Mature business man executive manager looking at laptop computer watching online webinar training or having virtual meeting video conference taking notes, doing market research working in office.

8 choses que les CISO ont appris des cyber-incidents

Lucas Morel

Les CISO qui ont traversé des cyberattaques partagent certaines des leçons durables qui ont changé leur approche de la cybersécurité.

Lorsqu’un cyber-incident se produit, c’est plus qu’un simple événement isolé. Pour de nombreux CISO, cela remodèle leur approche de la résilience, de la gestion des risques et même de leur bien-être personnel dans le travail.

Plusieurs dirigeants de la sécurité réfléchissent aux leçons des incidents du monde réel et pourquoi il est essentiel de les partager avec la communauté pour renforcer la résilience collective, décomposer la stigmatisation autour des violations et aider les autres qui peuvent faire leurs incidents eux-mêmes.

1. Partagez les apprentissages et améliorez la sécurité pour tous

Les cisos dans l’œil de la tempête devraient s’attendre à l’attention des médias et à toutes sortes d’agendas différents de personnes qui pèsent sur un incident.

«Vous attirez très rapidement l’attention du monde», explique Solarwinds Ciso, Tim Brown.

Et ce n’est pas bien intentionné, car certains commentateurs utilisent un incident pour faire avancer leurs propres intérêts, que ce soit pour rehausser leur profil, parler mal d’une autre organisation ou simplement entrer dans le cycle d’information.

D’un autre côté, certains incidents présentent une opportunité d’aider l’industrie dans son ensemble parce que toutes sortes de personnes font attention, y compris de bons chercheurs, selon Brown.

Il peut y avoir des considérations juridiques, corporatives et réglementaires avec ce que vous pouvez partager. Mais en termes de livre de jeu technique, il y aura probablement des choses qui méritent d’être partagées.

Brown estime qu’il y a souvent des leçons importantes qui sortent des violations, que ce soit de haut niveau qui se retrouvent dans des manuels et des cours universitaires, ou des expériences qui peuvent être partagées entre les pairs à travers des panneaux de conférence et d’autres événements. «Vous cherchez toujours bien à provenir des événements. Comment pouvez-vous aider l’industrie à avancer? Pouvez-vous aider la communauté du CISO?» dit-il.

Todd Thorsen, Crashplan CISO, convient qu’il y a des leçons tactiques qui accompagnent un incident. Parfois, un incident est le cas parfait de ce qui ne devrait pas arriver, explique Thorsen, qui faisait partie de l’équipe de cybersécurité lors de la violation de données cible de 2013.

Son approche consiste à mener des post-mortems sans licenciement pour comprendre les causes profondes, à créer un environnement sûr pour une discussion ouverte et à identifier ce qui aurait pu être mieux fait. L’objectif est d’analyser les processus sans crainte de répercussions. Il encourage les habitants de la sécurité à partager des apprentissages avec la communauté parce que «à la fin, tout le monde combat les mêmes batailles».

Partager Insights est également un moyen important de créer des réseaux de support dans la communauté plus large et de le payer, car un temps peut venir lorsque vous devez vous tourner vers vos pairs. «Vous ne savez jamais quand vous devrez peut-être« faire des retraits »de la communauté plus tard», explique Thorsen.

2. Vous aurez besoin de passer de la défense à l’offensive

Le rôle et le CISO ne seront pas les mêmes après un incident.

«Mon travail du 11 décembre était très différent de mon travail le 12 décembre et au-delà, explique Brown.

Après un incident, certaines organisations doivent changer à un point tel qu’elles ont besoin d’un CISO différent avec une approche différente. Le CISO n’est pas toujours lâché parce qu’ils étaient incompétents ou que les gens croient que c’était leur faute, selon Brown. Beaucoup dépend de la situation et de la façon dont le CISO peut s’adapter.

«Si vous voulez être le CISO post-incident, vous devez vraiment avoir les compétences pour être cela, et ils sont très différents des compétences dont vous aviez besoin la veille», explique Brown.

De nombreux cisos durcis par des incidents déplaceront leur approche et leur état d’esprit sur la subsistance d’une attaque de première main. «Vous développerez une perspective d’attaque, où vous voulez mieux comprendre votre surface d’attaque que votre adversaire, et appliquer vos ressources en conséquence pour isoler contre les risques», explique Cory Michel, viofacteur de VP et informatique à Appomni, qui a fait plusieurs équipes de réponse aux incidents.

Dans la pratique, passer de la défense à l’offensive signifie se préparer à différents types d’incidents, que ce soit l’abus de plate-forme, l’exploitation ou les APT et les réponses de couture.

3. Vous développerez un livre de jeu tactique pour gérer les incidents

Les incidents rappellent qu’un plan de réponse bien pratiqué doit être en place. Il doit désigner un coordinateur interne solide, avec une portée pour s’appuyer sur une expertise externe telle que les entraîneurs de violation et les conseillers juridiques.

« Vous avez besoin de personnes de base pour parler à la presse, vous engager avec la compagnie d’assurance, commencer à enquêter si vous ne pouvez pas restaurer les données et savoir comment communiquer avec les attaquants à propos d’une rançon », a déclaré Xypro Ciso Steve Tcherchian.

Sans rôles et responsabilités clairs, la panique s’installe très rapidement, a trouvé Tcherchian. «Dès le départ, c’est« que faisons-nous? Qui est en charge? Qui appelons-nous?

Le Playbook a besoin de conseils clairs sur la communication, pendant et après un incident, car cela peut être négligé tout en faisant face à la crise, mais en fin de compte, il peut en arriver définir l’impact durable d’une violation qui devient de notoriété publique.

«Chaque mot compte pendant une crise», explique Brown. «De ce que vous publiez, ce que vous dites, comment vous le dites. Donc, il est très important d’être préparé à cela.»

S’il y a de grandes équipes enquêtant sur l’incident, ils ont probablement commencé à découvrir d’autres choses, mais s’ils descendent des trous de lapin, il peut distraire et retarder la question à accomplir.

Les CISO doivent accepter certaines portes peuvent être laissées ouvertes, mais si ce sont des risques plus petits, il est important de ne pas perdre de vue l’incident. «La clé est de se concentrer sur les« connues connues », d’être transparentes et de mettre fin à l’incident, avec le principal objectif de déterminer si les données ont été exfiltrées», explique Gerchow, qui a traversé des incidents à Sumologic et MongoDB.

4. Overlook, robuste, surveillance des sauvegardes à vos risques

Si un incident se produit qui compromet les données, avoir des sauvegardes non protégées ou inadéquates peut être une surveillance coûteuse. Là où cela s’est produit, les CISO ont appris à la dure à ne jamais supposer que les systèmes de sauvegarde sont sécurisés et entièrement fonctionnels.

«De nombreuses attaques de ransomwares de nos jours, ils cibleront d’abord les sauvegardes avant de faire quoi que ce soit. Ils cibleront votre emplacement de restauration, vos points de restauration, vos supports de sauvegarde. Ils s’assureront de désactiver votre capacité à restaurer vos données et à éviter de payer la rançon», explique Tcherchian.

Même si la décision est de payer la rançon, rien ne garantit que l’entreprise récupérera les données et cela souligne la nécessité de garantir que les sauvegardes sont isolées et fonctionnent.

Tcherchian recommande de tester et de vérifier régulièrement que les systèmes de sauvegarde fonctionnent et sont propres. «Vous pourriez avoir une vulnérabilité ou une charge utile malveillante sur votre réseau, et il pourrait être assis là pendant 30, 60 jours, ce qui signifie qu’il est copié en permanence dans vos sauvegardes», dit-il. « Si vous pensez que vous avez été attaqué, vous allez restaurer votre sauvegarde, et tout ce que vous faites, c’est réintroduire ce virus ou ce malware dans votre environnement. »

5. Réglez la barre de sécurité plus élevée

Après un incident, vous êtes susceptible de consulter votre posture de sécurité différemment, ce qui comprend continuellement l’amélioration des processus de sécurité. L’objectif est de mieux que simplement conforme. Soyez prêt à réinventer et à reconstruire les systèmes pour être plus résilients, mettre en œuvre des mesures de sécurité multicouches, considérer des niveaux de conformité plus élevés, plus d’exercices de table, une audit de sécurité, une équipe rouge, une protection des points finaux, etc.

«Chacun de ceux-ci nous amène à un modèle plus exemplaire que nous pouvons tenir pour dire:« Oui, cela nous est arrivé et maintenant nous faisons des choses qui peuvent être mieux »et partageant cela», explique Brown. «L’approche est de savoir comment rendre pratiquement les choses beaucoup plus difficiles, contre une infection ou une autre violation ciblée.»

Les Cisos durcis par des incidents peuvent également modifier leur approche des exercices de table. Dans le cas de Brown, ils se produisent maintenant plus souvent et présentent des événements potentiels plus graves parce que lorsque vous avez traversé un incident, vous savez que c’est possible.

«Une fois que vous y vivez, votre ton est très différent. Et l’idée qu’elle était théorique avant de devenir réelle est enracinée chez nous qui l’avait vécu», dit-il.

6. Restez vigilant contre le syndrome d’objectif brillant

L’un des billets à emporter de Michel est d’éviter de se laisser distraire par de nouveaux outils cool et intéressants, mais il peut être difficile dans une industrie inondée de grandes affirmations et de termes déroutants. «L’industrie dans son ensemble a un syndrome d’objectif brillant», dit-il.

Au lieu de cela, concentrez-vous sur les mesures de sécurité telles que la gestion des vulnérabilités et les correctifs, des programmes de détection et de réponse robustes, de solides méthodes d’authentification comme Zero Trust et l’authentification sans mot de passe, l’éducation et la formation des employés, et les exercices de réponse aux incidents de tir en direct pour tester la préparation. Surtout, restez vigilant contre la grande vente.

«Tout le monde déteste faire la gestion de la vulnérabilité, mais c’est l’une des choses les plus importantes que vous puissiez faire pour comprendre votre surface d’attaque, savoir où se trouvent les vulnérabilités et les supprimer au point où vous êtes à l’aise avec le risque», dit-il.

7. Le financement peut se précipiter après un incident

Les incidents ont un moyen de concentrer l’attention sur la cybersécurité. Soudain, le conseil d’administration et les dirigeants exécutifs veulent tous parler de cyber, entendre des risques et il y a de l’argent sur la table pour que les gens puissent dormir à nouveau la nuit.

Cela peut être de la musique aux oreilles des cisos qui ont essayé de garantir plus de financement, mais l’accent – et les dollars – peuvent être de courte durée.

«Lorsque vous avez dit« ce sont les risques »et que tout à coup, vous vous trouvez dans cette position, puis le personnel exécutif, le conseil d’administration, tout le monde, tout ce dont ils veulent, c’est le cyber pendant un certain temps, mais cela commence à diminuer un peu», explique Gerchow.

Les attentes augmentent en fonction des augmentations du budget. Le problème est qu’il faut du temps pour faire preuve de diligence raisonnable pour apporter les bons outils et les bons ensembles de compétences. Mais si le budget n’a pas été utilisé dans un certain temps, les dirigeants pourraient le réaffecter dans d’autres domaines une fois que l’objectif intense et post-invidence s’est estompé.

Cela met les CISO dans la position difficile d’avoir à expliquer au conseil d’administration et à d’autres dirigeants ce que signifie la perte de financement, lorsque beaucoup préfèrent se concentrer sur les mesures et les améliorations. «Les CISO peuvent parler des risques et des progrès réalisés contre l’incident, mais ne parlent pas, potentiellement, de la façon dont le budget et les positions sont enlevés», dit-il.

8. Vous devez prendre soin de vous en tout temps

S’il y a une leçon commune et globale pour les CISO, c’est que vous devez prendre soin de vous, légalement, professionnellement et mentalement tout au long de votre mandat dans l’industrie.

Avec l’épuisement professionnel, les stress élevés et l’augmentation des responsabilités, de nombreux cisos ressentent la pression du rôle. Les incidents ajoutent à ces facteurs de stress, mais ils deviennent plus courants à mesure que la fréquence des attaques augmente.

«Les incidents sont banaux, malheureusement; cela fait partie du travail», explique Thorsen.

Brown encourage les CISO à reconnaître les impacts potentiels sur la santé des rôles à forte stress et à établir le bon système de soutien, qui sera vital lorsqu’un incident se produira. Et ne pas sous-estimer à quel point l’être stressant dans l’œil de la tempête peut être sur vos mécanismes d’adaptation.

«L’un des gros messages est que même si vous pensez que vous gérez le stress, vous ne le faites peut-être pas bien», explique Brown. « Les emplois des CISO sont déjà assez difficiles, donc les gens doivent trouver un débouché. Mais lors d’un événement, cela empire encore. Reconnaissez cela et construisez un plan personnel pour vous-même, car une approche ne convient pas à tout le monde pour ce type de chose. »

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Les packages NPM malveillants contiennent un voleur d'informations Vidar
Les packages NPM malveillants contiennent un voleur d’informations Vidar
Cloud strategy questions
Pourquoi les entreprises ne parviennent-elles pas à résoudre le problème de mauvaise configuration du cloud ?
Les RSSI vom ERP-Leid profitent
Les RSSI vom ERP-Leid profitent