by Olivier Spielmann | Mar 15, 2022 | Managed Security Services
Avec des centaines de fournisseurs potentiels et une grande quantité d’informations et d’arguments à prendre en compte, le processus d’appel d’offres pour engager le meilleur fournisseur de Services de Sécurité Managés (MSSP) n’est pas une tâche facile. Les professionnels, pour s’y retrouver, doivent cerner les éléments-clés à prendre en compte lors de l’évaluation de ceux-ci, comme l’explique Olivier Spielmann, VP des offres de Détection et Réponse Managées chez Kudelski Security.
Déterminez votre objectif principal
La première étape est de déterminer l’objectif premier de votre programme de sécurité ; et donc de votre appel d’offres. Vous intéressez-vous surtout à la mise en conformité de votre entreprise ou à sa protection vis-à-vis des cyberattaques ? La réalité du paysage cyber actuel est que la conformité et la sécurité sont des intentions bien différentes. Bien que la majorité des exigences réglementaires aient été adoptées dans l’espoir de renforcer la sécurité, celles-ci ne sont pas évolutives et trop génériques alors que l’ingéniosité des hackers, elle, ne cesse d’évoluer.
Concrètement, si vous ne recherchez que la conformité, choisissez le fournisseur le moins cher. Cependant, si vous souhaitez réduire votre exposition aux attaques actuelles, il est important de rechercher un fournisseur proposant un service axé sur la détection et la réponse aux attaques ; et cela dans des environnements multi technologiques – tels que les infrastructures sur site, les ressources cloud, les endpoints, les Systèmes de Contrôle Industriel (ICS) et les Technologies Opérationnelles (OT)) – car cette stratégie de sécurisation nécessite une visibilité sur l’ensemble de votre écosystème.
Favorisez la visibilité, facteur clé de l’amélioration des capacités de détection et de réponse
Aujourd’hui, les environnements informatiques sont caractérisés par des infrastructures de plus en plus complexes, des systèmes de plus en plus interconnectés et des surfaces d’attaque de plus en plus étendues. Afin d’obtenir une visibilité optimale à travers les plus importantes sources d’information, il est important de sélectionner un fournisseur capable d’anticiper les « angles morts » dans l’observation de vos systèmes, et qui dispose déjà de l’expérience de surveillance d’environnements similaires au vôtre.
N’hésitez donc pas à confier à un prestataire spécialisé le soin de procéder à une évaluation ponctuelle de votre MSSP. Cela vous permettra de déceler d’éventuelles lacunes, ainsi que les forces et faiblesses de votre service, tout en ayant pour but d’améliorer le système de surveillance. C’est également un changement d’état d’esprit qui doit être effectué dans ce domaine : passer d’un test d’intrusion – qui a pour unique but de démontrer les faiblesses d’une entreprise – à une activité qui vise à améliorer sa protection. Malgré le fait que l’activité soit similaire, le processus sous-jacent et l’approche sont radicalement différents.
Négocier la portée et le coût du contrat est toujours possible
Ne renoncez pas à d’emblée à une offre qui ne correspond pas à votre budget, d’autant plus si elle répond à vos besoins et s’intègre à votre pile technologique ; il y a toujours une certaine marge de manœuvre.
En effet, pour réduire le coût des services MDR, il est possible de restreindre la portée de la prestation. Les capacités les plus précieuses que les fournisseurs offrent sont axées sur la détection et la réponse. Il est ainsi possible de supprimer du contrat les activités tactiques de niveau inférieur (telles que la gestion des réinitialisations de mots de passe, la gestion des vulnérabilités ou la prise en charge d’une solution de gestion des identités et des accès (IAM)), tout en bénéficiant des meilleurs services offerts par le fournisseur.
Mais attention, la suppression des fonctions moins essentielles du périmètre d’actions d’un fournisseur ne doit pas entacher sa bonne visibilité de vos environnements. Une détection et une réponse efficaces aux cyberattaques reposent sur une visibilité complète, qu’il est crucial d’offrir aux prestataires choisis afin de limiter les erreurs et les manquements.
Actions internes ou externalisées : soyez stratégique
Certaines fonctions opérationnelles seront sans nul doute confiées à votre équipe interne IT ou chargée de la sécurité. Parfois moins coûteuse, cette solution est avantageuse car vos employés ont accès à des connaissances techniques sur votre entreprise ou votre environnement, ce qui les rendra plus efficaces qu’un prestataire externe. Malheureusement, le recrutement peut être extrêmement difficile, voire absolument impossible, pour certaines spécialisations. L’ingénierie de détection en est un bon exemple. Ce profil est en effet extrêmement demandé, et il est difficile de former quelqu’un pour effectuer cette tâche efficacement. L’évolution du marché tend vers des modèles opérationnels hybrides interne/externe qui tirent parti du meilleur des deux mondes.
Concentrez-vous sur les objectifs, et non sur la technologie utilisée
Le secteur de la cybersécurité progresse à grande vitesse. Il est facile de se laisser distraire par la nouveauté et les promesses des dernières technologies. En réalité, il n’y a pas de solution miracle et la technologie seule n’est pas la réponse. Plutôt que de chercher un fournisseur capable de prendre en charge les outils les plus récents, concentrez-vous sur ses performances, les objectifs proposés et l’adhérence à votre culture d’entreprise.
Pour cela, votre organisation doit connaître ses lacunes, autant en matière de visibilité, de détection et de réponse, que de formation, de politiques et de processus actuels en matière de cybersécurité.
Bien que l’achat d’outils de sécurité plus récents et plus performants n’améliore pas les résultats en soi, il se révèle parfois utile de moderniser sa pile technologique. Une nouvelle fois, la clé du succès est de se concentrer sur ses objectifs. Dans certains cas, vous pourrez obtenir de meilleurs résultats en tirant parti des systèmes déjà en place. C’est pourquoi il est nécessaire, lors de vos échanges avec les fournisseurs évalués, d’aborder clairement et honnêtement les questions suivantes : quelles technologies supportez-vous et pourquoi ? Et attention, « peu importe les technologies que vous utilisez, nous prenons tout en charge » n’est pas une réponse ! Aucun fournisseur de MDR digne de ce nom ne peut être à 100 % efficace sur toutes les technologies actuelles (SIEM ou plateforme cloud).
Original article featured here.
by Olivier Spielmann | Nov 29, 2021 | Incident Response
In the first of this two-part series, Olivier Spielmann VP of managed security services EMEA at Kudelski Security discussed the factors that drive the need for a more comprehensive approach to Incident Response. The question of how to prevent cybersecurity attacks is never straightforward, but as cyber security attacks increase – especially over the festive period – there are five things that every security leader can do to improve their incident response capabilities and limit the impact of a breach.
Top 5 Tips for Bolstering Incident Response Capabilities
Generally speaking, many of the same technologies and capabilities that contribute to a strong and mature cybersecurity posture also improve your ability to conduct rapid and effective incident response. As shown in the previous blog post, the overlap between the best ransomware prevention strategies and cybersecurity hygiene is significant.
Training your teams to follow well thought-out incident response plans — even when under immense pressure — is essential. So is the ability to detect incidents rapidly with 24/7 security monitoring and proactive threat hunting.
It’s also vital to involve senior management and the board in incident response planning since the business implications of a large-scale crisis are extensive.
Beyond this, we have five specific pieces of advice.
#1: Take a holistic approach. We’ve mentioned this already, but it bears repeating. A proactive approach to incident response involves a broad array of cybersecurity functions and capabilities — from readiness assessment, ongoing security monitoring to vulnerability management, threat intelligence, red teaming training and program remediation. It’s essential to assess and strive to improve your security operations in their entirety.
#2: Continually assess and improve your capabilities. In a world of rapidly evolving technologies and even faster-evolving threats, change is the only constant. The only way your security program can hope to keep pace with these developments is to perform ongoing self-assessment and strive for continuous improvement.
#3: Be ready to respond to current real-world threats. The threat landscape and latest attack tactics are changing on a daily basis. Infusing current, high-fidelity threat intelligence that’s relevant to your organization’s size, industry and unique risk models into your incident response planning can help you prioritize effectively.
#4: Today’s ransomware attacks demand new backup strategies. In the past, backup solutions were often designed to make it as quick and convenient as possible to restore data. Ransomware operators now try to take advantage of that capability – for easy, speedy restores – and leverage it to encrypt or destroy backups. What’s needed today are immutable backups that even users with administrative credentials cannot delete.
#5: Understand that the move to the cloud introduces new challenges. Making use of containers, Kubernetes and microservices-driven architectures can introduce new efficiencies and greater flexibility into your operations. However, if your team hasn’t been trained on how to manage your new cloud environment securely, you’re likely to increase your risk exposure. The move to the cloud will require new approaches to secure identities, data, and applications as well as new backup strategies, and a new understanding of configuration management.
A solid approach to incident response can take time to get right. It includes a wide range of activity from risk exposure limitation and good governance, to continuously improving technical infrastructure and security controls. Here at Kudelski Security, our Cyber Fusion Centers (CFCs) have helped more than 250 organizations manage serious incidents over the past year and helped hundreds more get better prepared. This means we’re managing major incidents on an almost daily basis, and we’ve gathered extensive experience along the way.
Discover what we’ve learned by listening to a recent cyber summit conducted by five of our business leaders and top incident response experts. During the webinar, you’ll get a closer look at current attack tactics, best practices for incident response readiness, and some of our customers’ most frequently asked questions.
by Olivier Spielmann | Nov 22, 2021 | Incident Response
In this two-part series, Olivier Spielmann, VP managed security services EMEA at Kudelski Security discusses why incident response needs to widen its scope and what every security leader can do to make it happen.
Despite the recent good news about the U.S. F.B.I.’s takedown of the REvil ransomware group, whose associates were likely responsible for several high-profile cyberattacks over the past year, the ransomware threat continues to pose significant business and financial risk for organizations of all sizes.
As long as cybercriminal operations remain profitable, they’ll continue to grow in size and scope. Even though recent inter-governmental and public-private collaborative efforts to fight ransomware hold promise, stakeholders must not assume that the threat will go away by itself. Nor should they assume that their cyber insurance policies will cover the full extent of the losses the organization will incur if a real-world attack succeeds.
Instead, it’s vital to remember that preparedness is the best defense. With the holiday season nearly upon us — when cybercriminal activity tends to reach an annual peak — organizations should expect to be targeted. Boards, senior leaders, and risk managers need to think holistically about the risks that the organization faces, and plan accordingly. Building robust incident response processes is key for mitigating otherwise unavoidable risk.
Trends in the Current Threat Landscape
Ransomware attacks continue to attract media attention, but they also remain enormously profitable for criminals. Research indicates that more than half of ransomware attack victims will ultimately make a payment to the criminals, with the average ransom amount skyrocketing to approach $250,000 in early 2021. Ransomware operators are increasingly targeting larger companies, taking a precise and highly professionalized approach that enables them to extract the greatest-possible profits from their victims.
Of course, ransomware is by no means the only significant cyber threat that today’s organizations face. Traditional malware-based attacks are still prevalent, as are social engineering and business email compromise (BEC) schemes in which bad actors attempt to trick victims into initiating fraudulent funds transfers. Cryptojacking, in which cybercriminals steal access to servers and processing power in order to illegitimately mine cryptocurrency, is also on the rise. It’s particularly prevalent whenever cryptocurrency valuations reach new market highs, since this provides a better profit margin for the criminals.
Cybercriminals have long been opportunistic, and the global coronavirus pandemic has provided them with numerous new attack vectors to exploit. When remote work suddenly became a necessity for large numbers of employees around the world, threat actors sought to target vulnerabilities in Office 365 and in collaboration tools like Zoom, WebEx, or Microsoft Teams. There was also an immediate surge in pandemic-related phishing attempts.
Latest Attack Tactics Demand a Proactive Approach to Incident Response
The reality is that once your files have been encrypted and you’re received a ransom payment demand, it’s generally too late to avoid major operational disruption. Even organizations with uncorrupted backups typically experience significant downtime during the process of restoring from those backups, and still face significant incident management challenges in the attack’s aftermath. All ransomware victims will experience stress and uncertainty as the attack sequence unfolds. Many will have to contend with media attention as well as questions from partners and vendors along with customers, employees and other stakeholders.
Cybercriminals generally try to launch attacks at the most inopportune and unwelcome times. Whether it’s a request for an emergency funds transfer that takes place late on Friday afternoon or ransomware infection that appears right before Black Friday, attackers time their activity to maximize the pressures that their victims will experience. For this reason, it’s essential to train your teams to be ready to respond to ransomware and other cyberattacks, and to practice the worst-case scenarios.
In all instances, taking a holistic approach to incident response and preparedness is key. The overlap between solid ransomware prevention strategies and good cybersecurity hygiene in general is extensive. We recommend that organizations follow a three-part approach that includes:
- limiting your risk exposure
- exercising good governance, and
- implementing the right technical infrastructure and security controls, with continuous improvements
For example, research indicates that remote desktop protocol (RDP) remains the most commonly-used attack vector in today’s ransomware attacks, while email phishing and malicious attachments take second place. You can limit your risk exposure by eliminating the use of RDP within your environment. You should use this sort of contextual threat intelligence to assess your current systems and their digital footprint more broadly.
Good governance includes practicing for a ransomware attack scenario by conducting tabletop exercises and simulations, as well as creating plans, policies, and playbooks for handling any major security incident. From a technical perspective, the right security infrastructure will help improve your team’s ability to detect attacks rapidly (which, in turn, will enable rapid response). You should also retain immutable backups that are isolated from your network so that even an attacker with administrative credentials wouldn’t be able to delete or compromise them.
A proactive approach necessitates a broader approach. In part two of this series, Olivier Spielmann shares five actions that you can take to bolster incident response capabilities.
