Leçons tirées des tranchées de la cybersécurité

Ayant grandi dans le nord-ouest du Pacifique, j'étais fasciné par la chasse au trésor. J'aime l'idée de trouver quelque chose de précieux ou d'important. J'avais un arsenal d'outils que même les chasseurs de trésors les plus aguerris pourraient envier : un détecteur de métaux, un seau et une pelle en plastique. Pourtant, l'outil le plus précieux que je possédais était ma ferme conviction que je trouverais un trésor tant que je chercherais suffisamment.

La chasse aux menaces ressemble à la chasse au trésor à bien des égards. Les chasseurs de menaces ont également leur outils du métier.

Il y a plusieurs années, j'ai échangé cette pelle en plastique contre un outil de visualisation de données (c'est-à-dire Kibana) et trop de café. Je ressens toujours l'excitation de la chasse à quelque chose de précieux. Vous voyez, la chasse au trésor et la chasse aux menaces stimulent toutes deux l'esprit. Ils sont tous deux remplis d'indices cachés, il n'y a pas de chemin tracé et vous devez parfois résoudre des problèmes complexes. Il y a valeur incontestable dans la découverte des menaces, afin que nous puissions améliorer la sécurité de nos organisations.

À un moment de ma carrière militaire, j'ai travaillé comme spécialiste des réseaux dans une équipe de cyberprotection, où je suis devenu un expert en analyse de trafic réseau. La mission était simple : juste chasser. N'oubliez pas qu'aucune bonne chasse au trésor ne commence sans une carte au trésor. C'est là que commence cette histoire de chasse aux menaces.

J'ai reçu une version PDF de la carte du réseau contenant des centaines de points de terminaison, de ports, de protocoles et de services (PPS) pour identifier rapidement le trafic réseau acceptable et normal comme référence. Les affiches que nous avons imprimées à partir du PDF avaient la taille de couvertures doubles. Pourtant, nous les avons suspendus au sol des opérations. Nous avions notre «carte au trésor» et avons entrepris d'analyser les captures d'hexagones et de paquets (PCAP).

Nous n'avons rien trouvé qui s'écarte de la ligne de base et de la liste PPS. Mais j'avais toujours la conviction inébranlable de ma jeunesse que je trouverais quelque chose si je cherchais suffisamment. Nous analysions des millions d'événements réseau et des téraoctets de données. J'ai décidé d'enquêter sur les ports les plus parlants - même les ports acceptables décrits sur le PPS.

La chasse « manuelle » aux menaces, faute de meilleurs mots, repose sur des personnes hautement qualifiées et sur les connaissances qu'elles ont accumulées au fil des années sur le terrain. En bas de la liste, j'ai regardé HTTPS, HTTP, DNS, SMTP, etc. Enfin, je suis arrivé au port 1433, ou SQL, qui est le langage principal utilisé pour gérer les données. C'était important car il s'agit souvent d'une grande surface d'attaque pour les pirates et les adversaires. J'ai créé une requête et modifié des champs de données pour identifier rapidement les adresses IP communiquant entre elles.

Une paire d'adresses IP semblait un peu inhabituelle et ne correspondait pas au schéma des autres adresses IP. Cela m'a marqué parce que j'ai compris le réseau (grâce à notre fidèle carte). C'est alors que j'ai découvert des données SQL non chiffrées. Je pouvais tout voir et les données de ces tableaux m'ont laissé bouche bée. Ces données quittaient le réseau en clair. J'ai immédiatement prévenu mon commandant de mission, qui l'a porté dans la chaîne - nous avons découvert qu'il s'agissait d'une erreur de configuration qui a été rapidement corrigée. L'objectif de découvrir les menaces était de pouvoir prendre des mesures pour y remédier.

Apprendre de l'expérience

Moi, à huit ans, j'aurais été très fier de ma capacité à trouver une menace aussi importante - pouvoir améliorer notre sécurité était certainement précieux. Il y avait de nombreuses leçons à tirer de cette chasse que j'ai menée avec moi au fil des ans :

Comprenez le réseau sur lequel vous travaillez pour reconnaître facilement les modèles et les comportements qui s'écartent de la normale.
Interroger et examiner tout le trafic, même un trafic acceptable ou normal. Le trafic réseau est coupable jusqu'à preuve du contraire dans le monde de la chasse aux menaces.
Toutes les chasses ne se traduiront pas par la découverte de menaces, mais écoutez toujours votre instinct. Si vous savez qu'il existe, c'est probablement le cas.

La chasse aux menaces est une occasion d'aider un plus grand bien. Les cyberattaques sont incessantes. Nous devons travailler ensemble en tant que professionnels pour changer les règles du jeu. De même, soyez prêt à accepter de l'aide. J'ai eu la chance de trouver un travail qui m'apporte tant de joie. J'aime ce que je fais parce que cela me connecte avec un lecteur de toute une vie. Il existe de nombreuses spécialités au sein de la cybersécurité; trouver votre créneau particulier vous fera réussir dans ce domaine.

Intelligence de données générative

Leçons des tranchées de la cybersécurité

Apprendre de l'expérience

Un studio dirigé par le responsable multijoueur de StarCraft 2 veut créer un « changement de paradigme » RTS avec son jeu inopiné

No Rest for the Wicked n'est pas un Diablo, mais c'est peut-être l'un des soulslikes les plus intelligents auxquels j'ai joué depuis longtemps.

Dernières informations

Moment Factory exploite les technologies de nouvelle génération de Sphere pour réinventer l'expérience de concert

Présentation de la formation automatique pour les solutions dans Amazon Personalize | Services Web Amazon

Économisez 20 % sur No Rest For The Wicked et obtenez un jeu gratuit pour une durée limitée

Guide de la journée communautaire Pokémon Go Bellsprout

Bandai Namco Vente eShop Switch d'avril 2024 : prix les plus bas jamais vus pour Digimon World : prochaine commande, We Love Katamari, plus

La manette Xbox personnalisable Asus tombe au prix le plus bas jamais vu sur Amazon

Discutez avec nous