Stimuler la Croissance des Entreprises en PĂ©riodes de Turbulences du Point de Vue du PDG de SOC Prime : Partie II
Table des matières :
Comment la fusion de Sigma & MITRE ATT&CK® renforce la défense cybernétique collective pour obtenir un avantage concurrentiel dans la guerre cybernétique mondiale
Cet article est basĂ© sur l’interview originale menĂ©e par AIN.UA et couvert dans l’ article correspondant. Â
Dans cette deuxième partie de l’interview avec le fondateur, PDG et prĂ©sident de SOC Prime, Andrii Bezverkhyi, nous fournirons des informations sur la manière dont Sigma, en combinaison avec MITRE ATT&CK, façonne l’avenir de la dĂ©fense cybernĂ©tique. Pour en savoir plus sur la stratĂ©gie de continuitĂ© des affaires de SOC Prime, consultez l’interview initiale avec le CISO de SOC Prime de la sĂ©rie d’articles dĂ©diĂ©s.
Qu’est-ce que Sigma et MITRE ATT&CK — « Tableau pĂ©riodique » des menaces cybernĂ©tiques
Sigma, un langage commun pour tous les experts en cybersĂ©curitĂ© Ă travers le monde, a Ă©tĂ© crĂ©Ă© en 2016. Ă€ l’Ă©poque, Florian Roth et Thomas Patzke ont fait le tout premier engagement dans le rĂ©fĂ©rentiel GitHub SigmaHQ . Alors, comment fonctionne ce langage ?
Traditionnellement, les antivirus travaillent avec des bases de données de signatures (la liste des indicateurs) pour toutes les menaces existantes. Les bases de signatures pour les antivirus propriétaires et leurs successeurs, les solutions EDR, sont généralement fermées, donc un utilisateur régulier observe le résultat de la mise en œuvre. Mais avec les connaissances Sigma, les utilisateurs peuvent créer de telles signatures pour toute menace existante ou émergente et ajouter ces signatures à une base de données ouverte accessible par tous.
Sigma permet d’exprimer la signature comportementale pour toute technologie de sĂ©curitĂ©, depuis le registre d’Ă©vĂ©nements local pour Microsoft Windows ou Sysmon jusqu’Ă la tĂ©lĂ©mĂ©trie AWS ou les conteneurs Docker, ce qui permet aux ingĂ©nieurs de dĂ©tection d’identifier le problème exact et oĂą il s’est produit. En exploitant Sigma, l’administrateur de l’entreprise pourra identifier l’hameçonnage via l’URL de l’email, les tentatives d’exploiter une vulnĂ©rabilitĂ© de type zero-day dĂ©couverte dans l’application web de l’organisation, ou des attaques potentielles de vĂ©rification multi-facteurs (MFA) affectant l’espace de travail Slack de l’entreprise.
Les experts de SOC Prime sont parmi les pionniers dans l’utilisation des règles Sigma pour une dĂ©tection efficace des menaces et une dĂ©fense cybernĂ©tique proactive. De plus, l’entreprise a Ă©tĂ© pionnière dans le marquage des règles Sigma avec le cadre MITRE ATT&CK agissant comme une base de connaissances accessible Ă l’Ă©chelle mondiale des TTP adverses utilisĂ©es par tous les dĂ©fenseurs cybernĂ©tiques, quel que soit leur rĂ´le en cybersĂ©curitĂ© et la pile technologique utilisĂ©e. Le cadre a Ă©tĂ© crĂ©Ă© par MITRE, et tout comme Sigma, c’est un projet open-source maintenu et dĂ©veloppĂ© par la communautĂ© mondiale d’experts.
Les règles Sigma sont largement recommandĂ©es comme un moyen efficace d’identifier les menaces et de dĂ©tecter proactivement les cyberattaques par des organisations telles que le Federal Bureau of Investigation (FBI), la National Security Agency (NSA), le Centre australien de cybersĂ©curitĂ© (ACSC) et le Centre canadien pour la cybersĂ©curitĂ© (CCCS). L’Agence de cybersĂ©curitĂ© et de sĂ©curitĂ© des infrastructures (CISA) fait rĂ©fĂ©rence Ă ATT&CK comme une « base de connaissances accessible Ă l’Ă©chelle mondiale des tactiques et techniques adverses basĂ©es sur des observations rĂ©elles ».
Avant MITRE ATT&CK, le niveau de maturitĂ© en cybersĂ©curitĂ© Ă©tait le mĂŞme que celui en physique et chimie avant l’invention du tableau pĂ©riodique. C’est une base de connaissances catĂ©gorisĂ©e de toutes les cyberattaques Ă©mergentes Ă l’Ă©chelle mondiale. Ainsi, Sigma agit comme un langage, et le cadre ATT&CK comme une mĂ©thodologie pour combattre les menaces cybernĂ©tiques de toute Ă©chelle.
Andrii Bezverkhyi, fondateur, PDG et président de SOC Prime
Alors, comment cela fonctionne-t-il en pratique ? Dans le cas de la fameuse attaque NotPetya, des règles Sigma pour la dĂ©tection des menaces ont Ă©tĂ© Ă©laborĂ©es par l’un des inventeurs de Sigma, Florian Roth, et l’expert en cybersĂ©curitĂ©, Tom Ueltschi. Parallèlement, l’Ă©quipe SOC Prime exploitait ces règles Sigma pour aider les victimes de l’attaque NotPetya sur place en fusionnant Sigma avec ATT&CK et les technologies Lockheed Martin Cyber Kill Chain (LMCKC). C’Ă©tait la toute première utilisation mondiale des algorithmes Sigma en combinaison avec ATT&CK pour identifier et attribuer la vĂ©ritable menace.
Lors de l’attaque Sandworm sur les installations Ă©lectriques ukrainiennes en avril 2022, l’Ă©quipe SOC Prime a identifiĂ© 9 des 13 mĂ©thodes exploitĂ©es par les acteurs de la menace en utilisant les mĂŞmes technologies. Notamment, les règles Sigma pour cette attaque avaient Ă©tĂ© dĂ©veloppĂ©es deux ans plus tĂ´t, en 2020.
SOC Prime est l’un des experts renommĂ©s dans l’exploitation de Sigma & MITRE ATT&CK pour dĂ©tecter les menaces plus facilement, plus rapidement et plus efficacement que jamais auparavant. En mai 2022, le PDG de SOC Prime a prĂ©sentĂ© lors du Neuvième atelier communautaire EU MITRE ATT&CK Ă Bruxelles. Lors de sa prĂ©sentation, Andrii Bezverkhyi a parlĂ© de l’utilisation de Sigma et ATT&CK pour faire face Ă l’agression russe sur le front cybernĂ©tique, en appliquant le cadre comme l’un des piliers clĂ©s de la dĂ©fense cybernĂ©tique collective et son rĂ´le essentiel dans la lutte contre les menaces cybernĂ©tiques mondiales. Et dorĂ©navant, ces technologies servent la nation ukrainienne.
Comment la combinaison de Sigma et MITRE ATT&CK aide l’Ukraine Ă combattre l’ennemi
Depuis le dĂ©but de la guerre Ă grande Ă©chelle, Andrii Bezverkhyi s’est tournĂ© vers le SSSCIP avec une offre d’appliquer Sigma en conjonction avec ATT&CK comme une technologie dĂ©jĂ testĂ©e sur le champ de bataille rĂ©el.
Nous avons le plus grand rĂ©fĂ©rentiel mondial de signatures pour dĂ©tecter les attaques adverses, et nous sommes prĂŞts Ă fournir ces signatures aux organisations en Ukraine. De plus, nous aidons Ă l’installation et aux rĂ©glages, nous formons les employĂ©s, et pour 99 % de cela, nous le faisons gratuitement. C’est ainsi que nous avons commencĂ© Ă travailler avec les Ă©quipes SSSCIP et CERT-UA.
Andrii Bezverkhyi, fondateur, PDG et président de SOC Prime
SOC Prime fournit au Centre de protection cybernĂ©tique de l’État et aux Ă©quipes CERT-UA un accès gratuit Ă ses technologies de dĂ©fense cybernĂ©tique et Ă une formation professionnelle sur demande. Si les reprĂ©sentants de l’infrastructure critique de l’Ukraine (sociĂ©tĂ©s d’Ă©nergie, entreprises de transport, fournisseurs de services postaux ou de communication, etc.) se tournent vers SOC Prime sur recommandation du SSSCIP, l’Ă©quipe leur fournit des technologies de base pour se dĂ©fendre contre l’ennemi.
Le SSSCIP ne correspond pas Ă l’image typique de l’institution gouvernementale bureaucratique. Le flux de travail et les communications sont purement dĂ©mocratiques : le service conseille, ne pousse pas, et son Ă©quipe dirige, ne force pas. Et c’est probablement notre principale diffĂ©rence avec les Russes. Outre le fait de tirer parti de la technologie innovante, nous agissons en tant que consultants. C’est important puisque, malheureusement, il y a un manque majeur de professionnels en cybersĂ©curitĂ© dans les administrations locales ou les cliniques.
Andrii Bezverkhyi, fondateur, PDG et président de SOC Prime
De plus, le SSSCIP agit comme un rĂ©gulateur dans le domaine de la protection des donnĂ©es et des communications dĂ©finies par la loi. De plus, le service assiste les entreprises ukrainiennes en considĂ©rant que tous les actifs Ă travers le pays doivent ĂŞtre protĂ©gĂ©s. C’est une condition prĂ©alable majeure pour la rĂ©silience cybernĂ©tique de l’État.
Les technologies de pointe appliquĂ©es par l’ennemi dans le cyberespace ne sont que fictives. L’agresseur utilise ce que le monde exploite depuis des annĂ©es. Si toutes les organisations publiques et privĂ©es utilisaient Sigma et ATT&CK, bloquaient automatiquement les mĂ©thodes de dĂ©placement latĂ©ral les plus courantes, et partageaient les dĂ©tails sur l’infrastructure de l’adversaire — toute attaque cybernĂ©tique serait facilement dĂ©tectĂ©e en quelques secondes. Cependant, ce n’est qu’une vision de l’avenir idĂ©al possible dans trois ou cinq ans.
Pour rĂ©aliser cette vision du futur, la communautĂ© de la cybersĂ©curitĂ© doit former et soutenir la prochaine gĂ©nĂ©ration de praticiens en cybersĂ©curitĂ© qualifiĂ©s dans les nouvelles technologies. Parmi les moyens d’atteindre cet objectif ambitieux figure le programme de rĂ©compense des menaces de SOC Prime.Â
La première Ă©tape pour combattre une menace cybernĂ©tique est son identification. Sans cela, aucune opĂ©ration de dĂ©fense cybernĂ©tique ne peut ĂŞtre efficace. Depuis plus de 30 ans, l’industrie offre des rĂ©compenses monĂ©taires (bounty) aux spĂ©cialistes qui signalent les vulnĂ©rabilitĂ©s de sĂ©curitĂ© dĂ©couvertes dans les rĂ©seaux, les sites web et les services. Il est grand temps maintenant pour les programmes de rĂ©compenser ceux qui peuvent identifier et dĂ©crire la logique de l’attaque. Ce n’est que l’autre face de la mĂ©daille. Pour se dĂ©fendre efficacement contre les menaces cybernĂ©tiques, le nombre de personnes dĂ©crivant la dĂ©fense ne devrait pas ĂŞtre infĂ©rieur Ă ceux dĂ©crivant l’offensive.
La communautĂ© du Threat Bounty connecte dĂ©sormais plus de 620 membres, et ce nombre ne cesse de croĂ®tre. Depuis le lancement du programme, le montant total des rĂ©compenses versĂ©es a dĂ©jĂ atteint 377 000 $. Dans certains cas, les rĂ©compenses mensuelles pour un membre ont atteint 2 700 $ — ce qui peut ĂŞtre comparĂ© Ă un salaire d’emploi Ă temps plein. Avant que SOC Prime lève le financement de la sĂ©rie A, la rĂ©compense Ă©tait payĂ©e sur les revenus de l’entreprise, mais bientĂ´t l’investisseur a soutenu l’initiative. De plus, SOC Prime discute avec Google et Microsoft des opportunitĂ©s pour qu’ils rejoignent en tant que sponsors.
Pour renforcer la dĂ©fense cybernĂ©tique collective, l’industrie nĂ©cessite plus d’experts compĂ©tents dans les technologies innovantes de cybersĂ©curitĂ© et capables d’identifier et de classer toute menace en quelques secondes. Et la demande pour de tels experts en Ukraine est Ă©levĂ©e car le pays est en première ligne de la guerre en dĂ©fendant dans tous les domaines — de la terre au cyberespace.
MĂŞme si le Mordor s’autodĂ©truisait demain, la guerre cybernĂ©tique continuerait. Par consĂ©quent, l’Ukraine doit ĂŞtre capable de se dĂ©fendre. C’est pourquoi nous devons former des personnes impliquĂ©es dans la dĂ©fense cybernĂ©tique pour assurer un avenir plus sĂ»r.
Andrii Bezverkhyi, fondateur, PDG et président de SOC Prime
