Les 6 prévisions en matière de cybersécurité (qui pourraient bien se réaliser)

Les prévisions sont toujours difficiles à faire et vous devez les utiliser avec précaution. Du moins celles qui ont tendance à voir dans chaque bug, défaillance ou incident, un signe de l'imminence d’un Pearl Harbor numérique. Ainsi nous avons décidé, chez Sophos, d’adopter une autre approche en prenant le questionnement concernant l’"internet de demain" au pied de la lettre.

Nous avons donc demandé à un certain nombre de personnes, travaillant à différents postes techniques chez Sophos, sur quelle thématique elles prévoyaient de consacrer une partie de leur temps, et de leur énergie, au cours des six prochains mois. Donc, voici nos prédictions, "en direct du terrain", qui reflètent les sujets sur lesquels les personnes interrogées portent toute leur attention. Nous pensons qu’elles peuvent véritablement se réaliser, et peut-être bien que vous devriez en faire autant !

1. Plus d'attaques « sans fichier »  - Fraser Howard (Principal Threat Researcher 2)

À ce jour, les attaques « sans fichier » ont été assez isolées, mais elles semblent prendre de plus en plus d'importance (Poweliks, Angler d’une part, Kovter et plus récemment Powmet). Il s’agit d’une réponse naturelle au déploiement à grande échelle de l'apprentissage automatique.

Je m'attends également à voir une augmentation des abus au niveau de Powershell.

2. Un Fuzzing plus intelligent, pour tout le monde - Stephen Edwards (Senior Security Analyst 2)

Je m'attends à une amélioration significative au niveau de la sophistication du fuzzing. Le fuzzing peut être utilisé pour créer automatiquement des milliards de tests «stupides», et le prochain défi consistera à rendre ces tests plus intelligents, en alimentant le processus de création du test en connaissances additionnelles concernant les principes de fonctionnement d’un programme.

Cependant, l'exploration automatique du code est difficile.

Les techniques hybrides tentent d'équilibrer la vitesse des tests « stupides » avec l'efficacité d’autres tests, quant à eux plus intelligents, tout en évitant de se perdre dans une trop grande quantité de choix.

Un certain nombre d'approches prometteuses pour améliorer le fuzzing ont déjà été démontrées, et il me semble que nous sommes proches du moment où ces différentes techniques seront enfin combinées et rendues publiques.

Stephen a fourni une réponse plutôt longue et bien détaillée à notre question, ainsi nous l'avons publiée en intégralité dans un article dédié. Ce dernier s’intitule : Is security on the verge of a fuzzing breakthrough?

3. Préoccupez-vous du « qui » et « quoi », mais pas du « où » - Mark Lanczak-Faulds (Cybersecurity Specialist)

Traditionnellement, la sécurité se concentre sur un domaine dans son ensemble. Alors que nous cherchons à estomper les frontières entre un réseau classique et internet, ce qui compte, ce sont les identités et les assets qui se trouvent dans ce domaine.

Nous devons déterminer le risque en fonction de l'identité et des assets associés à cette identité. Lorsque vous déclenchez une alerte en tenant compte de ces facteurs, vous connaissez très bien les enjeux et vous pouvez agir de manière appropriée et rapidement.

4. Se focaliser sur l'atténuation des exploits - Greg Iddon (Sophos Security Specialist)

L’installation des correctifs/patchs n'est plus une opération que vous pouvez différer à plus tard, après l’intégration définitive de ces changements par exemple, ou bien dans l’attende d’un jour pluvieux.

Je pense que dans les six à douze prochains mois, la mise en œuvre de mesures d'atténuation des exploits, la protection contre l'utilisation de bugs et de vulnérabilités connus ou inconnus, et la manière avec laquelle les cybercriminels exploitent ces bugs et vulnérabilités, sera essentielle pour garder une longueur d’avance.

Le plus préoccupant pour moi, c'est qu'il existe une foultitude de nouveaux éditeurs, qui se concentrent uniquement sur la détection de fichiers PE (Portable Executable), vantant l'apprentissage automatique comme étant la sécurité ultime et définitive. Cette approche n'est pas bonne du tout.

Comprenez-moi bien, l'apprentissage automatique est génial, mais il ne s'agit que d'une couche, dans une approche de la cybersécurité qui doit en contenir plusieurs.

5. Le ransomware adaptatif - Peter Mackenzie (Global Escalation Support Engineer)

Sur la base de certaines tendances que nous voyons maintenant, je pense que nous pourrions voir un changement dans la façon dont le ransomware est utilisé.

Contrairement à la plupart des autres malwares, les ransomwares sont « bruyants » et « effrayants ». En effet, ils ne fonctionnent pas sans que vous le sachiez, et leur but est de vous faire peur. Comme les outils de cybersécurité deviennent de plus en plus efficaces pour lutter contre les ransomwares, certains cybercriminels utilisent cette technique « bruyante » pour dissimuler autre chose, ou bien en dernier recours pour vous extorquer de l'argent d’une autre manière en utilisant, par exemple, des enregistreurs de frappe ou des mineurs de crypto-monnaie.

Une fois que vous avez supprimé l'infection propagée par ce ransomware, il est facile de penser que le tour est joué. En fait, la question que vous devez vous poser est la suivante : « pourquoi s’est-il déclenché maintenant ? ».  Et « qu’est ce qui était, ou est toujours, en cours d'exécution sur l'ordinateur, à l’endroit où nous avons trouvé le ransomware ? ».

6. Les données représentent une responsabilité, pas un asset - Ross McKerchar (Senior Cybersecurity Director)

Je m'attends à passer beaucoup de temps au cours des 6 prochains mois à supprimer des données inutiles et à faire très attention aux données stockées et où elles le sont. C'est une mesure de protection renforcée : moins vous stockez, moins vous avez à perdre.

Cette philosophie s'applique à l'ensemble des entreprises mais, plus important encore, à des ressources exposées telles que les serveurs web. Ces derniers devraient seulement avoir accès à la quantité minimale de données dont ils ont besoin et rien de plus. Pourquoi un serveur web doit-il avoir accès au numéro de sécurité sociale d’un individu, par exemple ? Vous en aurez peut-être besoin pour d'autres raisons, ou bien votre serveur web devra peut-être le collecter une fois, mais doit-il le conserver ?

UPDATE SOPHOS DAY
Découvrez ces prédictions et beaucoup plus au Sophos Day, mardi le 14 Novembre, à 13h à Vilvorde.