La plupart d'entre nous peuvent se souvenir d’un moment où il a reçu un courriel de phishing. En fait, la plupart des e-mails de phishing sont faciles à identifier et se transforment automatiquement en spam. Cependant, dans cette pandémie en cours, les pirates informatiques adoptent des tactiques avancées qui dissimulent habilement leurs intentions malveillantes et passent inaperçus en exploitant la peur, l'anxiété ou la simple négligence de la victime. Prétendant détenir des informations sur le coronavirus, ces courriels de phishing injectent des logiciels malveillants, volent des identifiants et peuvent même extorquer de l'argent aux utilisateurs. Dans ce blog, nous vous donnons cinq conseils pour vous protéger, vous et votre entreprise, contre ces dangereuses attaques de phishing.
Pour fonctionner efficacement, les entreprises utilisent aujourd'hui de nombreux appareils tels que les ordinateurs portables, les ordinateurs de bureau et les appareils mobiles. La sécurisation de tous ces appareils - collectivement appelés "terminaux" - améliore considérablement la sécurité globale du réseau informatique de votre entreprise. Ce blog peut vous aider à démarrer avec la sécurité des terminaux.
Le piratage informatique consiste à trouver un moyen d'atteindre un objectif, à ne jamais accepter de refus pour une réponse, et à être plus persévérant et patient que quiconque. - Paul Asadoorian, fondateur et directeur technique de Security Weekly.
Les hackers s'arment des dernières technologies, utilisent différentes techniques et tentent d'exploiter toutes les vulnérabilités possibles dans la sécurité d'une entreprise. Avec ces outils à leur disposition, ils persisteront jusqu'à ce qu'ils obtiennent ce qu'ils veulent.
Pour garder une longueur d'avance sur les hackers et se tenir au fait des technologies de pointe, votre entreprise a besoin d'une équipe dédiée dont l'objectif principal est de détecter et de stopper les cyberattaques qui la menacent. C'est là que les centres d'opérations de sécurité (SOC) entrent en jeu.
Dans la première partie de cette série de blogs sur les SOC, nous traiterons de ce qu'ils sont et de leur fonctionnement, et plus tard, nous plongerons plus en détail dans les SOC et jetterons un regard sur la vie d'un analyste de SOC.
Qu'est-ce qu'un centre d'opérations de sécurité ?
Un SOC est une installation centrale pour une équipe d'experts en sécurité qui travaillent 24 heures sur 24 pour surveiller et arrêter les menaces à la sécurité d'une entreprise. L'objectif de l'équipe SOC est de détecter, d'enquêter et de limiter les cyberattaques en utilisant une combinaison de solutions technologiques et de flux de travail.
Contrairement à un service informatique ordinaire, les SOC sont généralement composés d'ingénieurs spécialisés en sécurité. Selon l'entreprise, les SOC peuvent également inclure des experts en sécurité ayant des compétences spécifiques dans des domaines de la cybersécurité comme la détection des intrusions, la rétro-ingénierie des logiciels malveillants, l'analyse des risques, l'analyse médico-légale, la cryptanalyse, etc.
Les SOC ont deux responsabilités importantes parmi d'autres : contrecarrer les cyberattaques et surveiller la conformité aux obligations.
Contrecarrer les cyberattaques
Les SOC surveillent et analysent l'activité sur les réseaux, serveurs, bases de données, applications, sites web et autres systèmes d'une entreprise, à la recherche d'activités malveillantes qui pourraient indiquer un incident de sécurité ou une compromission. Afin de limiter les attaques de manière efficace, les membres de l'équipe SOC doivent connaître les dernières tendances en matière de cybercriminalité, les nouveaux développements en matière de sécurité et les bonnes pratiques recommandées.
D'autres activités telles que la réalisation régulière de contrôles de maintenance, la mise à jour des systèmes existants, la correction des vulnérabilités et la mise à jour des règles de pare-feu doivent également être effectuées par l'équipe. Souvent, les alarmes de sécurité peuvent être déclenchées par une action justifiée, c'est pourquoi les SOC visent également à éliminer les faux positifs. Une partie importante de ce processus consiste à ajouter de nouvelles règles et à modifier les règles existantes qui déclenchent des faux positifs.
Contrôle du respect des obligations
Le respect des exigences de conformité n'est pas un travail ponctuel ; que ce soit pour un audit de sécurité interne ou pour se conformer à des obligations réglementaires, il est nécessaire de surveiller en permanence le réseau pour détecter toute violation. Les SOC mènent ces activités régulières de surveillance des utilisateurs et des changements afin de s'assurer que les normes de conformité sont toujours respectées. La préparation de rapports d'audit pour les conformités réglementaires telles que PCI DSS, HIPAA, SOX, GDPR, FISMA, etc. est l'une des principales responsabilités des SOC.
Comment les SOC fonctionnent-ils ?
Les SOC utilisent principalement des solutions de gestion des informations et des événements de sécurité (SIEM) pour contrecarrer les attaques et répondre aux exigences de conformité. Ces systèmes SIEM utilisent diverses techniques pour établir et maintenir la sécurité, et mettent en corrélation tous les événements de sécurité afin de détecter tout signe d'attaque. Les menaces de moindre importance sont surveillées pour détecter les signes d'éventuelles futures attaques silencieuses.
Une solution SIEM offre certaines fonctionnalités essentielles :
- Gestion des logs - Gestion des incidents - Surveillance des activités des utilisateurs privilégiés - Threat intelligence - Analyse des entités et du comportement des utilisateurs (UEBA) - Analyse et rapports médico-légaux - Contrôle de l'intégrité des fichiers - Audit des bases de données et des applications - Contrôle de l'intégrité des fichiers - Audit des bases de données et des applications - Audit des périphériques réseau - Audit des changements dans l'Active Directory
Chacune de ces fonctionnalités garantit que le réseau de l'entreprise est protégé contre différents types de cyberattaques. Comme les cyberattaques peuvent s'intensifier rapidement, les outils et systèmes utilisés par le SOC doivent être automatisés pour prendre immédiatement des mesures correctives.
Découvrez Log360, la solution unique de ManageEngine pour les problèmes de sécurité des réseaux, et bien plus encore. Testez gratuitement pendant 30 jours les fonctionnalités de Log360.
Le dixième rapport d'enquête 2017 sur les compromissions de données (Verizon’s annual Data Breach Investigations Report ou DBIR) est sorti en Avril 2017. Le DBIR apporte beaucoup d’informations dans son analyse détaillée des incidents de sécurité et des violations de données à travers le monde. A première vue, les statistiques pour 2016 semblent bonnes par rapport à 2015.
Par exemple, le nombre d'incidents de sécurité est passé de 64199 en 2015 à 42068 en 2016. Et ce n'est pas la seule bonne nouvelle. Le nombre confirmé de violations de données est également passé de 2260 en 2015 à 1935 en 2016. Nous avons d'abord été impressionnés puis nous avons examiné plus attentivement les informations et nous y avons trouvé des faits troublants.
La mauvaise utilisation des privilèges est présentée dans le rapport comme l'une des principales menaces.
