Max Havey [00:00:00] Bienvenue sur Security Visionaries, un podcast alimenté par Netskope qui vous propose des conversations avec des cadres supérieurs du monde de la cybersécurité, de la technologie, de la confiance et de la mise en réseau. Cet épisode propose une conversation avec Ray Canzanese, directeur de Netskope Threat Labs. Ray nous parle de son dernier rapport trimestriel sur l'informatique en nuage et les menaces. Il explique pourquoi il a choisi de se concentrer sur l'adversaire cette fois-ci, ce qui l'a le plus surpris dans ses conclusions et comment les responsables de la sécurité et d'autres acteurs peuvent utiliser les conclusions de ce rapport. Voici notre conversation avec Ray. Bonjour et bienvenue aux Visionnaires de la sécurité. Je suis votre hôte, Max Harvey. Aujourd'hui, nous nous entretenons avec Ray Canzanese, directeur de Netskope Threat Labs, au sujet du rapport d'octobre sur l'informatique dématérialisée et les menaces. Ray, bienvenue dans l'émission. Comment allez-vous aujourd'hui ?
Ray Canzanese [00:00:44] Je me débrouille bien, Max. Aussi bien que possible un lundi. Et vous ?
Max Havey [00:00:47] Je suis en train de faire Je suis en train de faire solidement. Je suis très heureux d'avoir cette conversation. Et alors ? En tant que directeur de Netskope Threat Labs, Ray est chargé de rédiger notre rapport trimestriel sur les menaces liées à l'informatique en nuage. Pour commencer, Ray, pouvez-vous nous donner quelques informations sur le rapport intérimaire, depuis combien de temps vous le faites et pourquoi nous le faisons ?
Ray Canzanese [00:01:06] Bien sûr. Nous avons commencé à rédiger ces rapports en 2020, il s'agit donc de notre troisième année complète de rédaction. Nous en publions un nouveau chaque trimestre et nous abordons un sujet ou un angle légèrement différent à chaque fois que nous publions un nouveau rapport. L'objectif de ces rapports est de fournir au lecteur des informations stratégiques et exploitables sur les menaces. C'est ce que nous espérons voir apparaître dans tous ces documents, mais surtout dans le dernier rapport que nous venons de publier.
Max Havey [00:01:38] Absolument. Pouvez-vous nous dire quel était l'objectif de ce dernier rapport et quelle a été votre approche pour le rédiger ?
Ray Canzanese [00:01:45] Bien sûr. Les rapports précédents ont donc abordé des sujets tels que le téléchargement de logiciels malveillants par les victimes. Nous avons parlé des liens d'hameçonnage qu'ils rencontrent. Nous avons parlé des risques liés à l'I.A., n'est-ce pas ? Nous avons parlé des risques liés aux menaces internes. Nous avons donc adopté tous ces points de vue différents, dont beaucoup concernent un adversaire extérieur. Pour ce dernier rapport, nous avons décidé de nous concentrer sur cet adversaire. C'est vrai. Ainsi, au lieu de se concentrer sur un élément spécifique comme le phishing, les logiciels malveillants ou les exploits, examinons les adversaires. Examinons les adversaires les plus actifs contre les clients de Netskope. Voyons si nous pouvons en tirer des enseignements. Voyons si nous pouvons apprendre, par exemple, quelles sont les principales tactiques et techniques utilisées, quel que soit l'adversaire dont nous parlons. Ou encore, si je travaille dans un secteur d'activité spécifique, dans une zone géographique donnée, je peux me demander s'il existe un adversaire particulier dont je devrais m'inquiéter et, par conséquent, un ensemble spécifique de tactiques et de techniques privilégiées par cet adversaire et sur lesquelles je devrais concentrer mes défenses.
Max Havey [00:02:59] Tout à fait. Il s'agit donc de connaître son ennemi pour mieux agir de son côté.
Ray Canzanese [00:03:05] Exactement. J'ai parfois l'impression que nous devenons un peu abstraits lorsque nous parlons de cybersécurité, comme si nous parlions de l'origine des logiciels malveillants et de l'endroit où vous les rencontrez. Il s'agit de prendre du recul et de se rappeler que quelqu'un d'autre le fait, n'est-ce pas ? Quelqu'un envoie ces liens, n'est-ce pas ? Quelqu'un essaie de convaincre vos utilisateurs de faire ces choses qui ont compromis vos systèmes. Concentrons-nous donc sur cette personne. C'est vrai. Qui est l'adversaire de l'autre côté de cette sorte de bataille de type attaque-défense à laquelle nous sommes confrontés dans le domaine de la cybersécurité.
Max Havey [00:03:45] Comment cette perspective a-t-elle modifié la façon dont vous avez abordé la rédaction de ce rapport par rapport aux rapports précédents ?
Ray Canzanese [00:03:52] Bien sûr. Tout d'abord, cela a changé l'approche des 12 mois qui ont précédé la rédaction de ce rapport. En d'autres termes, ce que nous devions changer en premier lieu pour rédiger ce rapport, c'est d'essayer de suivre l'adversaire de plus près et avec plus de précision. C'est vrai. La première chose qui change pour nous, c'est que nous commençons à passer, vous savez, encore plus de temps lorsque nous détectons des logiciels malveillants, lorsque nous voyons quelqu'un visiter une page de phishing, lorsque nous voyons du trafic de commande et de contrôle sortir d'un terminal, en essayant de collecter autant d'informations que possible à ce sujet, pour ensuite essayer de les attribuer à un ou plusieurs des groupes d'adversaires que nous suivons. C'est vrai. Tout ce travail, vous le savez, me permet d'économiser environ un an, n'est-ce pas ? C'est plus ou moins ce que couvre ce rapport. Nous avons fini par parler du début de l'année 23 jusqu'à aujourd'hui. C'est donc par là que nous commençons, c'est-à-dire par le suivi. Puis, au moment de rédiger le rapport, vous vous demandez s'il y a des adversaires plus actifs que d'autres. C'est vrai. Y en a-t-il qui ont été plus actifs que d'autres au sein d'une certaine population ? Ensuite, commencez à examiner les tactiques qui sont en tête de liste, d'accord ? Voir quelles sont les tendances intéressantes, les éléments marquants qui vont nous guider dans notre stratégie défensive pour l'avenir.
Max Havey [00:05:18] Il s'agit d'une approche plus qualitative. En gardant cela à l'esprit, quels sont les principaux enseignements et les principales conclusions que vous avez tirés de ce rapport ?
Ray Canzanese [00:05:27] Bien sûr. Ce qu'il faut retenir, d'abord et peut-être le plus facilement, c'est qu'à travers tous les adversaires que nous avons suivis, c'est vrai. Je pense qu'il y avait au total une cinquantaine de groupes que nous avons suivis dans le cadre de ce rapport. Quelques techniques se sont distinguées par le fait que tout le monde les utilise. C'est vrai. Donc, si j'adopte l'approche de la connaissance de l'adversaire, c'est vrai. Il y a un angle d'attaque qui fait que je ne me soucie pas vraiment de savoir lequel des 50 adversaires il s'agit. Ils sont susceptibles de faire ces six choses et ces six choses dans un volume assez important. C'est vrai. Et ces six éléments, nous les avons suivis en termes de cadre MITRE ATT&CK. Le cadre ATT&CK de MITRE nous offre donc un langage très agréable pour parler entre nous, dans le domaine de la cybersécurité, des tactiques, des techniques et des groupes qui les utilisent. Nous avons donc choisi ce langage commun pour rédiger ce rapport et, dans ce langage commun, nous parlons de l'accès initial, des techniques que les adversaires utilisent pour pénétrer dans un système cible. Nous parlons d'exécution, c'est-à-dire de la manière dont ils exécutent le code malveillant une fois qu'ils sont dans le système, nous parlons de commande et de contrôle, c'est-à-dire évidemment une fois qu'ils ont compromis le système, comment s'y prennent-ils pour communiquer avec lui ? Et enfin, l'exfiltration de données. Comment font-ils, si leur but ultime est, par exemple, d'essayer de vous faire chanter, ils vont devoir voler quelque chose pour vous faire chanter, n'est-ce pas ? Ils doivent donc exfiltrer des données vers leurs systèmes. Nous avons donc examiné six techniques spécifiques dans ces catégories et nous avons constaté qu'elles étaient toutes d'une grande utilité. Tous les adversaires que nous suivions le faisaient. Ils se sont concentrés sur l'hameçonnage, sur l'exécution de logiciels malveillants par les utilisateurs, puis sur la commande, le contrôle et l'exfiltration via HTTP et HTTPS, essentiellement pour se fondre dans tous les autres éléments du réseau.
Max Havey [00:07:40] Il s'agit donc essentiellement de décomposer les tactiques et les conseils clés que vous voyez chez ces différents adversaires, ils les appliquent tous, puis de les décomposer par industrie, par zone géographique et beaucoup d'autres facteurs une fois que vous les avez présentés. C'est vrai.
Ray Canzanese [00:07:55] C'est vrai. Nous avons commencé par ces derniers, car si vous essayez de tirer profit de ce rapport, que dois-je faire différemment ? Ce sont ceux que tout le monde cible, n'est-ce pas ? Par conséquent, si vous devez commencer quelque part, commencez par les groupes les plus courants, car votre stratégie défensive fonctionnera contre pratiquement tous les groupes. C'est vrai. L'étape suivante, après avoir appliqué ces six tactiques et techniques, consiste à examiner ce qui se passe dans votre secteur et dans votre zone géographique.
Max Havey [00:08:22] Tout à fait. Et si l'on approfondit l'analyse de ces zones géographiques et de ces secteurs d'activité, y a-t-il des éléments qui vous ont semblé surprenants dans ces résultats ?
Ray Canzanese [00:08:30] Oui, il y a une chose qui m'a vraiment surpris. Si l'on considère les adversaires que nous suivons, ils se répartissent grosso modo en deux groupes. Ils sont motivés soit par des raisons financières, soit par des raisons géopolitiques. C'est vrai. Il s'agit soit de cybercriminels. C'est vrai. Ou bien il s'agit d'une sorte d'acteur géopolitique parrainé par un État ou affilié à un État. Si l'on considère ces deux groupes et l'ensemble de notre réseau, il n'est pas surprenant, je pense, pour quiconque travaille dans le domaine de la cybersécurité, que le volume écrasant soit celui de la cybercriminalité, n'est-ce pas ? Il s'agit principalement d'activités cybercriminelles. Le pourcentage de l'activité géopolitique par rapport au volume total de l'activité des attaquants est beaucoup plus faible. Il y a eu quelques exceptions, n'est-ce pas ? Ainsi, dans les services financiers et les soins de santé, les adversaires géopolitiques ont été plus actifs que dans d'autres secteurs. De même, les régions géographiques se distinguent par le contraire. Deux régions se distinguent, à savoir l'Australie et l'Amérique du Nord, où l'activité des adversaires géopolitiques est beaucoup plus faible que dans les autres régions. En fait, ce sont ces faits saillants qui ont été les plus surprenants, en termes de cybercriminalité ou d'activité géopolitique.
Max Havey [00:10:06] Absolument. Pourquoi les responsables de la cybersécurité ou d'autres personnes travaillant dans le domaine de la sécurité devraient-ils prendre note de ce type d'anomalies et de valeurs aberrantes dans le cadre de ce type de recherche ?
Ray Canzanese [00:10:22] C'est vrai. Donc, si vous travaillez dans l'une de ces régions aberrantes. C'est vrai. Cela en dit long sur l'adversaire auquel vous êtes confronté. C'est vrai. Ce n'est donc pas seulement. Voyez s'il s'agit d'une question géopolitique ou criminelle. C'est vrai. Vous pouvez ensuite utiliser le cadre MITRE ATT&CK pour examiner les principaux adversaires géopolitiques dans ces régions. Quelles sont les tactiques et les techniques qu'ils utilisent ? C'est vrai. Et dans quelle mesure vos défenses sont-elles bien réglées pour les contrer ? En d'autres termes, ce que vous apprenez en regardant cela, c'est ce qu'il y a de spécial dans votre industrie, ou votre région, et que vous devriez peut-être faire quelque chose de légèrement différent, et plus ciblé sur l'adversaire auquel vous êtes confronté. Souvent, vous pouvez obtenir des informations à ce sujet en discutant avec vos organisations homologues, n'est-ce pas ? Parlez donc à d'autres personnes de votre secteur, d'autres personnes de votre secteur qui opèrent dans la même région que vous. Vous pouvez souvent, vous savez, trouver un ISAC ou un autre groupe, n'est-ce pas, que vous pouvez rejoindre et partager avec d'autres ce qui se passe. Comment vos pairs renforcent leurs défenses. Ce que vous pouvez faire différemment, apprendre d'eux pour vous défendre contre les adversaires particuliers auxquels vous êtes confrontés.
Max Havey [00:11:37] Et c'est une bonne idée générale, d'autant plus que nous sommes en plein mois de la sensibilisation à la sécurité, et en pensant à cela, si vous deviez donner une tactique ou un conseil clé issu de ce rapport aux organisations de sécurité au sens large, aux responsables de la sécurité qui sont techniques, non techniques, non menaçants, vous savez, aux personnes qui travaillent dans le domaine de la sécurité. Quel est le message que vous leur donneriez ?
Ray Canzanese [00:12:01] Bien sûr. Je sais que l'un de nos sujets préférés dans le cadre du Mois de la sensibilisation à la cybersécurité est l'hameçonnage. Permettez-moi de parler un instant du phishing, car lorsque nous pensons au phishing, nous pensons souvent au courrier électronique, n'est-ce pas ? Une grande partie de notre formation sur l'hameçonnage est axée sur la façon dont vous pouvez savoir si vous pouvez ouvrir ce courriel en toute sécurité. Ce que nous avons constaté, c'est que le courrier électronique est un moyen de plus en plus rare de tomber dans le piège du phishing. C'est vrai ? D'une part, parce que vous formez tout le monde à se méfier du courrier électronique et, d'autre part, parce que vous construisez toutes vos défenses anti-hameçonnage autour du courrier électronique. Ce que nous commençons à voir, c'est qu'il ne s'agit pas d'e-mails, mais de SMS, d'appels téléphoniques, de DM sur Instagram, de fausses critiques sur Facebook. Il s'agit de résultats de recherche étranges que vous trouvez dans Google lorsque vous cherchez une chose très spécifique que vous voulez savoir à propos d'un logiciel que vous utilisez ou d'un matériel que vous utilisez et qu'un pirate a réussi à faire apparaître une page de phishing dans les résultats de recherche de Google pour cela. En d'autres termes, je pense que l'histoire du phishing est que le phishing n'est pas du courrier électronique, n'est-ce pas ? Le phishing, c'est quelqu'un d'autre qui essaie de vous inciter à donner votre nom d'utilisateur ou votre mot de passe ou à vous connecter à quelque chose alors qu'il regarde virtuellement par-dessus votre épaule. Et cela peut commencer n'importe où et en dehors du courrier électronique. Par conséquent, si vous êtes préoccupé par le phishing d'un point de vue technique parce que vous travaillez dans le domaine de la cybersécurité, assurez-vous que vos défenses contre le phishing ne se limitent pas au courrier électronique. Si vous êtes une personne ordinaire qui est un peu paranoïaque et inquiète à propos du phishing, la solution est simple : ne jamais cliquer sur des liens. Ne vous rendez jamais sur des sites web que d'autres personnes vous conseillent de visiter. En d'autres termes, si je veux me connecter au site web de ma banque, j'ouvre mon navigateur et je tape l'URL du site web de ma banque. Je ne me connecterai plus jamais au site web de ma banque d'une autre manière. Il n'y a pas de message textuel alarmant. Pas de DM Instagram, pas de Snapchat, pas de Facebook, rien. Personne, où que ce soit, ne me convaincra jamais de me connecter à quoi que ce soit d'important d'une autre manière.
Max Havey [00:14:29] C'est un bon point également, car le phishing a évolué, comme nous l'avons vu récemment avec l'attaque de MGM, qui s'est faite par phishing vocal, par appel téléphonique, par l'intermédiaire d'un service d'assistance. Il y a donc des exemples de la façon dont cela continue à se développer, à croître et à changer. Et je pense que c'est un excellent point à soulever.
Ray Canzanese [00:14:48] Oui, absolument. Je ne sais pas si c'est courant, mais je reçois probablement une douzaine d'appels téléphoniques et de messages texte par jour qui sont certainement des escroqueries. Il s'agit donc soit d'un hameçonnage pour obtenir des informations d'identification, soit d'une tentative pour que je leur envoie de l'argent. C'est vrai. Mais il se passe quelque chose. Je pense donc que les gens connaissent peut-être certaines de ces entreprises à plus fort volume. Mais c'est lorsque vous commencez à vous intéresser aux produits à faible volume et plus nuancés que les gens commencent à se faire piéger. Alors arrêtez de penser à la chaîne et commencez à penser à ce qui se passe réellement. Quelqu'un essaie de vous faire visiter un faux site web. Ne donnez donc pas ces opportunités à qui que ce soit, n'est-ce pas ? Ne cliquez jamais, jamais, sur des liens. C'est vrai. Une solution simple. Débranchez cet ordinateur.
Max Havey [00:15:37] Arrêtez de penser au canal et concentrez-vous sur le résultat. J'ai l'impression qu'il s'agit là de l'élément le plus important à retenir. Je pense que c'est quelque chose d'assez facile à retenir et à garder à l'esprit pour tous les membres de notre public lorsqu'ils travaillent sur Internet.
Ray Canzanese [00:15:50] C'est vrai. Parce que, vous savez, je donne tous ces exemples de ce qu'elle est aujourd'hui, n'est-ce pas ? Mais demain, ce sera, je ne sais pas, Mastodon ou une autre plateforme qui n'est pas aussi populaire aujourd'hui, mais qui, à mesure qu'elle deviendra populaire, deviendra un canal où les hameçonneurs, les escrocs, les cybercriminels, les acteurs géopolitiques, tous s'y rendront également.
Max Havey [00:16:13] Oui, absolument. Je pense que cela m'amène à la fin de mes questions. Y a-t-il quelque chose que vous aimeriez ajouter et que nous n'avons pas abordé dans cette conversation jusqu'à présent ?
Ray Canzanese [00:16:22] Eh bien, si nous n'avions pas l'intention de faire la présentation, je la ferais. C'est vrai. Ce rapport est disponible en direct sur netskope.com/threat-labs. Sur notre site web, vous trouverez plus de détails sur tout ce dont nous avons parlé aujourd'hui. Chaque mois, vous verrez de nouveaux rapports mensuels sur notre site web. Nous parlerons des menaces intéressantes en direct sur notre blog. Et chaque trimestre, vous verrez un autre de ces grands rapports. Si vous ne pouvez pas suivre toutes ces activités passionnantes, j'ai également une liste de diffusion que vous trouverez sur le même site Web, netskope.com/threat-labs.
Max Havey [00:17:04] Absolument. Et pour tous ceux qui veulent vérifier par eux-mêmes, je mettrai un lien vers ce site dans les notes de l'épisode. Mais en attendant, nous avons un autre rapport pour vous. Ray, merci beaucoup d'avoir pris le temps. C'est toujours très instructif de parler avec vous de toutes les nouvelles choses intéressantes que vous découvrez au Netskope Threat Labs.
Ray Canzanese [00:17:19] Merci, Max.
Max Havey [00:17:20] Génial. Bonne journée.
