence de cybersécurité et de sécurité des infrastructures (CISA) fait référence à ATT&CK comme une « base de connaissances accessible à l’échelle mondiale des tactiques et techniques adverses basées sur des observations réelles ».
Avant MITRE ATT&CK, le niveau de maturité en cybersécurité était le même que celui en physique et chimie avant l’invention du tableau périodique. C’est une base de connaissances catégorisée de toutes les cyberattaques émergentes à l’échelle mondiale. Ainsi, Sigma agit comme un langage, et le cadre ATT&CK comme une méthodologie pour combattre les menaces cybernétiques de toute échelle.
Andrii Bezverkhyi, fondateur, PDG et président de SOC Prime
Alors, comment cela fonctionne-t-il en pratique ? Dans le cas de la fameuse attaque NotPetya, des règles Sigma pour la détection des menaces ont été élaborées par l’un des inventeurs de Sigma, Florian Roth, et l’expert en cybersécurité, Tom Ueltschi. Parallèlement, l’équipe SOC Prime exploitait ces règles Sigma pour aider les victimes de l’attaque NotPetya sur place en fusionnant Sigma avec ATT&CK et les technologies Lockheed Martin Cyber Kill Chain (LMCKC). C’était la toute première utilisation mondiale des algorithmes Sigma en combinaison avec ATT&CK pour identifier et attribuer la véritable menace.
Lors de l’attaque Sandworm sur les installations électriques ukrainiennes en avril 2022, l’équipe SOC Prime a identifié 9 des 13 méthodes exploitées par les acteurs de la menace en utilisant les mêmes technologies. Notamment, les règles Sigma pour cette attaque avaient été développées deux ans plus tôt, en 2020.
SOC Prime est l’un des experts renommés dans l’exploitation de Sigma & MITRE ATT&CK pour détecter les menaces plus facilement, plus rapidement et plus efficacement que jamais auparavant. En mai 2022, le PDG de SOC Prime a présenté lors du Neuvième atelier communautaire EU MITRE ATT&CK à Bruxelles. Lors de sa présentation, Andrii Bezverkhyi a parlé de l’utilisation de Sigma et ATT&CK pour faire face à l’agression russe sur le front cybernétique, en appliquant le cadre comme l’un des piliers clés de la défense cybernétique collective et son rôle essentiel dans la lutte contre les menaces cybernétiques mondiales. Et dorénavant, ces technologies servent la nation ukrainienne.
Comment la combinaison de Sigma et MITRE ATT&CK aide l’Ukraine à combattre l’ennemi
Depuis le début de la guerre à grande échelle, Andrii Bezverkhyi s’est tourné vers le SSSCIP avec une offre d’appliquer Sigma en conjonction avec ATT&CK comme une technologie déjà testée sur le champ de bataille réel.
Nous avons le plus grand référentiel mondial de signatures pour détecter les attaques adverses, et nous sommes prêts à fournir ces signatures aux organisations en Ukraine. De plus, nous aidons à l’installation et aux réglages, nous formons les employés, et pour 99 % de cela, nous le faisons gratuitement. C’est ainsi que nous avons commencé à travailler avec les équipes SSSCIP et CERT-UA.
Andrii Bezverkhyi, fondateur, PDG et président de SOC Prime
SOC Prime fournit au Centre de protection cybernétique de l’État et aux équipes CERT-UA un accès gratuit à ses technologies de défense cybernétique et à une formation professionnelle sur demande. Si les représentants de l’infrastructure critique de l’Ukraine (sociétés d’énergie, entreprises de transport, fournisseurs de services postaux ou de communication, etc.) se tournent vers SOC Prime sur recommandation du SSSCIP, l’équipe leur fournit des technologies de base pour se défendre contre l’ennemi.
Le SSSCIP ne correspond pas à l’image typique de l’institution gouvernementale bureaucratique. Le flux de travail et les communications sont purement démocratiques : le service conseille, ne pousse pas, et son équipe dirige, ne force pas. Et c’est probablement notre principale différence avec les Russes. Outre le fait de tirer parti de la technologie innovante, nous agissons en tant que consultants. C’est important puisque, malheureusement, il y a un manque majeur de professionnels en cybersécurité dans les administrations locales ou les cliniques.
Andrii Bezverkhyi, fondateur, PDG et président de SOC Prime
De plus, le SSSCIP agit comme un régulateur dans le domaine de la protection des données et des communications définies par la loi. De plus, le service assiste les entreprises ukrainiennes en considérant que tous les actifs à travers le pays doivent être protégés. C’est une condition préalable majeure pour la résilience cybernétique de l’État.
Les technologies de pointe appliquées par l’ennemi dans le cyberespace ne sont que fictives. L’agresseur utilise ce que le monde exploite depuis des années. Si toutes les organisations publiques et privées utilisaient Sigma et ATT&CK, bloquaient automatiquement les méthodes de déplacement latéral les plus courantes, et partageaient les détails sur l’infrastructure de l’adversaire — toute attaque cybernétique serait facilement détectée en quelques secondes. Cependant, ce n’est qu’une vision de l’avenir idéal possible dans trois ou cinq ans.
Pour réaliser cette vision du futur, la communauté de la cybersécurité doit former et soutenir la prochaine génération de praticiens en cybersécurité qualifiés dans les nouvelles technologies. Parmi les moyens d’atteindre cet objectif ambitieux figure le programme de récompense des menaces de SOC Prime.
La première étape pour combattre une menace cybernétique est son identification. Sans cela, aucune opération de défense cybernétique ne peut être efficace. Depuis plus de 30 ans, l’industrie offre des récompenses monétaires (bounty) aux spécialistes qui signalent les vulnérabilités de sécurité découvertes dans les réseaux, les sites web et les services. Il est grand temps maintenant pour les programmes de récompenser ceux qui peuvent identifier et décrire la logique de l’attaque. Ce n’est que l’autre face de la médaille. Pour se défendre efficacement contre les menaces cybernétiques, le nombre de personnes décrivant la défense ne devrait pas être inférieur à ceux décrivant l’offensive.
La communauté du Threat Bounty connecte désormais plus de 620 membres, et ce nombre ne cesse de croître. Depuis le lancement du programme, le montant total des récompenses versées a déjà atteint 377 000 $. Dans certains cas, les récompenses mensuelles pour un membre ont atteint 2 700 $ — ce qui peut être comparé à un salaire d’emploi à temps plein. Avant que SOC Prime lève le financement de la série A, la récompense était payée sur les revenus de l’entreprise, mais bientôt l’investisseur a soutenu l’initiative. De plus, SOC Prime discute avec Google et Microsoft des opportunités pour qu’ils rejoignent en tant que sponsors.
Pour renforcer la défense cybernétique collective, l’industrie nécessite plus d’experts compétents dans les technologies innovantes de cybersécurité et capables d’identifier et de classer toute menace en quelques secondes. Et la demande pour de tels experts en Ukraine est élevée car le pays est en première ligne de la guerre en défendant dans tous les domaines — de la terre au cyberespace.
Même si le Mordor s’autodétruisait demain, la guerre cybernétique continuerait. Par conséquent, l’Ukraine doit être capable de se défendre. C’est pourquoi nous devons former des personnes impliquées dans la défense cybernétique pour assurer un avenir plus sûr.
Andrii Bezverkhyi, fondateur, PDG et président de SOC Prime
