Gardez une longueur d’avance sur les cybermenaces grâce aux dernières informations de nos experts en sécurité.
Abonnez-vous maintenant pour recevoir:
- Nouveaux épisodes de ThreatTank à leur lancement – le premier épisode est sorti maintenant!
- Attaques les plus tendances par secteur
- Informations exploitables et stratégies de réponse
- Et bien plus encore !
Une introduction à la nouvelle série de podcasts d’Edgio : ThreatTank
Tom Gorup : Bienvenue sur ThreatTank, un podcast couvrant les dernières informations sur les menaces, la réponse aux menaces et des informations sur le paysage des menaces dans le monde entier. Je suis votre hôte, Tom Gorup, vice-président des services de sécurité chez Edgio.
Richard Yew, directeur principal de la gestion des produits chez Edgio Security solutions, et Andrew Johnson, directeur principal du marketing des produits chez Edgio Security solutions. Bienvenue Richard et Andrew.
Richard Yew : Hé, merci de m’avoir ici.
Andrew Johnson : Merci Tom.
Tom Gorup : C’est excitant. Notre premier podcast Threat tank. Et j’ai deux gros frappeurs comme vous, et j’ai besoin d’ouvrir avec un brise-glace, une jolie petite question.
J’avais l’habitude de demander aux interviewés. Et quand j’ai l’air de devenir nerveux, mais je pense que c’est une bonne introduction. Donc, je vais vous demander à tous les deux et juste répondre quand vous l’aurez. Si vous étiez un arbre, quel serait votre animal préféré ? Si vous étiez un arbre, quel serait votre animal préféré ?
Richard Yew : vous savez quand vous parlez des arbres, non ? Je commence à penser au gland et puis, vous savez, ce qui me rappelle immédiatement, vous savez, vous savez, il y a ce cochon en Espagne. Ça s’appelle le cochon Ibérico. C’est noir. Il produit le meilleur bacon ou jambon, peu importe ce que vous appelez, dans le monde, c’est le plus cher. C’est probablement quelques centaines de dollars par once.
Donc, je suppose dans ce cas le choix pour moi. Parce qu’il utilise tout ce que je laisse tomber et, oh, très bien.
Tom Gorup : C’est intéressant. Oui. Non, c’est bien. C’est bien. D’abord, je me disais, où vas-tu avec ça ?
Richard Yew : va prendre mon gland pour y aller.
Tom Gorup : Oui, oui, oui. Non, le cochon s’en sert. Et puis sans parler de vendre pour des milliers de dollars la livre. C’est comme un cochon Wagyu.
Andrew Johnson : C’est plutôt bien. Voyons voir. Donc, je pensais peut-être du point de vue de la sécurité à ce que je ne voudrais pas en tant qu’animal, si j’étais un arbre moi-même, je ne sais pas, peut-être que je ne voudrais pas de champignons. Je ne voudrais rien qui… ne voudrait pas d’un pic-bois ou quelque chose qui va me piquer et faire un trou en moi.
Richard Yew : Hé, mec, je vais t’arrêter ici. Hey champignon n’est pas animal, la dernière fois que j’ai vérifié. C’est quoi ? OH, peut-être est-ce le cas. Après avoir regardé Last of US, le champignon devient un animal.
Andrew Johnson : C’est ce que je ne voudrais pas. Donc, je devrais dire peut-être des oiseaux ou quelque chose qui partent juste après avoir atterri sur moi.
Tom Gorup : encore une fois, en faisant usage. C’est bien. Une des réponses que j’avais obtenues en posant cette question était qu’un requin. Et quand j’ai demandé pourquoi ils étaient comme, eh bien, le requin ne me dérangerait jamais. D’accord. Parle un peu dans la personnalité là-bas, mais j’aime la façon dont vous avez tous les deux choisi un animal que vous savez, est utile à d’autres animaux.
C’est plutôt cool. Oui. Parle beaucoup. Donc, nous ne parlons pas ici aujourd’hui d’animaux ou d’arbres d’ailleurs.
L’IA comblera-t-elle le fossé des compétences en cybersécurité ?
Tom Gorup : nous allons creuser trois prédictions [cybersécurité] en 2024. Il y a un billet de blog sur le blog d’Edgio où nous parlons à nouveau de trois prédictions. Un être – l’IA comblant le déficit de compétences en cybersécurité, puis la culture de la sécurité et la montée des attaques. Nous n’allons pas le faire dans cet ordre, mais ce sont les trois prédictions. Donc, sauter directement dans l’IA. Je veux dire, en ce moment la prédiction ici encore, je répète que l’IA est en train de construire comblera le déficit de compétences en cybersécurité en 2024. Nous en verrons beaucoup.
Maintenant, en y réfléchissant, vous pouvez obtenir, OK. Provocateur ici et regardez le monde de l’IA et voyez que tout le monde a, vous savez que je pense avoir vu un tweet l’autre jour. L’IA fait que tout le monde voit des étoiles. Tout le monde est excité et tous ces différents cas d’utilisation. Nous pourrions, vous savez, voir ce nouveau téléphone ou pseudo-téléphone lapin, lapin R, ou quelque chose dans ce sens, comme tous ces trucs fous qui sortent. Mais pensons-nous vraiment que l’IA est là où elle en est pour combler efficacement le fossé ? Voyons-nous vraiment cela se produire en 2024 ou obtenons-nous cinq autres années de R & d derrière l’IA avant qu’elle n’atteigne le point où elle ait un impact significatif pour combler ce fossé ?
Richard Yew : Eh bien, vous savez, cela a certainement comblé le fossé pour l’attaquant.
Tom Gorup : Oui, c’est un bon point.
Richard Yew : Ouais, je veux dire, de nos jours je pense juste à mon travail de jour, Hey, je veux exécuter un script que je veux, Hey juste écrire moi un script qui exécute une boucle qui m’aide à faire une requête, faire ou obtenir une requête ou poster une requête juste à une URL particulière et le faire cent fois à plusieurs reprises.
Je veux dire, évidemment, vous ne dites pas à l’IA d’essayer de générer une attaque DDoS , mais elle atteint fonctionnellement la même chose, n’est-ce pas ? Contournez simplement les conditions générales. Je, je pense que ça va faire des équipes rouges… ça va vous faire savoir ; n’importe quel profane peut le faire. Comme tout le monde peut décider, vous savez quoi, je vais juste mettre mon chapeau noir, que j’ai avec moi, et commencer à jouer avec ça.
Maintenant, évidemment, il y a aussi beaucoup d’avantages pour les organisations, pour l’équipe bleue, pour un défenseur aussi bien.
Andrew Johnson : je pense, je veux dire, évidemment, cela va aider le problème. Va-t-il fermer en 2024? C’est bien sûr. Je veux dire, je ne sais pas. Je pense bien sûr que non. Mais il commence déjà à être, vous savez, implémenté dans, vous savez, dans, dans, les logiciels de sécurité.
Vous savez, il y a aussi des défis, je veux dire, au lieu que les gens s’inquiètent des faux positifs, vous devez en quelque sorte vous inquiéter des fausses recommandations que, vous savez, les logiciels soutenus par l’IA vont donner aux équipes. Donc, je pense, vous savez, le niveau d’expérience va toujours être extrêmement important.
Tom Gorup : Oui, c’est intéressant quand je regarde des statistiques comme ISC2. Il dit qu’il y a environ quatre millions d’écart de main-d’œuvre, quatre millions de personnes. C’est énorme. C’est énorme. Et nous, je veux dire, les collèges ne pompent pas les professionnels de la sécurité assez vite pour combler cette lacune, sans parler de la croissance qui va se produire d’année en année. Donc, vous savez, l’IA comblant cet écart en 2024, vous savez, d’un côté, je vous entends, Richard, comme la valeur que je vois aussi, est à votre point, puis-je écrire des scripts rapidement?
L’autre jour, j’ai demandé à iGPT4 de m’écrire une page HTML et il l’a fait, il a fait un excellent travail. Puis j’ai commencé à lui demander de modifier et de passer ensuite. Tu sais, j’ai une page web entière. Construit en environ 30 minutes. Et j’ai littéralement écrit zéro code pour accomplir cela, mais aussi être capable de lui fournir divers ensembles de données.
Et je pense que l’une des plus grandes préoccupations que les gens ont avec l’IA qui comble le fossé est la vie privée, vous savez, en mettant accidentellement, vous savez, nous avons vu, qu’était-ce que c’était, c’était un ingénieur Samsung qui a mis des schémas dans l’IA, mais le défi était que je n’ai encore vu personne extraire cela. Pour ne pas dire que cela ne s’est pas produit, mais il y a donc deux faces de cette médaille.
Richard Yew : je pense que c’est très important quand vous commencez à utiliser l’IA pour bien, évidemment du point de vue de l’attaquant et du point de vue du défenseur, n’est-ce pas ? Améliorez votre flux de travail, n’est-ce pas ? Il est également important pour vous de protéger votre IA, mais je veux y revenir. Parler de combler les lacunes.
Je dirais, je veux dire, les lacunes peuvent-elles être comblées un jour? Non, ça ne peut pas, tout comme je vais le dire, quelqu’un peut-il jamais être sûr à 100%? Je dirai que non, il n’y a simplement rien de tel pour moi. IA, ce qu’elle fait, c’est qu’elle ajoute une couche supplémentaire dans notre concept de défense en profondeur qui aide vraiment. C’est deux autres jeux dans les couches qui aident vraiment du point de vue du défenseur, non ? Fermez et réduisez autant que possible la probabilité d’une violation et d’une attaque. Et, je crois, beaucoup de problèmes de sécurité se produisent, vous savez, nous disons toujours que les humains sont le maillon faible parce que, vous savez, si vous continuez à faire des choses banales encore et encore, nous serons complaisants, des accidents se produiront, etc C’est à ce moment que l’IA peut entrer en jeu.
Vous entendez probablement cette citation de cette personne très célèbre qui fabrique des voitures et des fusées et qui se prête elle-même, mais c’est vrai, et c’est aussi vrai en sécurité, comme quand vous avez juste à faire beaucoup de choses répétitives, même des analyses de journaux, vous savez, les gens ont un manque d’attention et c’est compréhensible. Nous sommes tous humains de toute façon, n’est-ce pas ? Donc, c’est là que je pense que l’IA sera très utile pour combler l’écart. Mais, vous savez, c’est à condition que l’IA fasse le boulot que vous vouliez, tout comme un robot dans une usine ne saisit pas soudainement les ouvriers et les jette sur les voitures et, vous savez, les détruit. N’est-ce pas ?
Tom Gorup : pas encore. C’est intéressant. Donc, vous savez, quand je pense au flux de travail, donc le flux de travail des analystes, vous savez, une alerte arrive et il y a beaucoup de questions autour de cette alerte particulière. Exact. Est-ce normal ? Est-ce commun ? Que devrais-je chercher, pour ce genre d’attaque sur ce type particulier de système?
C’est une machine Windows ou un serveur Apache. Y a-t-il certaines choses que je devrais rechercher pour déterminer si cette attaque a réussi ou non ? Je pense que l’opportunité que nous avons, potentiellement, est aussi d’abaisser la barrière d’entrée, n’est-ce pas? Donc quand on parle de combler le fossé, ça ne veut pas nécessairement dire que l’IA comble peut-être le fossé, mais peut-être que l’IA nous permet d’élargir notre portée pour qui nous embauchons pour ce genre de rôles et l’avenir qui m’enthousiasme est celui où nous embauchons moins pour l’expertise technique sur un produit ou une technologie particulier, mais plutôt pour la curiosité et, et les compétences en communication. Donc, quelqu’un qui peut poser la bonne question de la bonne manière pour obtenir les réponses qu’il cherche, non seulement à partir des données, mais même de l’IA d’ailleurs.
Andrew Johnson : je pense que la dernière partie que vous avez mentionnée est vraiment bonne en termes de penser différemment, juste pour être en mesure de combler cette lacune chez les professionnels de la sécurité. Vous savez, embaucher sur la créativité, peut-être prendre des gens avec d’autres compétences techniques, comme du service d’assistance ou peut-être que les analystes de business intelligence ou les gens sont très à l’aise avec les données.
Mais aussi, certaines des choses que vous avez dites plus tôt, Tom, où vous savez, s’il y a un incident et que l’IA peut peut-être recommander, vous savez, au moins regardez dans quelques domaines. Comme je pense à ma vie et beaucoup de mon travail est comme la règle des 80/20. Donc, vous savez, si je n’ai pas à traquer toutes ces considérations, ou si j’ai peut-être les considérations les plus faciles là-bas pour moi, ça fait gagner beaucoup de temps. Donc, je suppose que nous allons voir cela dans beaucoup de solutions et de systèmes à l’avenir.
Richard Yew : Oui, vous savez, je veux double-cliquer sur les 4 millions d’emplois en sécurité que c’est un point très important. Vous savez, si vous regardez le revenu moyen et extrapolez-le, vous savez, il en ressort à environ 200 milliards de dollars, ce qui est assez drôle selon un rapport d’une de ces sociétés de sécurité, non ?
Ces 200 milliards en fait, c’est précisément 213 milliards exactement la taille des marchés de la cybersécurité et, vous savez, il est donc compréhensible que les entreprises, comme quand nous parlons de fournisseurs de sécurité, de fournisseurs de services, ou même d’organisations, essaient de combler ces lacunes.
Et imaginez à quel point vous pouvez exécuter l’IA à moindre coût de nos jours pour atteindre certaines fonctionnalités qui peuvent générer beaucoup d’économies pour cela.
Tom Gorup : moi, oui, à cent pour cent. Je vois aussi une occasion pour vous que vous avez mentionnée aussi, Andrew, c’est comme, je pense que vous l’avez fait aussi. Richard est capable d’appliquer vos contrôles au sein de l’IA elle-même.
Donc, si vous avez un processus standard en interne pour une attaque par force brute ou une attaque par ransomware, être capable de former une IA. Ce que tout le monde va répondre à ces questions particulières. Vous pouvez avoir une réponse cohérente dans l’ensemble de votre organisation. C’est l’un des plus grands défis que je connais pour les RSSI, c’est qu’ils écrivent toutes ces directives, toute cette documentation et que personne ne la lit.
Vous savez, vous passez par la conformité à la fin de l’année, et tout le monde est forcé de le lire, mais quelqu’un s’assoit-il vraiment pour le lire ? Imaginez si vous aviez une IA à laquelle vous pourriez poser ces questions. Donc plutôt que et vous avez toujours la documentation, mais l’IA est formée sur cette documentation.
Et lorsque les circonstances se présentent, une personne, qu’il s’agisse d’un analyste en sécurité ou du directeur financier, peut poser des questions à l’IA. Hey, quelle est la prochaine étape dans cet incident ? Que faisons-nous ensuite ? Et l’IA peut être votre sherpa de cette façon.
Richard Yew : C’était drôle. Comme oui, je suis désolé. C’est ma dernière blague avant de passer à autre chose.
Mais, vous savez, je vous garantis que personne ne piraterait le code HTML et ne supprimerait le composant qui bloque les boutons de sorte que vous pouvez simplement cliquer sur suivant, suivant, suivant dans votre formateur de conformité.
Tom Gorup : exactement. Eh bien, train de conformité. C’est un tout autre… Nous parlerons ici de culture dans une minute et comment cela est ajusté. Donc, la dernière fois que j’ai manqué. Ce point, Richard, vous en avez parlé plus tôt, c’était que les attaquants exploitaient GPT et exploitaient l’IA. Vous avez Wolf GPT, wormGPT, fraudGPT, tous ces types de LLMS axés sur «hey, comment puis-je rendre plus facile d’être un méchant?»
Ce que je vois, c’est que si vous n’utilisez pas comme défenseur, comment avez-vous une chance contre une infraction, un délinquant, un attaquant qui exploite la capacité. Richard, j’ai l’impression que tu auras une bonne analogie de guerre. C’est comme un avion de chasse F15 contre, je ne sais pas, comme un Warthog ou quelque chose comme ça, vous savez, comme vous ne pouvez pas, ces deux-là ne peuvent pas avoir de combat de chien. Ça ne va pas bien finir avec le Warthog, tu vois ce que je veux dire ?
Alors, d’autres idées là-dessus ? Parce que je pense, je veux dire, que nous pourrions dépenser, je pense que toute la journée sur l’IA vraiment, mais finalement. Je pense que si les défenseurs des droits de l’homme ne l’utilisent pas aujourd’hui, si les entreprises ne cherchent pas à gagner en efficacité, à combler les lacunes en matière de compétences, ou même à gérer des charges de travail banales aujourd’hui, vous ne serez pas efficace pour vous défendre contre les pirates qui exploitent cette fonctionnalité sans aucune limite, sans crainte de compromettre les données.
Comme s’ils ne s’inquiétaient pas de tout ça. Parfois, je suppose être un bon gars. Tu sais, il a ses inconvénients, non ? Vous êtes déjà béquillé de cette façon. Hey, on dit toujours, on doit avoir raison, on doit avoir raison tout le temps, mais l’attaquant doit juste avoir raison une fois.
Tom Gorup : C’est vrai. Et ils n’ont pas de limites. Exact.
Andrew Johnson : et ils sont au bord du saignement. Comme, je ne peux pas croire ces wormGPT et d’autres choses. Ceux-ci étaient sortis en 2021, je pense que vous pourriez commencer à acheter ces services. Je veux dire, vous savez, beaucoup d’autres personnes. Eh bien, je parlerai juste de moi. Je n’ai pas vraiment utilisé l’IA générative jusqu’à l’année dernière quand elle a explosé. Mais oui, les adversaires sont les premiers à adopter.
Tom Gorup : et cela ouvre aussi des opportunités car nous voyons l’économie changer. Les gens cherchent de nouvelles façons de gagner de l’argent. Vous savez, combien d’appels spams, combien d’escroqueries, de SMS voyez-vous?
Et ils s’améliorent un peu. Et GPT est probablement de penser que tout bien créé pour le bien peut être utilisé pour le mal aussi bien.
Allons-nous continuer à voir une augmentation des Ransomwares, DDoS et attaques Zero-Day ?
Tom Gorup : donc, la prochaine prédiction ici est une augmentation des attaques, et c’est un peu un pinceau et des attaques, mais nous allons nous concentrer sur, disons, trois : les attaques de ransomware, les attaques de déni de service distribué et les attaques zero-day.
Nous regardons en 2023, en particulier au dernier trimestre, les soins de santé viennent de se faire accabler par des attaques de ransomware encore et encore. Nous avons vu un certain nombre de zero-days, mais la vraie question est, va-t-il continuer à croître? À quoi ressemble cette croissance ? Est-ce qu’il est pompé par les médias? Ce n’est pas forcément un problème aussi important qu’il en a l’air. Je veux dire, c’est le genre de question provocatrice.
Richard Yew : J’ai peut-être une opinion controversée à ce sujet. Tu sais, quand on regarde, je suppose que je suis peut-être seulement pédante, tu sais, quand on regarde ces attaques, non ? J’ai l’impression qu’il y a ce que les médias ont rapporté que c’est, pas, et il y a ce que nous voyons réellement, même avec ça, par exemple, nous parlons de la montée des attaques DDoS, non ?
Il y a des nuances derrière ça, vous savez, les attaques DDoS se produisent toujours, mais quel genre, non ? Vous savez, nous repartons de 2016. 2015 la grande panne d’Internet parce qu’un fournisseur DNS a été touché. Je veux dire, c’était le botnet Mirai. C’était principalement Layer3, Layer4, vous savez, des millions de paquets par seconde d’attaque, évidemment la bande passante est énorme, n’est-ce pas ?
C’est de la bande passante, un volume de bande passante élevé. Mais aujourd’hui, nous voyons ce que je pense commencer comme tôt, tard l’année dernière, je pense, je ne peux pas croire que nous sommes déjà en 2024. Nous parlons de 2022 exactement. Et, et nous parlons de la montée du Soudan anonyme, QNet, la montée des attaques d’applications.
Nous parlons des applications Layer7, HTTP flood, n’est-ce pas ? En passant d’un record de 20 requêtes, plus de millions de requêtes par seconde à Like Now, que regardons-nous comme 300 millions de requêtes par seconde de Google ? Et c’est avec divers exploits. Donc, je pense aussi que cette attaque est cyclique.
C’est comme, ils ne disparaissent jamais. Vous savez, comme, à un moment donné, l’attaque DDoS, les ransomwares étaient vraiment élevés, parce que, vous savez, évidemment, le prix du Bitcoin était en hausse. Vous savez, comme, maintenant, dans ce cas, c’est plus à cause de l’instabilité géopolitique. Vous savez, au cours des deux dernières années, et nous voyons une montée des attaques DDoS sponsorisées par l’État, ou même Attaques DDoS hacktivistes, Vous savez, donc je pense, je pense que c’est plus comme, chaque année, nous regardons quelles attaques sont à la mode, mais l’année prochaine ça pourrait être autre chose dans la mode. Et puis l’année suivante, nous revenons à, nous revenons à 2022 et quelque chose d’autre en 2022 est à la mode.
Andrew Johnson : Oui. Je ne sais pas si c’est le cas, surtout avec la taxe sur les soins de santé. Je veux dire, je pense que c’est en partie hype, mais c’est aussi, malheureusement, je pense que c’est juste. C’est plus triste et pire aujourd’hui qu’il ne l’a été. Et je, vous savez, je pense que là où les pirates informatiques dans le passé peuvent, vous savez, au moins cela a été rapporté, ils ont une certaine éthique, vous savez que ceux-ci semblent être sortis de la fenêtre maintenant avec attaquer les cliniques de chirurgiens plasticiens et menacer de publier des photos de patients à moins que des rançons ne soient payées ou de quoi s’accroupir comme des patients.
Vous savez, je pense que récemment il y a eu un compromis sur un système de santé et ils ont eu, le réseau hospitalier en gros, à envoyer des patients, à changer leur acheminement, ce qui est assez, assez foiré, vraiment.
Richard Yew : donc, vous ne voulez pas vous montrer les attaquants, non ?
Ils n’ont pas à suivre les règles et ils repoussent constamment une limite. Donc, habituellement, ce que nous regardons est trois choses, non ? Vous attaquez les gens avec de l’argent, vous savez, vous attaquez l’argent, comme les institutions financières. Maintenant, ils ont élargi la frontière pendant des années, allant à l’éducation, ils attaquent les écoles, n’est-ce pas ?
Vous savez, il y a des rapports sur des universités qui ont fermé il y a quelques années. Nous pouvons fournir des détails ; vous savez citation pour cela. Mais les écoles ferment parce que tout le système vient littéralement d’être verrouillé. N’est-ce pas ? Et, maintenant, vous savez, et nous observons la limite être repoussée, comme en fait vers la fin de 2025 ou au début, en fait, désolé, fin 2022 et début 2023.
Oui. Je pense déjà à un an d’avance. Et, et nous parlons d’hôpitaux attaqués et encore une fois, ça a commencé dans les zones de guerre, non. Mais cela donne la priorité et maintenant les hôpitaux sont régulièrement piratés. C’est parfois la vie ou la mort, vous savez, comme Tom, vous l’avez mentionné dans votre blog, vous savez, c’est comme si nous parlions de leurs situations où l’ambulance doit être redirigée vers une autre salle d’urgence plus éloignée à cause de problèmes.
Andrew Johnson : C’est, oui, je veux dire, je ne pense juste pas que vous pouvez vous attendre à quelque chose de mieux surtout quand il y a des gens forcés à faire ces attaques, pas seulement, vous savez, un adolescent dans un pays quelconque qui les fait mais, vous savez, probablement parrainé par l’État qui vraiment, ils ont vraiment besoin de cet argent pour continuer leurs opérations.
Richard Yew : donc, c’est un peu comme imaginer en vient à ressembler au, alors la question est comme quand il s’agit d’aimer les attaques émergentes, n’est-ce pas ? Qu’est-ce que ça fait, quelles autres limites vont être repoussées cette année ?
Tom Gorup : C’est une bonne question. Parce que je suis d’accord. Je veux dire, frapper Q4 et voir les ambulances être détournées, les services d’urgence être détournés vers d’autres hôpitaux. Comme ça met la vie en danger. Il n’y a pas de limite dans quelle direction ils peuvent aller ensuite. En fait, vous savez, j’ai souvent travaillé un certain nombre d’affaires avec le FBI il y a plusieurs années.
Et l’une, en particulier, qui m’a toujours marqué était une affaire d’extorsion sexuelle où ce gars profitait de… eh bien, pendant quatre ans, cette fille et elle avaient 18 ans quand elle a finalement dit que j’avais fini. Donc, depuis qu’elle a 14 ans, vous savez, ça montre juste que beaucoup de gens tombent et cassent de cette façon et ils ne montreront aucune limite.
J’ai vu récemment qu’il y avait une autre rançon virtuelle. Je ne sais pas si vous avez déjà vu ça où ils enverraient un SMS à un individu, typiquement un adolescent et les convainquaient, probablement par une façon néfaste de se cacher quelque part, comme dans une forêt ou de se cacher, et ensuite envoyer un SMS à leurs parents pour leur dire qu’ils ont été enlevés et qu’ils ont besoin d’envoyer de l’argent quelque part.
Donc, je veux dire, c’est, c’est juste sauvage, la direction dans laquelle certaines personnes iront. C’est donc une question intéressante comme, où le réticule de ces attaquants est-il passé ? Peut-être, vous savez, souvent c’est suivre l’argent cependant. N’est-ce pas ? Où est l’argent ?
Andrew Johnson : absolument. Oui. C’est fou.
Richard Yew : et il y a les autres attaques que vous avez mentionnées, vous savez, la montée des zero-days. Oui. C’est en fait remarquable. Tu sais, comme si on regardait une statistique, non. Tu sais, je surveille toujours d’année en année, comme la croissance CVE. Moi, nous n’avons pas encore de prédictions pour 2024, mais vous savez, 2023. Avec plus de 23 000 CVE, c’est plus de 10% de croissance et avant cela, nous avions plus de 25% de croissance de CVE, vous savez, cela parle en quelque sorte des problèmes exponentiels de traiter comme si la CVE augmentait de façon exponentielle. Je me demande si l’une des organisations de sécurité présentes dans le public qui a une croissance à deux chiffres de l’effectif et du budget de sécurité, je suis sûr que tout le monde obtient 10 % de budgets et d’effectifs en plus chaque trimestre. Mais c’est ce que nous observons.
Et. C’est intéressant. Tu sais, la course aux armements et ça remonte, ça renvoie au premier sujet, non ? L’IA, c’est important, mais aussi à cause de l’augmentation des zéro jours, ce n’est pas seulement les VEC, mais aussi les zéro jours critiques auxquels nous pensions comme, vous savez, nous avons Logs4j, Springs4Shell, Confluence, vous savez, toutes ces choses étaient comme, OK. Nous voyons quelques-uns des principaux, critique élevé, score de gravité de neuf et plus, comme une, deux fois par an. Maintenant, c’est plusieurs fois par trimestre.
Tom Gorup : Eh bien, oui. Et un grand défi là-bas, je pense que beaucoup d’entreprises rencontrent est la réponse à ces zéro jours, n’est-ce pas ? L’existence de zéro jour. Ils ont toujours été là. Quand nous regardons certains historiques, genre. BashBug. Je pense que c’était là 20 ans avant d’être découvert. Donc parfois je regarde la montée des VEC. Je suis comme, OK, nous faisons un meilleur travail de signalement des vulnérabilités. Je suis sûr qu’il y a beaucoup, sinon plus de vulnérabilités qui n’ont pas encore d’étiquette pour eux, n’est-ce pas ? Ils doivent encore être découverts. Évidemment, c’est la conversation « zero-day », mais l’augmentation du nombre d’ECV au fil du temps montre que nous faisons un meilleur travail de reporting sur ces derniers, mais nous ne faisons pas un très bon travail quand même, par exemple, comment réagir efficacement au processus de gestion des correctifs d’urgence ?
Pouvez-vous vraiment déployer un patch aussi vite ? Ou avez-vous besoin d’une habilitation ? En plus de cela, j’aime les correctifs virtuels. Je considère toujours cela comme une occasion facile de boucher ce trou pendant que nous allons résoudre le problème racine plutôt que d’essayer de réparer l’ensemble, ce qui peut être coûteux.
C’est risqué, n’est-ce pas ? Je veux dire, Log4j, combien de correctifs ont été déployés avant que ça ne fonctionne ? Je pense que c’était trois. Je pense que la troisième enfin, vous savez, a fermé un trou en deux semaines, je crois à la mi-décembre.
Tom Gorup : Oui, c’est misérable.
Andrew Johnson : beaucoup de perturbations.
Tom Gorup : Oui, c’est misérable. Mais donc dans la montée du zéro jour aussi, je pense que vous avez mentionné l’IA, je pense que nous allons jouer un rôle important dans cela.
Je ne pense pas que nous ayons déjà vu ça. Je veux dire, on voit que l’IA est utilisée pour la défensive, comme le faire avant que vous ne vérifiiez le code. Vous pouvez faire des choses comme CoPilot assurez-vous qu’il n’y a pas de vulnérabilités sur cette vérification. Il y en a d’autres comme ce que les outils de type SAST et DAST qui permettent qui commencent à utiliser l’IA.
Je m’attendrais à voir des attaquants exploiter l’IA pour découvrir des vulnérabilités. Surtout dans les projets open-source aussi bien. Je veux dire, c’est facile.
Richard Yew : mais je veux dire, en fin de compte, quand vous regardez le flux de travail, n’est-ce pas ? Du point de vue du défenseur, quand vous faites votre test boîte noire ou boîte blanche, ce que vous savez, aujourd’hui, nous sommes assez rapides comme tâches de sécurité d’application dynamique, n’est-ce pas ?
Il recherche vraiment les vulnérabilités et vous dit de corriger. Et évidemment, si l’attaquant a accès à votre repo, il peut faire de même. Je veux dire, ils n’ont même pas besoin de t’avoir accès à ton repo. S’ils font ce test, ils frappent simplement votre logiciel en cours d’exécution et la vulnérabilité la plus fine.
Eh bien, devinez quoi ? Ce que nous voyons comme un scan du point de vue de l’équipe bleue, c’est une reconstruction du point de vue de l’attaquant, si nous regardons juste le framework d’attaque de MITRE, vous savez, comme ceci est essentiellement une reconstruction qui nous permet de lancer l’attaque. Vous pensez donc toujours à tous les outils et processus que vous utilisez.
Pensez à la façon dont l’attaquant pourrait l’utiliser contre vous, il est très important de reconnaître que, vous savez, nous disons toujours que vous savez, c’est bien de mettre un chapeau noir à nouveau et de penser comme un attaquant. Je pense que cela aidera beaucoup dans la mise en œuvre de flux de travail sécurisé, en particulier dans la sécurité, ICD vous savez, DevSecOps, vous savez, de nos jours flux de travail.
Changer la culture de la sécurité
Tom Gorup : donc ça a été, c’est génial. Et nous sommes au-delà du temps. Donc notre dernier sujet ici était plus sur la culture. J’aimerais que chacun d’entre vous vous emmène savoir, quelques secondes, une minute, ce que vous aimeriez donner votre point de vue sur probablement ce qui doit changer. Donc moins de prédiction, mais en regardant les entreprises d’aujourd’hui, les problèmes auxquels elles sont confrontées. Tout ce dont nous avons parlé, des contraintes de ressources, des attaquants qui deviennent plus efficaces, des vulnérabilités zero-day étant découvertes. Que sont les entreprises… que doivent-elles examiner ? Qu’est-ce que les RSSI… comment doivent-ils changer leur état d’esprit en 2024 et au-delà ? Qu’est-ce qui doit changer pour que nous arrêtions d’exécuter ces exercices d’incendie chaque semaine?
Andrew Johnson : Eh bien, une chose que je viens de lire récemment est une statistique de Gartner qui, je pense, dit qu’environ 25% des leaders de la cybersécurité vont occuper des rôles complètement différents dans les deux ans. 50% vont changer d’emploi. Principalement attribuable au stress dans leur travail.
Et nous, vous savez, nous savons que le RSSI est un travail très difficile, mais beaucoup d’emplois de sécurité le sont aussi. Je veux dire. Je pense qu’il doit y avoir, eh bien, vous savez, plus de planification en termes de rotation des gens, amener peut-être les développeurs en sécurité qui n’ont pas l’expérience de la sécurité, c’est être plus une responsabilité partagée.
De nombreuses organisations et personnes chargées de la sécurité gèrent des tonnes de solutions, n’est-ce pas ? Donc, quand il y a une urgence, vous pourriez aller voir une personne à chaque fois les brûler. Donc, c’est plus en termes de processus et dans une culture où, vous savez, tout le monde fait partie de la sécurité. Je pense que pourrait aider.
Richard Yew : J’adore ça. Je pense, eh bien, si nous regardons du point de vue du leader de la sécurité, c’est ça ? Vous savez, vous devez gérer, vous devez gérer latéralement avec vos pairs. Donc vous voyez, donc, et puis vous devez, genre, gérer vers le bas. N’est-ce pas ? Mais je pense qu’il est très important de créer des cultures.
Si on regarde ça d’un point de vue latéral et vers le haut, c’est ça ? La définition des attentes est très importante, c’est très, vous savez, nous entendons toujours, nous plaisanter quand, vous savez, chaque fois qu’une brèche se produit, les RSSI sont licenciés. C’est la raison pour laquelle CISO connaît un tel revirement dans l’industrie. Je suis sûr que ça ne se passe plus comme ça, n’est-ce pas ?
Mais, cela répond vraiment aux attentes. Nous devons définir les attentes en tant que chef de produit, vous savez, définir les attentes d’une partie prenante est l’une des parties les plus importantes de mon travail, n’est-ce pas ? Mais fixer des attentes avec le conseil d’administration, avec vos pairs qu’il y en a, et je sais, je sais que c’est une surprise, n’est-ce pas ? La sécurité à 100 % n’existe pas. Tu sais, j’ai entendu ça un jour de la part d’un gars appelé Dr Eric Cole, c’est un podcast, n’est-ce pas ? Il dit comme, vous savez, comment rendre votre téléphone 100% sécurisé ? Il l’a jeté dans un foyer, non ? Parce que la sécurité à 100 % signifie 0 % de fonctionnalité.
En tant que responsable de la sécurité, vous ne pouvez pas être dogmatique. Sécurité, votre premier travail est de conduire l’entreprise. La sécurité, c’est comme avoir un frein puissant dans une supercar, n’est-ce pas ? Il permet à une entreprise de freiner fort. Pourquoi, de quoi avez-vous besoin pour freiner fort? Parce que tu veux aller vite. C’est tout le point, alors commencez à réfléchir à l’impact de la cheville sur l’entreprise.
Comment c’est parce que comme ça juste parce que si, si vous, si vous voulez être sécurisé à 100%, vous voulez avoir une garantie à 100% que vous allez bloquer tout ça à l’attaque. Eh bien, vous allez juste liste noire zéro, zéro, zéro, zéro barre oblique zéro. Et tu es bon. Appelle ça un jour. Vous avez atteint 100 % des ICP, mais ce n’est pas le but, non ?
Vous devez accélérer l’activité, vous devez intégrer cela dans une culture. Et, vous savez, si vous avez l’air d’aller vers le bas de la perspective, n’est-ce pas? Encore une fois, la sécurité commence depuis le début. La sécurité part, encore une fois, d’une autre analogie que j’ai utilisée auparavant. Si vous m’avez entendu dans un autre podcast, c’est que la sécurité est comme faire du gâteau.
Ce n’est pas une cerise sur le gâteau. Ce n’est pas une pensée après coup. Tu sais, ça doit aller de la première étape de la planification d’un logiciel, surtout si tu es un magasin SaaS, si tu es comme, tu sais, basé sur le web, tu sais, tu fais la plupart de tes affaires en ligne, non ? Vous devez penser à la sécurité comme la farine dans le gâteau.
Comme là dès le premier jour, quand vous faites le gâteau, et en fait, si vous faites du bon travail, vous ne devriez pas remarquer la farine quand vous obtenez un gâteau… qui a remarqué la farine quand vous mangez le gâteau. N’est-ce pas ? Et c’est ainsi que la sécurité devrait être. Donc, ce ne devrait pas être une sorte de conformité dogmatique descendante, vous savez, comme pilotée au départ, elle doit être initiée, vous savez, comme, et être enracinée, vous savez, peut-être par des collaborations plus étroites, des équipes de sécurité intégrées ou des équipes de développement, assurez-vous que la sécurité est faite correctement dès le premier jour, parce que tout ce que vous pouvez empêcher est quelque chose que votre équipe d’opérations vous savez, ils n’ont pas besoin de passer autant de temps.
Tom Gorup : Oui, il y a des gains d’efficacité avec ça. Et j’adore la petite citation là-bas. 100% sécurisé est 0% de fonctionnalité. C’est une bonne statistique. Et je suis tout à fait d’accord. La culture est importante. Comment construisez-vous cela dans la fondation de votre organisation? Cela devient donc une partie de la conversation et non pas un : « Oh, nous devons impliquer l’équipe de sécurité. »
Nous devrions avoir cette conversation dès le jour zéro, mais vous devez la rendre intéressante. La seule chose que j’ai, j’ai, vous regardez cette formation à la conformité, c’est ennuyeux. Ce n’est pas pertinent. Ce n’est pas opportun. Nous devons changer cela pour rendre la sécurité intéressante. Je me souviens de ce qui, il y a 10 ans, essayait de parler aux gens de la sécurité et leurs yeux se glaceraient.
Puis tout d’un coup, ça a commencé à faire les gros titres et tout le monde s’y est vraiment intéressé. Et je pense que vous pouvez retourner tout de suite dans l’autre direction. Si nous recommencons à ennuyer les gens avec des formations monotones, etc., rendons-le opportun, rendons-le pertinent. Et là encore, construisons cela au cœur de notre entreprise, c’est-à-dire à la base de la sécurité. Pas une pensée après coup. Ça fait partie du gâteau, mais je ne suis pas boulanger non plus.
Richard Yew : donc tout le monde doit commencer à mettre son chapeau noir. Vous savez, quand vous naviguez sur un site, voyez ce qui pourrait mal tourner, mettez votre chapeau noir. Hey, y a-t-il un formulaire pour toi ? Est-ce quelque chose que j’ai mis dans le formulaire? Où est le point de terminaison API ?
Hey, que s’est-il passé si je spampe ça ? Vous savez, comme commencer à penser, commencer à mettre un état d’esprit de pirate portez votre chapeau noir et, vous savez, faites cela comme une culture dans votre entreprise.
Tom Gorup : Oui, j’adore ça. J’adore ça. Nous sommes donc bien au-delà. Mais je dirais que c’était super. Premier épisode de ThreatTank. J’apprécie donc que vous soyez tous les deux dessus.
Gardez une longueur d’avance sur les cybermenaces grâce aux dernières informations de nos experts en sécurité.
Abonnez-vous maintenant pour recevoir:
- Nouveaux épisodes de ThreatTank à leur lancement – le premier épisode est sorti maintenant!
- Attaques les plus tendances par secteur
- Informations exploitables et stratégies de réponse
- Et bien plus encore !