Blog - article

Sorry, this blog post has not been posted yet. Come back and check again later!

Enquête de la conférence Black Hat 2018: le temps et les compétences avant tout

By:
Chris Morales
September 20, 2018

La conférence BlackHat est formidable. Il n'existe pas de meilleur endroit pour découvrir la réalité de notre secteur, notamment ce qui préoccupe vraiment les professionnels de la sécurité des informations. Comme nous voulons toujours être en phase avec nos clients, il nous a semblé que la conférence BlackHat offrait l'occasion idéale de leur demander ce qui leur importe.

Nous avons mené l'enquête

Pour mieux comprendre ce qui compte pour nos clients, nous avons mené une simple enquête axée sur quatre questions à la conférenceBlack Hat. Deux questions visaient à comprendre quelles tâches les professionnels de la sécurité trouvent fastidieuses et chronophages, et à quoi ils préféreraient consacrer leur temps de travail. Les deux autres questions avaient pour but de mieux cerner leur personnalité. Nous leur avons donc demandé quel Avenger ils aimeraient être et quels super-pouvoirs ils souhaiteraient posséder.

Qui a répondu à l'enquête?

La conférence BlackHat fourmille de gens qui passent leurs journées à traquer les menaces et à gérer ou concevoir des centres SOC chargés d'intervenir sur tous les incidents, des alertes de sécurité aux cyberattaques.

C'est le public idéal. Les 879personnes interrogées comprenaient un échantillon représentatif de responsables de la sécurité des informations, d'architectes en sécurité, de chercheurs en sécurité et de membres du personnel de centresSOC et de centres de données.

Qu'avons-nous appris?

Le temps est le facteur le plus important dans la détection des violations de cybersécurité. Pour empêcher le vol ou la destruction de données essentielles, les menaces doivent être détectées, confirmées, neutralisées et vérifiées en temps quasi réel. Pour mettre en place les processus les plus rapides et efficaces, il est judicieux d'associer l'homme à la machine, ce qui permet à chacun de se concentrer sur ce qu'il fait le mieux.

Quel Avenger voudriez-vous être?

La plupart des personnes interrogées à la conférence BlackHat veulent être un milliardaire technophile extrêmement intelligent à la tête d'une entreprise internationale.

Amateur de vol spatial et de voitures futuristes, ce milliardaire s'épanouit grâce à sa capacité de concevoir et construire des gadgets innovants avec l'aide d'un assistant virtuel ultrasophistiqué doté d'une intelligence artificielle.

Non, il ne s'agit pas d'Elon Musk. Les professionnels de la sécurité veulent être IronMan (alias Tony Stark). Captain America, Ant Man et Dr. Strange arrivent respectivement en deuxième, troisième et quatrième position.

Quels super-pouvoirs vous seraient les plus utiles dans vos fonctions en qualité de professionnel de la sécurité?

Le super-pouvoir le plus convoité s'avère cohérent avec les Avengers de Marvel: l'intelligence surnaturelle.

Nous comprenons parfaitement cela. Les investigations des incidents exigent un large éventail de compétences spécialisées, notamment en matière d'analyse des malwares, d'investigation numérique basée sur les journaux et les paquets, et de corrélation de gros volumes de données issues de sources très diverses.

Il est difficile de trouver suffisamment de personnes compétentes pour mener des investigations efficaces, et celles qui existent déjà sont surchargées de travail.

La bonne nouvelle, c'est qu'un certain niveau d'intelligence surnaturelle est aujourd'hui accessible. Comment? En optimisant les meilleures compétences de l'intelligence humaine à l'aide de l'intelligence artificielle.

Au sein des entreprises qui ont recours à l'intelligence artificielle, il existe une tendance notable à automatiser les tâches d'intervention sur incidents les plus fastidieuses afin d'alléger la charge de travail de l'équipe du centre SOC. Les analystes en sécurité peuvent ainsi se concentrer sur les tâches qui font appel à leurs compétences analytiques et asseoir les décisions critiques sur des informations objectives.

Les équipes qui ont recours à l'intelligence artificielle pour optimiser le travail des analystes en sécurité atteignent des niveaux d'efficacité supérieurs à celles qui ne le font pas.

Si vous aviez le pouvoir d'éliminer l'aspect le plus chronophage et le moins gratifiant de votre travail en tant que professionnel de la sécurité, quel serait-il?

La majorité des personnes interrogées ont répondu que l'examen des alertes de sécurité en vue d'identifier les activités suspectes est une tâche chronophage et peu gratifiante.

Il n'y a rien d'amusant à passer manuellement en revue des centaines, voire des milliers d'événements hors contexte qui, pour la plupart, s'avèrent relever de comportements inoffensifs ou à faible risque.

Il faut des heures pour enquêter sur un événement de sécurité suspect, tandis que dans le cas des menaces avancées, une analyse complète peut prendre plusieurs jours, semaines ou mois. Même les équipes des centres SOC de grande taille dotés d'analystes chevronnés ont du mal à détecter, confirmer, neutraliser et vérifier les incidents de sécurité suffisamment rapidement.

Cette tâche est mentalement épuisante et engloutit toutes les heures de la journée. Ce n'est pas ce que nous recherchions en choisissant de travailler dans la sécurité des informations. Iron Man ne passerait pas son temps à investiguer manuellement quoi que ce soit.

Ce type de tâche fastidieuse convient mieux à un assistant virtuel doté d'une intelligence artificielle, une machine capable de traiter des volumes d'informations importants en temps réel et de prioriser les menaces les plus dangereuses. L'assistant virtuel permet aux analystes en sécurité de se concentrer sur les événements et incidents pertinents et d'intervenir sur les comportements des cyberpirates susceptibles d'entraîner des dégâts considérables. C'est à cela que sert Jarvis, l'assistant d'Iron Man.

À quel aspect de votre travail souhaiteriez-vous consacrer davantage de temps?

La traque des menaces arrive en tête des réponses à cette question. La traque des menaces, et l'excitation de la poursuite qui l'accompagne, constitue la partie amusante du travail et la plupart des professionnels de la sécurité interrogés aimeraient disposer de davantage de temps pour s'y consacrer.

Cependant, la traque des menaces peut être un processus manuel. Les analystes en sécurité doivent passer au crible des volumes d'informations importants, et s'appuyer sur leur savoir et leur connaissance du réseau pour échafauder des hypothèses sur les vecteurs potentiels de menaces, tels que les mouvements latéraux et l'utilisation abusive des comptes.

Il est presque impossible de trouver le temps de traquer les menaces régulièrement. Pourtant, l'aspect le plus complexe de la traque des menaces n'est même pas la traque à proprement parler. Il s'agit de savoir où chercher afin de ne pas passer son temps à traquer des menaces qui mènent à une impasse.

La bonne nouvelle, c'est que l'intelligence artificielle peut permettre aux analystes en sécurité de retrouver le temps nécessaire à une traque des menaces efficace. Vectra s'est donné pour mission d'offrir aux analystes en sécurité des fonctionnalités de traque des menaces exceptionnelles. C'est ce que nous faisons avec Cognito, notre plate-forme de détection et de traque des cybermenaces.

La détection des menaces optimisée par l'intelligence artificielle identifie automatiquement les attaques les plus furtives. L'analyse des comportements des cyberpirates, c'est-à-dire les méthodes utilisées par ceux-ci, par Cognito permet d'obtenir des informations précises aisément exploitables.

Les traqueurs de menaces peuvent ainsi lancer des investigations plus approfondies sur les incidents détectés par Cognito et les autres contrôles de sécurité, ainsi qu'une traque rétrospective des menaces non détectées.

Conclusion

Chez Vectra, notre mission consiste à permettre aux professionnels de la cybersécurité de consacrer davantage de temps à ce qui les intéresse, notamment la traque des menaces, et moins de temps aux tâches fastidieuses telles que le tri des alertes de sécurité. Le temps et les compétences sont ainsi optimisés, répondant ainsi à l'objectif stratégique prioritaire de la prévention des violations de cybersécurité.

Téléchargez ce rapport d'Enterprise Strategy Group pour découvrir comment l'intelligence artificielle peut automatiser les opérations de sécurité.

Thèmes:Cybersécurité,Intelligence artificielle,Détection des menaces,Comportement des cyberpirates,Centre SOC

About the author

Chris Morales

Christopher Morales is Head of Security Analytics at Vectra, where he advises and designs incident response and threat management programs for Fortune 500 enterprise clients. He has nearly two decades of information security experience in an array of cybersecurity consulting, sales, and research roles. Christopher is a widely respected expert on cybersecurity issues and technologies and has researched, written and presented numerous information security architecture programs and processes.

Author profile and blog posts

Most recent blog posts from the same author

Threat detection

Bedrohungserkennung und Response mit einer Architektur ohne SIEM

April 5, 2019
Read blog post
Security operations

How to gain visibility into attacker behaviors inside cloud environments

June 10, 2019
Read blog post
Cybersecurity

Visibilité, détection et aide à la résolution des incidents avec une architecture sans outil SIEM

April 30, 2019
Read blog post