Webinar : L'évolution du phishing et comment le combattre
Au-delà du prince nigérian
En 2017, le FBI a estimé que les pertes dues à la compromission des e-mails professionnels ont augmenté de 88 % par rapport à 2016. Pourtant, de nombreux utilisateurs finaux associent encore le phishing à l'email prototypique provenant du Nigeria.
Au cours de ce webinaire, Tim Draegen, fondateur de dmarcian, et Kevin O'Brien, PDG de GreatHorn, retraceront l'histoire des attaques par hameçonnage, depuis les débuts des vastes opérations du prince nigérian jusqu'aux menaces actuelles de harponnage sophistiqué et très ciblé.
Nous explorerons comment nous maintenons notre approche philosophique à jour par rapport à ces menaces qui ont changé, et nous discuterons de la façon dont la technologie que nous utilisons a évolué pour suivre le mouvement. Enfin, nous mettrons en lumière l'approche multidimensionnelle que les organisations devraient envisager pour lutter contre le phishing et la façon dont elles fonctionnent ensemble - notamment les cadres d'authentification, les graphiques relationnels, l'apprentissage automatique, etc.
Vous quitterez le webinaire avec une compréhension de :
- Les menaces les plus pernicieuses d'aujourd'hui
- Les avantages et les inconvénients des outils existants
- Nouvelles approches pour faire face à ces menaces
"Les approches précédentes pour se défendre contre le phishing se sont concentrées sur la sécurité des sites Web et les défenses basées sur les pare-feu et le périmètre. Une approche efficace du phishing ne consiste pas à mettre au point une nouvelle et meilleure souricière, mais à intégrer de meilleurs processus commerciaux pour faire face à l'évolution de l'environnement et à veiller à ce que les individus disposent de meilleurs outils et d'une meilleure formation.
Au lieu de traiter des objets compliqués qui s'engagent dans diverses relations comme s'il s'agissait de biens statiques à protéger, cette nouvelle approche se concentre sur la façon dont les gens se comportent au sein de leur organisation, et sur la façon dont les organisations opèrent en ligne (au-delà de leur secteur). Une réponse efficace au phishing s'appuie sur l'approche précédente, et reconnaît la nature dynamique des personnes et le fait que les organisations interagissent en ligne bien au-delà de leurs propres murs." - Tim Draegen, fondateur de dmarcian
Voici la transcription :
Lorita Ba :
Bonjour à tous. Merci de participer à notre webinaire d'aujourd'hui, "Au-delà du prince nigérian : l'évolution du phishing et comment le combattre". Je suis Lorita Ba. Je suis vice-présidente du marketing chez GreatHorn, et je suis rejointe aujourd'hui par Kevin O'Brien, PDG de GreatHorn, ainsi que par Tim Draegen, PDG de notre partenaire, dmarcian. Avant de commencer, je voudrais juste couvrir quelques aspects logistiques. Le webinaire devrait durer environ 40 à 45 minutes. Vous serez en sourdine pendant toute la durée du webinaire, mais vous avez la possibilité de poser des questions à tout moment dans le panneau de questions-réponses situé à droite de votre écran, dans le panneau de contrôle du webinaire Go-to. Le webinaire est enregistré et sera disponible en différé pour toutes les personnes inscrites, tout comme les diapositives. Sur ce, sans plus tarder, je vais laisser la parole à Kevin, qui se présentera brièvement, puis à Tim, qui se présentera également.
Kevin O'Brien :
Merci, Lorita. C'est un plaisir d'être ici. Kevin O'Brien, PDG et cofondateur de GreatHorn. J'ai hâte de participer à cette conversation. Un peu d'informations biographiques brèves. Je suis un entrepreneur en série dans le domaine de la cybersécurité. Je fais cela depuis environ 20 ans. Nous allons parler aujourd'hui de l'évolution des menaces liées à la sécurité des e-mails. Je suis très heureux d'être rejoint par Tim. Tim, je vous laisse vous présenter également.
Tim Draegen :
Très bien, merci, Kevin. Bonjour à tous, je suis Tim Draegen, le PDG de dmarcian. Merci beaucoup de prendre le temps de nous écouter aujourd'hui. Aujourd'hui est un jour spécial, car ce webinaire est la première collaboration entre GreatHorn et dmarcian. Les deux sociétés sont actives dans le secteur de l'e-mail, mais de manière très différente. Ainsi, le fait de s'associer et de comparer leurs notes a déjà permis d'obtenir des informations très intéressantes, et le fait de les partager lors de ce webinaire rend cette journée spéciale, pour moi et, je l'espère, pour vous. OK, diapositive suivante.
J'ai l'honneur de donner le coup d'envoi aujourd'hui. C'est moi. C'est une photo de moi bébé, regardant dans la boule de cristal de mon avenir. Je n'avais aucune idée à l'époque que je finirais par passer autant de temps à travailler sur les emails. J'aime à penser que le bébé n'est pas sur le point de pleurer, mais qu'il exprime plutôt un sentiment d'admiration. C'est ce que j'aime à croire, du moins. Je suis ingénieur en informatique de métier. J'ai passé les quelque 30 premières années de ma vie dans la Silicon Valley, à essayer de résoudre les problèmes technologiques les plus difficiles que je pouvais trouver. Lorsque ma femme et moi avons décidé de ralentir le rythme et de fonder une famille, j'ai naturellement accepté un emploi dans une société de messagerie électronique, car, comme nous le savons tous, il n'y a pas grand-chose à faire dans ce domaine. C'était au début des années 2000. C'est censé être une blague. À l'époque, lors d'une soirée bière du vendredi après-midi, un vice-président m'a pris à part pour me demander mon avis sur les projets de l'entreprise visant à créer le meilleur filtre anti-spam du monde. À l'époque, l'entreprise disposait d'une plate-forme ultra-rapide pour l'envoi d'e-mails, car elle avait besoin d'un plan pour pénétrer dans l'entreprise. À cette époque, les gens commençaient tout juste à réaliser l'importance de la sécurité. Alors pourquoi ne pas exploiter ce marché de la sécurité des entreprises avec une solution anti-spam ? De l'argent facile.
Voyons voir. À l'époque, j'ai fait une remarque impromptue du genre "Nous allons gagner beaucoup d'argent, mais cela ne résoudra pas le problème". Le problème à l'époque, tel que je le voyais, était une question d'identité de base du courrier électronique. Les gens ne peuvent pas facilement dire si un courriel est réel ou non. Cette remarque spontanée a donné le coup d'envoi de ma propre participation à un vaste effort intersectoriel qui a finalement abouti à la publication de la spécification technique DMARC vers 2012. Depuis lors, je fais tout ce que je peux pour que le monde adopte DMARC. Mais le webinaire d'aujourd'hui ne porte pas uniquement sur DMARC. Diapositive suivante, s'il vous plaît.
Ce qui me pose encore problème aujourd'hui, c'est la taille et la portée du courrier électronique dans le monde d'aujourd'hui. Tout le monde utilise le courrier électronique tout le temps, partout. C'est toujours d'une ampleur époustouflante. L'échelle de l'e-mail, je crois, le place au même niveau qu'un service public comme l'eau, l'électricité, mais ce qui rend l'e-mail compliqué, c'est qu'il ne s'agit pas d'une seule chose. Il est préférable de le considérer comme une pile géante de spécifications techniques qui décrivent comment toutes les pièces peuvent interagir ensemble. À mon avis, ce qui fait la beauté de l'e-mail, c'est que chacun peut créer sa propre version des pièces et l'intégrer à l'écosystème existant. Le résultat final est le plus grand moyen de communication en ligne du monde, et il n'appartient à personne, ce qui, à mon avis, en fait un sujet sur lequel il vaut la peine de travailler. Je dois penser comme ça, sinon je serais probablement devenu fou il y a longtemps.
Très bien, une fois tous ces éléments de contexte dissipés - merci d'avoir persévéré - nous pouvons en venir à l'objet de ce webinaire : pourquoi le phishing est-il toujours un problème, et que peut-on faire pour y remédier ? Pour répondre à cette question, il faut considérer le contexte plus large. Alors qu'Internet continue d'évoluer et de créer des opportunités pour les gens, les criminels, eux aussi, ont évolué pour tirer parti des nouvelles opportunités. Si l'on considère le courrier électronique comme un écosystème composé de nombreuses pièces, qui interagissent toutes les unes avec les autres, et non comme une chose monolithique, on peut espérer que l'on commence à comprendre que les pièces elles-mêmes évoluent à des rythmes différents et qu'il existe des industries qui se concentrent sur des pièces spécifiques. C'est donc en raison de ce type d'évolution fragmentaire que le courrier électronique a fait l'objet d'investissements importants au cours des deux dernières décennies. Un rapport d'analyste datant d'il y a cinq ans, je crois, évaluait les dépenses annuelles consacrées à la technologie anti-spam entre 7 et 10 milliards de dollars par an, et ce uniquement pour la technologie dédiée au blocage des spams, et ce sont des informations qui datent. Mais malgré cet investissement massif et continu dans la sécurité du courrier électronique, certaines menaces continuent de passer au travers des solutions de sécurité du courrier électronique existantes. J'ai vraiment envie de sauter le pas, mais je ne le ferai pas. Donc, avant de demander comment c'est possible, nous allons voir à quoi ressemblent ces menaces. Et Kevin, vous êtes en première ligne, donc pour la prochaine diapositive, c'est à vous.
Kevin O'Brien :
Merci, Tim. C'est une bonne histoire, et puisque vous avez abordé l'idée des analystes et de leur contribution à ce sujet, permettez-moi de citer l'un de mes analystes préférés qui travaille sur cet espace. Dans une présentation qu'ils ont donnée dans une salle de bal, dans un hôtel quelque part, ils ont dit : " Le courrier électronique est l'un des rares systèmes d'entreprise que l'on peut vraiment définir comme vénérable, mais tout à fait vulnérable ". Je pense que c'est un point très important pour la conversation que nous avons aujourd'hui, parce que le courrier électronique a près de 47 ans, et pourtant il a toujours l'un des plus grands impacts sur l'ensemble de l'industrie de la cybersécurité, et par extension, sur les organisations pour lesquelles ces impacts de cybersécurité ont les conséquences les plus directes sur les résultats. Pourtant, si vous demandez à l'utilisateur organisationnel moyen de la messagerie électronique, comme nous l'avons fait au cours de l'été - nous avons réalisé une enquête auprès d'environ 300 professionnels, répartis à peu près à parts égales entre les professionnels de la sécurité de l'information et les autres. La plupart des gens disent que le plus gros problème qu'ils rencontrent est probablement le spam. C'est un malentendu intriguant, car il ne se reflète pas du côté de la sécurité de l'information.
Si vous faites un sondage - et vous pouvez le voir ici sur la diapositive, dans la colonne de gauche - l'utilisateur organisationnel est responsable de la réflexion sur la cybersécurité. La plupart d'entre eux disent : "Nous comprenons qu'il existe un continuum de menaces que nous recevons par le biais du courrier électronique, allant de l'hameçonnage à l'hameçonnage ciblé, des demandes financières directes provenant d'expéditeurs frauduleux à la distribution de logiciels malveillants, ce que l'on appelle les attaques par charge utile. En outre, dans 20 % des cas, ces piratages contournent toutes les solutions de sécurité existantes mises en place par ces organisations, ce qui signifie qu'une étape de remédiation est nécessaire. Dans le monde de l'info-sécurité, nous pensons à deux mesures clés : le temps de détection, c'est-à-dire le temps qu'il vous faut pour découvrir qu'un problème est en train de se produire, et le temps de réponse, c'est-à-dire le temps qu'il vous faut pour régler ce problème.
L'e-mail est omniprésent. Tous les professionnels en disposent, et 100 % des professionnels interrogés ouvrent tous leurs e-mails professionnels. Il se peut qu'ils n'y répondent pas ou qu'ils n'en fassent rien, mais vous pouvez être sûr d'atteindre quelqu'un en lui envoyant un e-mail dans un contexte professionnel. La colonne de droite indique cependant que le profane - c'est-à-dire le professionnel non informé - considère généralement tous les courriels qu'il reçoit comme des spams. Et donc nous avons ce moment vraiment intriguant qui a commencé à se produire dans l'industrie de l'info-sécurité, où nous reconnaissons que l'email est, en fait, ce facteur de menace primaire, et pourtant nous avons toujours ce malentendu, par la plupart des gens qui sont directement affectés par cela, qu'ils résolvent un problème de spam. Au cours du reste de notre temps aujourd'hui, nous allons parler en détail de ce à quoi cela ressemble vraiment, pourquoi le spam n'est qu'une partie du problème, et comment vous pouvez commencer à penser à créer une réponse info sec qui a une certaine nuance à elle, et peut répondre aux menaces réelles que vous obtenez.
Mais je voudrais d'abord mettre en contexte le fait qu'il ne s'agit pas d'un problème technologique. Vous avez deux PDG de deux entreprises technologiques qui vous présentent, mais ce n'est pas une présentation de produit, et vous ne pouvez pas résoudre le problème de la sécurité des e-mails, ou le problème du phishing, simplement en mettant en place une technologie, ou en achetant quelque chose. Il s'agit plutôt d'un continuum, qui va des contrôles au niveau de l'industrie, dont certains seront abordés, aux processus organisationnels et à la responsabilité individuelle. Disposer d'un plan de réponse qui couvre toute la gamme, de l'industrie à l'individu, est une partie essentielle de la façon dont nous commençons à résoudre ce problème de courrier électronique. Avant d'en arriver là, je veux passer la parole à Tim, étant donné le contexte qu'il a partagé. Tim, vous avez été dans les tranchées. Vous avez vu l'évolution de la menace. Alors que nous réfléchissons à l'idée d'un continuum de réponses, pouvez-vous nous expliquer l'histoire du problème, où nous en sommes aujourd'hui et comment nous en sommes arrivés là ?
Tim Draegen :
Oui, je peux, mais avant d'y aller, je voulais juste ajouter un aparté. En collaborant à ce webinaire, GreatHorn et dmarcian, nous avons voulu dresser un tableau clair de la manière de penser à la sécurité des e-mails dans le monde moderne d'aujourd'hui. Ce faisant, il est apparu clairement qu'une réponse efficace au phishing ne doit pas se limiter à la technologie, comme Kevin vient de le dire. Une réponse efficace doit prendre en compte les différents acteurs en jeu. Il y a des individus au sein des organisations. Il y a les organisations qui coexistent sur l'Internet ouvert, représentées sur la diapositive précédente comme l'industrie. Traditionnellement, les personnes chargées de la sécurité utilisent le concept de défense en profondeur et l'appliquent en grande partie aux éléments qui relèvent du domaine de l'organisation : pare-feu, passerelles, inspection des paquets, journalisation, analyse des événements. En élargissant la perspective et en examinant la relation entre les individus et les organisations, entre les organisations et les secteurs d'activité, nous avons pu dresser un tableau assez clair de la manière dont il faut envisager la sécurité du courrier électronique pour faire face aux menaces avancées d'aujourd'hui.
Mais nous ne pouvons pas aller très loin si nous ne regardons pas comment le risque a évolué parallèlement à l'Internet. Cela nous amène à l'homme qui sort de l'enveloppe au milieu de la diapositive. Ce que nous appelons la sécurité du courrier électronique, et la façon dont nous gérons le risque qui l'entoure aujourd'hui, a commencé par quelque chose de différent. À l'époque, les gens faisaient tourner des serveurs de messagerie sur du vrai matériel, dans un placard ou sous le bureau de quelqu'un, croyez-le ou non. Ces personnes étaient principalement connues sous le nom d'administrateurs système. C'étaient les personnes intelligentes qui faisaient fonctionner toutes les machines. Ils étaient largement considérés comme des personnes qui évitaient la lumière du jour et parlaient par énigmes, également connues comme les meilleurs amis. À l'époque, le spam et le courrier électronique indésirable étaient considérés comme une nuisance. Il y avait bien quelques offres commerciales à l'époque, mais elles étaient surtout vendues aux personnes qui n'avaient pas d'administrateur système. Je pense que cela est représenté par les câbles effilochés dans le placard informatique. Mais ce qui s'est passé, c'est qu'au fil du temps, le courrier électronique nuisible a évolué pour être géré par des spammeurs professionnels, et la tâche de traiter tous les courriers électroniques merdiques qu'ils envoyaient a été confiée à des professionnels de l'informatique au sein d'une entreprise. Au lieu d'être une nuisance, la quantité de spam reçue est devenue un obstacle aux opérations commerciales et a été considérée comme une entrave aux affaires. Des budgets sont devenus disponibles et l'industrie commerciale de l'anti-spam a décollé. Pour gérer le courrier indésirable, il suffisait d'acheter un filtre qui nettoyait le contenu au fur et à mesure qu'il entrait dans le réseau.
Mais à un moment donné, les spammeurs professionnels ont réalisé que la technologie et l'expertise opérationnelle qu'ils avaient développées pendant qu'ils envoyaient des spams pouvaient aussi être utilisées d'une autre manière. Non pas pour envoyer des e-mails sur des actions, des escroqueries ou des pilules sexuelles, mais pour envoyer des e-mails à des personnes dans l'intention de les tromper. C'est alors que le moteur économique derrière le risque de sécurité des e-mails est passé de l'utilisation de l'e-mail comme canal de marketing peu coûteux à l'utilisation de l'e-mail comme moyen d'exposer un grand nombre de personnes à des escroqueries, sans aucun coût pour le criminel. C'est l'histoire de la façon dont le courrier électronique est passé du statut de nuisance à celui d'arme. Pour vraiment comprendre pourquoi la situation actuelle est mauvaise, nous devons examiner ce que la technologie a fait pour nous. Cela devrait nous amener à la diapositive suivante, qui concerne le passé.
La plupart des technologies anti-spam ont été développées pour bloquer les vagues de spam, comme vous pouvez le voir ici, quatre d'entre elles. Les vagues sont différentes, et elles se produisent à des moments différents. Mais si vous regardez de près, vous pouvez commencer à voir des modèles. Diapositive suivante, s'il vous plaît.
La technologie anti-spam qui a été développée fonctionne en grande partie en collectant d'énormes quantités de spam, en collectant d'énormes quantités de non-spam, également connu sous le nom de ham, puis en utilisant des techniques d'apprentissage automatique pour identifier des modèles qui ne correspondent qu'au spam. Ces modèles sont ensuite produits et utilisés pour bloquer ces vagues de spam qui se baladent sur Internet. Plus vous êtes performant, plus vous gagnez de l'argent. Mais lorsque les spammeurs ont réalisé que l'utilisation de l'e-mail pour tromper pouvait être bien plus lucrative que la vente de pilules sexuelles à quelques pigeons, les technologies anti-spam ont encore eu un rôle à jouer. GreatHorn a trouvé une excellente expression que je vais adopter. Appelons ça le phishing volumétrique. C'est la prochaine diapositive. Merci.
C'est là que la technologie anti-spam commence vraiment à s'effondrer. Les mauvais acteurs, ils continuent à évoluer au-delà de cette défense. Voici quelques exemples. Kevin, je ne sais pas si tu voulais parler de cette diapositive ou non.
Kevin O'Brien :
Oui. Je pense que lorsque nous parlons de phishing volumétrique, l'une des choses que nous voyons est que nous avons tous reçu des messages de ce type à nos adresses personnelles. Si vous avez des e-mails, vous avez vu ça. C'est devenu une blague culturelle en raison de sa prévalence. Le prince nigérian, le titre du webinaire lui-même, provient d'une branche particulièrement virulente de ce type particulier de phishing. Mais nous avons vu que cela a commencé à se déplacer dans le monde de l'entreprise, et vous voyez encore cela. Les dates sur ces e-mails sont réelles. Ce sont de vraies captures d'écran, et elles sont adressées à de vrais professionnels de notre clientèle, et dans certains cas à des organisations (inaudible). Maintenant, je pense que nous pouvons affirmer que nous sommes devenus assez bons dans la détection volumétrique du phishing. Vous pouvez également voir qu'un grand nombre de ces messages se trouvent dans des dossiers de courrier indésirable, et c'est parce que ce problème, comme l'a dit Tim plus tôt, a maintenant près de 20 ans de collecte de spam et de jambon pour bloquer ce qui est indésirable lorsqu'il s'agit de quelque chose qui ressemble beaucoup à l'un de ces messages. Bien sûr, ce n'est pas tout le problème. Je te laisse la parole, Tim.
Tim Draegen :
Ouais. Diapo suivante. C'est le grand uh-oh. S'il n'y a qu'un seul mauvais email, alors vous ne pouvez pas collecter d'échantillons à son sujet, vous ne pouvez pas écrire de règles, et la méchanceté a une chance d'arriver devant un humain. Ce type de hameçonnage artisanal est appelé hameçonnage par harponnage. C'est une chose de jeter un large filet pour essayer de frauder un grand nombre de personnes à la fois, comme le fait le phishing volumétrique, mais lorsque l'objectif est de tromper une personne spécifique pour qu'elle fasse quelque chose qu'elle ne devrait pas faire, il s'agit d'une catégorie spéciale de phishing, d'où le surnom de "spear phishing". C'est devenu la norme, cependant, si bien que les gens appellent ce type d'attaque simplement phishing, au lieu de l'appeler spear phishing. Mais Kevin voit beaucoup plus de ces échantillons que moi chez dmarcian, et cela devrait être la prochaine diapositive, nos échantillons.
Kevin O'Brien :
Lorsque j'ai créé GreatHorn, l'itération initiale de la société consistait à s'intéresser uniquement au spear phishing et à se concentrer sur ce seul aspect de la sécurité des e-mails. Nous en faisons plus maintenant, mais c'était le point de départ. J'étais à New York, et je présentais ce problème à une salle pleine de gens. Il y a quatre ans, quatre ans et demi, le spear phishing était encore le terme utilisé dans le secteur pour décrire le défi. Je me souviens que l'investisseur en capital-risque à qui je m'adressais m'a écouté poliment pendant quelques instants, puis a froncé les sourcils et m'a demandé comment nous pouvions lancer une entreprise technologique ayant un rapport quelconque avec le commerce maritime. C'était manifestement un malentendu, et j'ai su alors que ce n'était probablement pas l'investisseur qu'il nous fallait. Du moins, nous ne l'avions pas suffisamment impressionnée pour qu'elle ait envie d'investir dans ce qu'elle pensait que nous faisions. Mais en réalité, tout le monde connaissait ce terme, mais ne le savait pas.
Repensez à l'enquête que nous avons mise en place au début de cette présentation. Il existe toujours un malentendu, et une mauvaise différenciation, entre le spam et le spear phishing. Alors, de quoi s'agit-il ? Mettons les choses au clair. Hameçonnage ciblé, attaques ciblées, spear phishing : il s'agit d'une attaque au cours de laquelle quelqu'un se fait passer pour un cadre d'une entreprise, par courrier électronique, au moyen de diverses techniques d'exploitation, pour amener quelqu'un d'autre au sein de cette entreprise à faire quelque chose. Il peut s'agir de donner accès à des données sensibles, de transférer de l'argent, voire de fournir des informations supplémentaires en vue d'une attaque ultérieure plus avancée. Il peut également s'agir d'une usurpation d'identité d'un service de confiance. Vous avez probablement tous vu quelque chose comme ça à un moment donné, où vous recevez ce qui ressemble à un fichier hébergé dans le nuage - c'est-à-dire un fichier qui se trouve sur un compte Dropbox, un compte Google Drive ou un compte SharePoint - et quelqu'un vous demande de l'ouvrir. Il se peut, comme vous pouvez le voir en bas à gauche, que Microsoft lui-même prétende que vous devez aller vous connecter pour libérer les messages qui ont été retardés ou dont la livraison a échoué. Bien sûr, ce ne sont pas vraiment des messages de Microsoft ou de vos dirigeants. Il s'agit d'attaques de spear phishing, conçues pour récolter vos informations d'identification ou vous inciter à faire quelque chose.
J'aime particulièrement celui en haut à droite, parce que nous l'avons vraiment reçu, et Lorita, qui a ouvert ce webinaire et fait les présentations, a reçu un message censé venir de moi. On m'a donné beaucoup de noms dans ma carrière, mais pas celui de Earl Jordan 114, et c'était une fraude totale. Mais cela montre les types d'attaques sur lesquelles les gens s'appuient, et donc cette attaque à la porte que cela représente est indicative de quelqu'un qui essaie d'exécuter ce qui sera probablement une attaque plus complexe à l'avenir, en utilisant quelque chose comme un domaine sosie, comme vous le voyez en bas à droite, où il y a un document DocuSign qui doit soi-disant être signé. Mais ce "U" est surmonté d'un tréma, et ces deux petits points font la différence entre la signature d'un contrat de vente et la transmission de vos informations d'identification à un attaquant.
Que faisons-nous à ce sujet ? Comme l'a souligné Tim, nous ne pouvons pas compter exclusivement sur la technologie pour résoudre ce problème, ni sur l'approche traditionnelle de la réflexion sur le spam. C'est-à-dire, consommer de grandes quantités de données, et une fois que vous avez ce corpus de données, régler une machine pour l'examiner et déterminer où se trouve le spam et où se trouve le ham. sur ces attaques faibles et lentes. Ainsi, comme nous y avons fait allusion plus tôt, il existe une confluence de processus, de technologie et d'investissements humains que les organisations de premier plan mettent en œuvre pour résoudre le problème du spear phishing et le problème de la sécurité des e-mails en général. Je voudrais en parler brièvement, et je pense que nous devons d'abord comprendre ce que nous entendons par ces trois éléments.
Le processus est l'ensemble des règles formelles et écrites que vous mettez en place dans votre entreprise. Lorsque quelqu'un vous dit : "J'ai besoin que vous répondiez à mon e-mail", ou "J'ai besoin que vous fassiez un virement sur la base d'un compte en souffrance", ou "Vous devez cliquer sur ce lien et libérer ces messages", un contrôle au niveau du processus dirait : "Nous ne faisons pas de virement sans confirmation verbale et sans appel téléphonique", ou "Si vous ne reconnaissez pas l'expéditeur, vous ne cliquez pas sur le lien". C'est une bonne chose. La plupart des organisations à grande échelle ont des exigences d'audit qui demandent en fait que leurs processus soient alignés sur certaines normes, et qu'elles doivent démontrer, généralement sur une base annuelle, que celles-ci sont communiquées au personnel.
Le deuxième niveau du cadre de réponse que nous proposons est donc un investissement dans la technologie, mais une technologie qui ne tente pas de résoudre le problème en bloquant les choses, mais plutôt de rappeler et d'armer l'utilisateur final pour qu'il sache quel est le processus et comment il doit se comporter. Je vais laisser Tim en parler plus en détail dans un instant, parce que la mise en contexte et la réflexion sur la technologie et la façon dont elle s'aligne sur le courrier électronique est un sujet majeur, sur lequel nous allons passer un certain temps, aujourd'hui et à l'avenir.
Mais le dernier pied de ce tabouret est la composante humaine, et évidemment vous avez vu les exemples que nous avons eus, où quelqu'un cible Lorita, ou un membre d'une équipe, et dit, "J'ai besoin que tu ailles faire quelque chose." Il y a un malentendu et une idée fausse parmi les professionnels de la sécurité que, entre guillemets, les humains sont le maillon le plus faible. C'est une façon vraiment malheureuse d'essayer d'utiliser la peur pour vendre des logiciels et des technologies. Nous pensons que l'utilisateur final est votre meilleure chance de bloquer ou de prévenir une attaque, et qu'un alignement solide entre les processus et les personnes, grâce à l'utilisation de la technologie, transforme ce lien supposé le plus faible en l'un de vos meilleurs atouts. Tim, voulez-vous apporter un peu de couleur ici, et peut-être spécifiquement à ce concept de défense en profondeur dont nous parlions ?
Tim Draegen :
Oui. En parlant de ces choses, il y a un sentiment de responsabilité partagée. Quand nous avons collaboré, nous avons pensé à ces choses-là. Nous essayions de trouver un moyen simple de comprendre comment les processus, la technologie et les personnes interagissent au niveau des individus, des organisations et des industries. En rassemblant tout cela, nous n'avions pas l'impression qu'une matrice avec des lignes et des colonnes rendait vraiment compte de la situation. La clé se trouvait dans les relations, par opposition à la méthode traditionnelle de défense en profondeur appliquée à des domaines cibles spécifiques. Une meilleure façon d'y parvenir, je pense, est de comparer et de contraster ce que les gens ont fait avec ce qu'on leur a donné, par rapport à ce qui est efficace lorsqu'on l'aborde dans une perspective plus large, cette perspective plus large étant de considérer comment les industries interagissent, de considérer ce que l'organisation fait, et de considérer les individus qui composent une organisation. Il s'agit donc d'une approche globale, par opposition à la défense en profondeur qui consiste à protéger les personnes, à protéger une organisation et à éduquer le grand public. Je pense que cela nous amène à la première partie, qui est l'engagement de l'utilisateur, qui est la prochaine diapositive.
Kevin O'Brien :
L'une des choses intéressantes, Tim, à propos de l'engagement de l'utilisateur est que, comme vous venez de le dire, nous pensons que la défense en profondeur consiste à empêcher les gens d'accéder aux données. C'est un véritable malentendu et un détournement du terme. La défense en profondeur est un concept qui a d'abord émergé du National Institute of Standards and Technology, NIST, en grande partie à partir de recherches universitaires, puis plus tard dans des recommandations politiques officielles au milieu des années 90 et au début des années 2000. L'idée est que la défense en profondeur est un concept que l'on applique à un programme de sécurité pour s'assurer que l'on n'a pas de point de défaillance unique. Malheureusement, la mise en œuvre de ce concept a consisté à penser que l'on ne pouvait pas faire confiance aux utilisateurs, et que nous devions donc mettre autant de niveaux de défense que possible entre eux et leur travail. Si vous considérez les utilisateurs comme le problème, et que vous verrouillez les utilisateurs, et que vous utilisez des technologies qui ont été conçues pour une époque où le principal problème que vous auriez du point de vue du courrier électronique est que vous recevriez, je cite, du courrier indésirable, du spam - d'accord ? - alors avoir une modalité de sécurité qui dit, "Ne laissez pas les utilisateurs voir ce genre de choses, mettez-les dans le dossier de courrier indésirable, mettez-les en quarantaine et laissez à l'équipe de sécurité informatique le soin de déterminer si quelque chose a brisé le processus d'affaires", n'est vraiment pas compatible. Je pense que lorsque nous regardons l'évolution de l'infrastructure en nuage, la possibilité pour les utilisateurs d'aujourd'hui de se rendre au travail avec leur tablette personnelle, leur téléphone, la possibilité d'accéder facilement à ce qui aurait été des systèmes de messagerie de niveau entreprise il y a 10 ou 15 ans, avec rien de plus qu'une inscription de cinq minutes pour obtenir un compte Gmail, ou un compte de messagerie moderne sur le Web quelque part, change vraiment le paysage, et bloquer les utilisateurs ne fonctionne tout simplement pas. Tim, voulez-vous parler un peu de l'approche moderne, et un peu plus de ce que nous voyons fonctionner aujourd'hui ?
Tim Draegen :
Je dois d'abord reconnaître que, de mon point de vue, isoler les utilisateurs n'a pas fonctionné. Il y a beaucoup de conseils pour former les gens à ne pas cliquer sur, entre guillemets, de mauvaises choses, mais les entreprises spécialisées dans ce type de formation signalent que les utilisateurs ne parviennent pas toujours à éviter les mauvaises choses. Ce type d'approche est bon en tant que programme de formation, mais il n'est pas vraiment efficace pour empêcher les courriels les plus pointus qui parviennent à endommager les choses. Donc, à mon avis, il est clair que les gens ont besoin de meilleurs outils lorsqu'ils parcourent leurs e-mails. Et donc l'approche moderne, au bas de la diapositive, nous commençons à voir beaucoup plus de fonctionnalités où les utilisateurs eux-mêmes reçoivent de meilleurs outils lorsqu'ils traitent les e-mails, de sorte que s'ils voient quelque chose d'étrange, ils peuvent obtenir une bien meilleure réponse. Il ne s'agit pas d'un modèle qui consiste à mettre un courriel en quarantaine pour qu'il soit finalement libéré par un expert, mais plutôt que les utilisateurs eux-mêmes reçoivent suffisamment de signaux visuels pour - je ne veux pas aller jusqu'à dire qu'ils effectuent leur propre enquête, mais la partie technologique a éliminé beaucoup d'arêtes vives, de sorte qu'il y a moins de choses qui peuvent blesser les utilisateurs.
Kevin O'Brien :
C'est une excellente transition pour parler des domaines dans lesquels la technologie a un rôle à jouer, bien sûr. J'aime l'idée d'arrondir les angles. Là où je pense que la technologie, dans l'approche moderne, a une certaine capacité à aider, c'est en retirant des boîtes aux lettres les courriels qui sont catégoriquement mauvais. Il s'agit d'un domaine où la classification binaire bon/mauvais fonctionne bien, de la même manière qu'elle fonctionne bien sur un dispositif d'extrémité ou sur un pare-feu de réseau. Certaines choses - les logiciels malveillants, la détection de l'espace de hachage des fichiers, ou l'analyse statique de la menace, les URL malveillantes qui figurent sur plusieurs listes noires en temps réel - ce genre de choses, nous pouvons nous en débarrasser. Je pense que vous devez reconnaître que les professionnels de la sécurité ne sont pas mal informés. Ils ne sont pas stupides. Ces choses fonctionnent très bien dans tous les autres domaines de la sécurité. Mais ce qui ne fonctionne pas, c'est de prendre cette idée de classification binaire d'un point de vue technologique, et de penser que vous pouvez l'appliquer au problème que nous décrivons. Je pense, pour reprendre la diapositive de Tim, qu'en regardant le seul poisson qui sort des flots, ce message d'attaque isolé, bien conçu et dangereux contournera le genre de choses qui fonctionneraient si vous résolviez le problème de la distribution volumétrique des logiciels malveillants.
La deuxième chose que nous avons vue, c'est que les entreprises ont commencé à dire : "Très bien, nous savons que nous ne pourrons pas attraper toutes les mauvaises choses. Formons nos utilisateurs". La formation des utilisateurs comporte son propre défi. Tout d'abord, l'une des choses les plus difficiles à faire est d'influencer le comportement de l'utilisateur final. Les gens résistent au changement, qu'il s'agisse de professionnels dans un bureau ou ailleurs. Et donc dire aux gens qu'ils ne peuvent pas utiliser l'email - rappelez-vous, un système vieux de 47 ans. Presque tout le monde l'utilise depuis au moins une ou deux décennies. Cela ne va pas marcher. Et deuxièmement, le genre de choses que nous demandons aux gens de faire ne correspond pas à nos attentes en matière d'infrastructure telles qu'elles existent en 2018. Si vous dites à quelqu'un : "Passez le curseur de votre souris sur un lien qui vous semble suspect", vous lui demandez, d'une part, d'être un expert en sécurité et de comprendre si ce lien est suspect, et d'autre part, de passer le curseur de sa souris. Et s'ils sont sur un iPad ? Et s'ils sont dans un aéroport ? Et s'ils sont chez eux, regardant leur smartphone, et qu'il est 21 heures, et qu'ils vérifient leurs e-mails avant de se coucher pour la nuit ? Quel curseur de souris ? L'idée que la technologie et la formation vont résoudre le problème du phishing est donc totalement erronée et explique pourquoi ce problème est si important aujourd'hui. Mais il existe une meilleure solution. Tim ?
Tim Draegen :
Ouais, je pense que juste une note en passant, dans la communauté info sec, il y a la perception que les utilisateurs sont le problème, et je suis d'accord, dans une certaine mesure, que les utilisateurs sont un problème. Mais traiter les gens comme des actifs statiques, je pense, n'est pas la manière la plus efficace de traiter les utilisateurs comme un problème. Les gens ne sont pas des actifs statiques. Pour reprendre les propos de Kevin, ils se déplacent dans le monde entier. Ils sont essentiellement une relation dynamique avec l'organisation, et donc vous devez les traiter comme des choses qui vont se déplacer dans le monde. Donc, la manière traditionnelle d'entourer un utilisateur d'une couche d'armure pour empêcher les mauvaises choses de l'atteindre, nous devons simplement reconnaître que les gens vont être dehors dans la nature, faisant l'expérience (inaudible) d'anticipation. Une meilleure solution serait donc d'intégrer les gens dans un processus qui peut être ajusté pour réduire le risque. Il est préférable de le traiter comme une combinaison, plutôt que de penser qu'il existe une solution technologique unique qui va tout résoudre. Les -
Kevin O'Brien :
Ne prenez pas - allez-y, Tim, je suis désolé.
Tim Draegen :
Oh, non, toi.
Kevin O'Brien :
Ne nous prenez pas au mot. Regardez l'enquête avec laquelle nous avons commencé la présentation. Si l'idée selon laquelle la technologie et la formation peuvent à elles seules résoudre ce problème était vraie, vous ne constateriez pas que 20 % des personnes interrogées du côté de l'info-sécurité signalent qu'elles prennent des mesures correctives chaque semaine. Il s'agit d'un taux d'échec élevé si l'on considère que pour une organisation typique, qui peut recevoir, disons, 100 millions de messages électroniques au cours d'une semaine. Un taux d'échec de 20 %, alors qu'elle doit prendre des mesures manuelles sur des messages qui ciblent ses utilisateurs, et que chaque incident individuel de violation de la cybersécurité peut coûter des dizaines, voire des centaines de milliers de dollars, n'est pas une marge d'erreur acceptable. L'idée que la technologie est suffisante a peut-être un rôle à jouer, mais nous ne pouvons pas laisser perdurer cette idée erronée selon laquelle ce qui fonctionne pour le spam fonctionnera pour le phishing et le phishing ciblé. Heureusement, il y a certaines choses que nous pouvons faire. Tim, pourquoi ne pas en parler du point de vue de l'industrie pour commencer ?
Tim Draegen :
C'est mon préféré. Merci. Celle-ci me tient à cœur. La plupart des organisations ne tirent pas parti des technologies disponibles actuellement, qui sont utilisées pour établir et maintenir la confiance sur Internet. Je ne parle pas de la sécurisation d'un actif en ligne, comme un site Web, à l'aide de certificats SSL, ou de la protection d'un périmètre à l'aide de pare-feu ou de quelque chose du genre. Des efforts considérables sont actuellement déployés par les organisations pour déployer des technologies permettant à tous les autres utilisateurs de l'internet de faire confiance à ce qui est en ligne et qui prétend être vous. Si l'on en croit le courrier électronique, il faudra beaucoup de temps pour que les organisations adoptent ces technologies, mais cela doit être fait. La différence est que l'interopérabilité sur l'internet ouvert n'est pas un produit. Il s'agit essentiellement d'un ensemble de spécifications technologiques, tout comme le courrier électronique. Donc, si vous êtes une entreprise et que vous êtes sur l'internet, vous devez trouver le moyen de faire en sorte que toutes les autres personnes qui vont communiquer avec vous puissent le faire de manière sécurisée. Vous pouvez trouver des entreprises. Il existe des produits qui peuvent vous aider à déployer ces technologies, mais encore une fois, les technologies elles-mêmes sont toutes liées à l'interopérabilité. Ainsi, l'utilisation de ces technologies de manière à ce que n'importe qui sur l'Internet ouvert puisse dire que vous êtes vous aborde le problème d'une nouvelle manière, et il s'agit moins d'une posture défensive que de vous permettre d'être digne de confiance sur l'Internet. Donc ne laissez pas les gens deviner. Faites en sorte d'avoir une présence en ligne établie et stable. Kevin (dialogue chevauchant ; inaudible)
Kevin O'Brien :
Oui, je le pense. Je pense que ce qui s'aligne sur cela est que, d'un point de vue de la sécurité de l'information - et différencions qu'il y a un problème d'adoption de technologie standard de l'industrie que les organisations peuvent résoudre en utilisant certaines de ces normes. Vous pouvez également prendre une perspective de sécurité de l'information et examiner ce même défi, et commencer à déterminer si votre organisation est dans un bon état ou non en ce qui concerne ce type d'adoption de normes. Pourquoi cela est-il important ? Prenons l'exemple de l'usurpation de mon identité que nous avons vu il y a quelques instants. J'ai fait une blague sur le fait que l'adresse électronique était le nom de quelqu'un d'autre. C'est difficile à dire pour un utilisateur final. Si Kevin O'Brien, dont le nom s'écrit comme moi, envoie un courrier électronique à un membre de mon personnel, et que nous n'avons pas mis en place ce type de protection industrielle, cet agresseur peut non seulement utiliser le nom amical que vous voyez lorsque vous regardez votre courrier sur votre téléphone - Kevin O'Brien - mais aussi mon nom de domaine, GreatHorn dot com. Et c'est un problème, car il n'y a maintenant aucun moyen pour mon utilisateur final de faire la différence entre le vrai Kevin et l'imposteur. Mais si vous mettez en œuvre ces normes - et ce ne sont pas des technologies, ce ne sont pas des choses que vous achetez - ce sont des normes - vous ne pouvez pas devenir quelqu'un au sein de cette entreprise de la même manière que le véritable expéditeur, et donc vous vous retrouvez avec le faux nom de quelqu'un. Vous vous retrouvez avec l'adresse Gmail de quelqu'un. Je pense que ce qui est bien dans cette approche, c'est qu'elle ouvre la porte à un retour en arrière, du point de vue du spectre, et à une réflexion sur la façon dont vous pouvez vous protéger en utilisant plus qu'une seule couche de défense. Tim, à vous.
Tim Draegen :
Je ne me lasse pas de cette photo. Nous avons passé en revue beaucoup de choses dans le webinaire jusqu'à présent. Lorsque GreatHorn et dmarcian se sont assis et ont commencé à collaborer, nous avons parcouru beaucoup de choses, généré beaucoup de matériel. Je crois que ce sera la première partie d'une série de trois. Cette image, cependant, pour résumer, il y a trois catégories de haut niveau auxquelles il faut prêter attention : l'industrie, l'organisation et l'individu. Traditionnellement, ces catégories sont considérées comme des silos, mais d'après notre expérience, une réponse plus efficace au phishing nécessite d'examiner l'espace entre ces domaines. C'est-à-dire les relations entre les individus et leur organisation, et entre les organisations et leur secteur d'activité. La partie relationnelle est très importante. Du point de vue de l'industrie, il existe des moyens normalisés d'interopérer sur l'internet afin que votre organisation soit digne de confiance. Vous n'avez pas à deviner si quelque chose est réel ou non. Vous devez rechercher toutes les technologies permettant d'interagir correctement avec l'internet en tant qu'organisation. Ceci est du point de vue de la sécurité informatique. Une organisation doit faire cela avant tout, se rendre digne de confiance sur Internet. Du point de vue de l'individu, GreatHorn a été un pionnier, en ce qui concerne l'examen des relations entre les individus et entre les individus et leur organisation. Ainsi, si l'on considère l'ensemble de l'espace problématique que représente le phishing, il s'agit du diagramme le plus concis que nous ayons pu créer jusqu'à présent.
Kevin O'Brien :
Ce que je pense qu'il est important d'entendre, c'est qu'il y a un chevauchement entre ces éléments, et une partie de la raison pour laquelle Tim et moi sommes mutuellement excités par la perspective de construire un partenariat entre nos organisations est que nous résolvons différents côtés de cette équation, mais il y a une section au milieu où ils se rejoignent. La mise en place d'une protection industrielle, puis la mise en place d'un contexte pour l'utilisateur, nécessite un engagement organisationnel, et il s'agit souvent d'un engagement organisationnel du même groupe de personnes. Si vous êtes responsable du courrier électronique, si vous pensez à la sécurité de l'information, si vous protégez votre entreprise contre les cybermenaces avancées qui seront déployées contre vos cadres, liées à l'endroit où vous vous trouvez, aux types de données que vous avez, au financement et aux informations qui sont diffusées sur l'Internet public, avoir un plan de réponse individuel au niveau organisationnel est la seule façon de vous protéger efficacement. Je pense que c'est une très bonne occasion pour nous de commencer à parler de ce à quoi cela ressemble dans la pratique. Nous organiserons d'autres webinaires pour expliquer plus en détail comment un tel plan est élaboré, mais pour que vous sachiez où nous en sommes, Tim, voulez-vous dire quelques mots sur ce que vous faites ? Je vais parler de GreatHorn, et ensuite nous pourrons peut-être répondre à des questions.
Tim Draegen :
Oh, oui, juste rapidement. Dmarcian lui-même, il a été créé immédiatement après que DMARC ait été rendu public, et sa seule mission est de plier DMARC à l'Internet. DMARC lui-même, juste une technologie. C'est un bloc de construction, ou plutôt une fondation, sur lequel la confiance peut être construite à travers l'Internet. C'est l'un de ces éléments d'interopérabilité qui vous permet d'envoyer des e-mails sans que les autres n'aient à deviner s'ils sont réels ou non. Nous nous concentrons sur cet espace entre les organisations et leurs industries.
Kevin O'Brien :
À l'inverse, GreatHorn est un fournisseur de services de sécurité de la messagerie électronique. Nous aidons les organisations qui ont adopté des systèmes de messagerie électronique en nuage à comprendre où se trouvent les menaces dans leurs boîtes aux lettres, puis, grâce à ces politiques automatiques et instantanées axées sur la réponse, à prendre des mesures à leur égard, ce qui signifie que nous pouvons fournir à un utilisateur final un contexte lui permettant de savoir si un message donné est frauduleux ou non, et nous pouvons aider une équipe de sécurité de l'information à répondre à ces menaces en quelques secondes plutôt qu'en plusieurs heures ou jours.
Lorita Ba :
Super. Merci à vous deux pour votre temps et le contenu que vous avez fourni jusqu'à présent. Je veux rappeler à tout le monde que l'onglet des questions sur votre panneau de contrôle du webinaire est disponible pour les questions. Nous avons déjà reçu un certain nombre de questions. Je vais y venir dans une seconde. Mais pour rappel, nous allons envoyer l'enregistrement et les diapositives disponibles après le webinaire par e-mail, et les deux PDG ont mentionné que nous ferons plusieurs webinaires. Les deux prochains sont listés ici. Nous sommes encore en train de finaliser les dates, mais nous vous tiendrons certainement au courant. L'intention est que le deuxième webinaire soit une discussion tactique de certaines discussions philosophiques, puis que le troisième soit une compréhension approfondie de ce que font les deux entreprises.
En ce qui concerne les questions, la première est la suivante : "Que pensez-vous de l'idée de mener des campagnes de phishing sur vos propres employés pour les sensibiliser ?"
Kevin O'Brien :
Bien sûr, je vais faire un premier essai, et ensuite Tim, si vous voulez ajouter un peu de couleur à cela. pourquoi vous feriez quelque chose comme ça. La première est qu'une campagne de phishing menée contre vos propres employés peut vous donner un point de repère sur votre situation. L'analyse comparative est une bonne pratique, et le fait de savoir ce que vous essayez de changer, et de comprendre les paramètres que vous essayez de faire évoluer, vous donne au moins une base de référence pour savoir où vous en êtes. Ce qui n'a pas de sens, c'est de penser qu'il y a une corrélation entre le hameçonnage de vos propres employés et la résolution du fait qu'ils vont tomber dans le panneau à un degré qui va vous inquiéter lorsque vous verrez les résultats. Malheureusement, les budgets sont limités, le temps est compté, et nous voyons des équipes de sécurité de l'information qui pensent parfois qu'elles peuvent simplement continuer à hameçonner nos employés, et le faire assez souvent, en leur envoyant du contenu, en leur faisant regarder une vidéo chaque fois qu'ils cliquent sur un lien, et maintenant (inaudible) on n'y touche plus, on a fini, on a résolu le problème. Ça ne marche pas. Les statistiques montrent que, dans les six mois suivant votre dernière simulation de phishing, vos chiffres reviennent à ce qu'ils étaient au départ. Il y a une dérive des employés, qui changent de rôle, et pire encore, vous vous retrouvez avec une équipe de sécurité qui pense avoir pris des mesures efficaces contre le problème du phishing, mais en réalité, elle l'a fait disparaître ou a créé un ressentiment de l'entreprise envers l'équipe de sécurité pour l'avoir ridiculisée. C'est donc une bonne technique pour comprendre par où commencer, mais ce n'est qu'un point de départ, et non un point d'arrêt. Quelque chose à ajouter à ça, Tim ?
Tim Draegen :
Oui. Je pense, à mon avis personnel, que c'est un bon moyen de faire prendre conscience à une organisation qu'il y a un problème. Beaucoup de gens, surtout s'ils ne sont pas dans l'industrie technologique, ne savent peut-être pas que leurs clients de messagerie ne font rien pour les protéger contre la fraude, et la quantité choquante de choses très dangereuses et pointues qui finissent dans les boîtes de réception des gens. La plupart des informaticiens ou des personnes qui ne travaillent pas dans le domaine de la messagerie avec lesquels je discute partent du principe que le fournisseur de la boîte aux lettres, le personnel informatique, ou qui que ce soit d'autre, se charge de sécuriser les choses. Donc, s'ils vont dans leur boîte de réception et commencent à cliquer sur des liens, ils partent du principe qu'une voiture a été lancée dans l'espace, que des gens ont atterri sur la lune, que des satellites sont en orbite autour de la terre ; comment se fait-il qu'il y ait quelque chose que je puisse faire avec mon ordinateur personnel qui puisse réellement nuire à quelqu'un, n'est-ce pas ? Vous ne faites qu'appuyer sur des boutons. Beaucoup de gens n'ont donc pas conscience qu'en fait, l'espace de messagerie est assez dangereux pour les utilisateurs finaux. Je pense qu'en tant que moyen de sensibilisation, c'est vraiment utile. Cela ne résout pas exactement le problème, mais cela peut sensibiliser les gens et justifier une action future. C'est une sorte d'outil d'aide à la décision, si vous voulez.
Lorita Ba :
Super, merci. La question suivante : "Un de nos clients a récemment été hameçonné par quelqu'un se faisant passer pour nous. Comment pouvons-nous empêcher cela ?"
Kevin O'Brien :
Tim, pourquoi ne pas faire la première passe ?
Tim Draegen :
Laissez-moi m'assurer que j'ai bien compris la question. Quelqu'un a envoyé un e-mail à un client en se faisant passer pour vous. Ce que vous devez faire, c'est faire en sorte que vos e-mails soient très facilement identifiables . Il existe des technologies comme DMARC que vous pouvez utiliser. Elles ont été inventées pour rendre les e-mails faciles à identifier. C'est probablement la première mesure que je recommanderais. Cependant, il y a des choses plus robustes que vous pouvez faire pour ne pas avoir à compter sur la personne qui vous envoie le courriel pour faire la bonne chose, et je pense, Kevin, que vous pouvez probablement parler de cela.
Kevin O'Brien :
L'une des choses que nous constatons lorsque ce type d'attaque se produit, c'est qu'une organisation n'a pas mis en œuvre DMARC et tous les éléments qui entrent dans l'authentification des e-mails au sens large, ou qu'elle ne l'a fait que partiellement. Lorsque je regarde, par exemple, une entreprise Fortune 500 avec laquelle nous travaillons, et qu'elle a près d'un millier de domaines affiliés à sa marque, et que les développeurs de ses équipes d'ingénieurs créent de nouveaux services et de nouvelles instances de machines qui peuvent envoyer du courrier en leur nom, elle a fait un excellent travail en montrant son infrastructure fondamentale de messagerie, mais ensuite, elle la surveille de manière continue, et réfléchit aux nouvelles opportunités de menaces qui pourraient émerger dans le cadre du fonctionnement normal de l'entreprise, c'est une tâche décourageante si vous essayez de le faire manuellement. La seconde moitié de l'équation consiste à adopter une approche qui vous permette d'extraire tout le courrier qui passe par votre système et de réfléchir à la protection contre la création d'une vulnérabilité potentielle en matière de sécurité. Si vous faites ces deux choses ensemble - ce que les approches traditionnelles ne font pas, d'ailleurs. Si vous vous contentez de mettre en quarantaine les mauvaises choses, vous pensez aux mauvaises choses qui arrivent à vos utilisateurs, vous n'avez pas de visibilité sur ce dont Tim parle. A quoi ressemblons-nous pour le monde extérieur ? Vous pouvez le mesurer. Il existe des technologies et des processus que vous pouvez mettre en place pour vous aider à résoudre ce problème. Si vous faites cela, vous avez beaucoup moins de chances d'être une entreprise dont l'identité est usurpée auprès de vos clients, ce qui signifie que vous n'avez pas ces courriels qui sortent sur le marché.
Lorita Ba :
Merci. La prochaine question, je pense, s'adresse principalement à Kevin. Il y a un scénario : " Rejet complet avec DMARC déjà en place. G Suite est le backend de la messagerie, mais la plupart des utilisateurs préfèrent Outlook pour visualiser et utiliser la messagerie. Ils n'utilisent pas le client web de Gmail. Alors, l'approche consistant à fournir un contexte supplémentaire aux utilisateurs pour les e-mails suspects fonctionne-t-elle dans cette situation hybride ?"
Kevin O'Brien :
La réponse est que vous pouvez le faire fonctionner. Vous ne pouvez pas le faire avec ce que le fournisseur de la plate-forme - dans ce cas, Google - vous donne. Il s'agit d'un écart considérable, qui n'est pas évident à moins d'avoir été confronté à la situation évoquée par l'auteur de la question. Google, si vous utilisez Google, que ce soit pour votre messagerie personnelle ou pour votre travail, dispose d'un ensemble assez robuste de filtres anti-spam, et ils ont commencé à étendre certaines alertes basées sur l'analyse du contexte de base pour dire, "Hé, ce message parle d'informations financières. Il pourrait être frauduleux. Assurez-vous de connaître l'expéditeur". C'est génial, si vous êtes devant Chrome et connecté à Google. Si votre base d'utilisateurs, comme c'est le cas pour de nombreuses organisations, est sous Outlook, vous ne bénéficiez pas de ce niveau de protection. Il est possible - et c'est quelque chose de spécifique à GreatHorn, mais il y a une variété de façons de le faire - d'intégrer ce contexte dans le message lui-même, et de ne pas avoir à compter sur le fournisseur de la plate-forme pour le faire pour vous. Si vous entreprenez un tel processus, de la même manière que vous avez déjà adopté une politique de rejet complet sur DMARC, et donc pris des mesures préventives contre l'usurpation d'identité de votre marque, vous pouvez également prendre des mesures préventives contre quelqu'un qui ciblerait vos utilisateurs en contournant les protections qui, en théorie, proviennent de votre fournisseur. Vous pouvez le faire sans tenir compte de l'expérience de l'utilisateur final : un iPhone, un iPad, Outlook ou un navigateur qui consulte le courrier Web.
Lorita Ba :
Merci, Kevin. La prochaine question s'adresse à vous deux. Je vais commencer par Tim, et ensuite, Kevin, vous pourrez poursuivre avec d'autres réflexions. "Si une organisation ne dispose pas d'un programme de formation des utilisateurs ou d'une technologie permettant de détecter les attaques de phishing, comment commenceriez-vous ? Quelle serait la première priorité ?"
Tim Draegen :
Oh, c'est une bonne question. Laissez-moi reformuler la question, et Lorita, peut-être m'aider à m'assurer que j'ai bien compris. Il n'y a pas encore de programme de formation en place, alors comment arriver à la première partie de la sensibilisation ? Peut-être pour colorer un peu le contexte, un professionnel de l'info-sécurité dans une entreprise, sans budget, battant le tambour, mais personne n'écoute. Lorita, c'est un bon point de vue ?
Lorita Ba :
Oui. Je pense que si vous partez de zéro, que vous n'avez ni formation ni technologie en place et que vous voulez vous attaquer à la menace du phishing, quelle est la première chose à faire ? Comment commencez-vous le processus ?
Tim Draegen :
Oh, d'accord, OK. Je pense que la visibilité est la première chose. Pour sensibiliser les gens, il faut avoir quelque chose à regarder et à rapporter. Vous pouvez utiliser DMARC pour commencer à collecter des données gratuitement. Cela vous permettra de savoir comment les gens utilisent vos domaines sur l'Internet ouvert. Souvent, les professionnels de la sécurité informatique peuvent s'en servir comme point de départ. Vous pouvez collecter des données. Vous pouvez les traiter. Vous pouvez les présenter à d'autres personnes pour leur montrer qu'il y a un problème, qu'il y a des gens sur l'internet ouvert qui prétendent être votre propre organisation. Normalement, cela suffit à lancer la première conversation, mais il existe d'autres techniques pour collecter ces informations. Vous pouvez également examiner vos propres serveurs de messagerie et essayer de déterminer le nombre de spams bloqués. Vous pouvez vous en servir comme d'une mesure simple pour dire aux managers et aux collègues qu'il existe un réel problème sur l'internet ouvert. Ce sont des choses très simples que vous pouvez faire, avec très peu d'aide. Les professionnels de la sécurité de l'information pourraient commencer à se faire connaître en faisant cela.
Kevin O'Brien :
Je pense que l'autre chose que vous pouvez commencer à examiner est la suivante : lorsque vous avez une base d'utilisateurs et que vous recevez des messages dangereux ou des hameçonnages potentiels, et que vous n'avez pas de programme de formation en place, comment pouvez-vous les sensibiliser ? Eh bien, nous avons beaucoup parlé du contexte, n'est-ce pas ? Une équipe de sécurité de l'information n'a pas besoin d'un budget pour rédiger une bonne politique, et pour dire que nous allons avoir un ensemble de processus sur la façon dont nous traitons les virements bancaires, sur la façon dont nous allons traiter les demandes d'informations sensibles, et sur la façon dont nous voulons que les utilisateurs réagissent aux expéditeurs potentiellement dangereux, en particulier ceux qui peuvent se faire passer pour des dirigeants de l'entreprise, comme c'est souvent le cas avec une attaque de spear phishing, ou pour des services commerciaux que l'entreprise utilise. Il est possible de mettre en place ce type de politique, puis de présenter le contexte à l'utilisateur.
C'est très différent de ce que vous verrez avec une approche traditionnelle de la sécurité du courrier électronique, où vous devez acheter une technologie, changer votre routage de courrier pour faire passer tout votre courrier par eux, commencer à apprendre aux utilisateurs comment interagir avec la quarantaine. C'est une lourde tâche. Il faut leur dire : "Hé, vous venez de recevoir un message de quelqu'un dont vous n'avez jamais reçu de courrier auparavant. Il pose des questions sur le contenu d'un fil de fer et utilise le nom d'affichage d'une personne de l'entreprise, ce qui peut constituer une menace, car il peut s'agir d'une attaque par usurpation d'identité. Et d'ailleurs, voici la politique que nous avons mise en place lorsque cela se produit." Ce genre de choses est un excellent point de départ et, d'une certaine manière, plus efficace que d'essayer de commencer par avoir une conversation générale sur le hameçonnage avec une base d'utilisateurs qui ne comprend peut-être pas encore ce que cela signifie, parce qu'on ne leur a pas dit : "Cet e-mail que vous venez de recevoir, c'est de cela qu'il s'agit lorsque nous parlons de faire attention à la sécurité des e-mails".
Lorita Ba :
Super, merci. Nous arrivons à la fin de l'heure, donc je vais juste poser une autre question. Si vous avez d'autres questions, n'hésitez pas à continuer à les soumettre. Nous répondrons à toutes les questions auxquelles nous n'avons pas eu le temps de répondre personnellement par e-mail. Celle-ci est vraiment, je pense, plus pour vous, Tim. C'est, "Comment DMARC est différent de quelque chose comme DKIM ?"
Tim Draegen :
DMARC est une superposition de DKIM. DKIM est une technologie qui permet à quelqu'un d'attacher un domaine à un courriel, et cette pièce jointe voyage avec le message sous la forme d'une signature DKIM. DMARC est très différent. Il s'agit plutôt d'un cadre dans lequel DKIM peut s'insérer afin que DKIM lui-même devienne plus utile. DMARC est une superposition. Il vous donne un retour d'information si vous êtes le propriétaire du domaine, afin que vous puissiez voir comment votre domaine est utilisé sur Internet. Lorsque vous faites savoir au monde entier que vous vous efforcez de rendre votre courrier électronique facile à identifier, vous utilisez DKIM et une autre technologie appelée SPF pour établir le lien réel entre un courrier électronique et un domaine. DMARC lui-même, encore une fois, est une superposition qui vous donne un retour d'information, et fournit également le mécanisme de politique. La partie mécanisme de politique de DMARC vous permet de dire au monde entier : "Hé, nous avons fait tout le travail. Tous nos courriels légitimes peuvent être identifiés à l'aide de SPF ou DKIM". Une fois que vous avez fait cela, vous pouvez alors actionner un interrupteur pour dire au monde : "Hé, nous avons fait tout le travail. Si vous recevez quelque chose qui prétend venir de nous mais qui n'est pas conforme à DMARC, n'hésitez pas à le laisser tomber". Ce sont donc des technologies différentes, mais elles s'appuient l'une sur l'autre.
Lorita Ba :
Super, merci, Tim. Comme je l'ai mentionné, nous avons un peu dépassé les 45 minutes que j'avais promises au début de l'heure, mais j'espère que les questions supplémentaires auxquelles nous avons pu répondre ont été utiles pour tout le monde. Je tiens à vous remercier encore une fois d'avoir pris le temps d'écouter Tim et Kevin qui vous ont fait découvrir l'évolution du phishing, et je vous encourage vraiment à garder un œil sur les deux prochains webinaires. Comme je l'ai dit, le prochain, "A How-To Guide for Modernizing Your Phishing Defenses", sera de nature plus tactique, un peu plus prescriptif, et le troisième, nous parlerons des deux entreprises. Entre-temps, surveillez également notre courriel de suivi qui contiendra un lien vers les diapositives et l'enregistrement du webinaire, et n'hésitez pas à contacter l'une ou l'autre des entreprises si vous avez des questions supplémentaires. Nous nous ferons un plaisir d'y répondre. Merci encore pour votre temps, et à Tim et Kevin pour votre temps également, ainsi que pour le contenu, et j'espère que tout le monde passe une excellente journée. Merci beaucoup. Bye-bye.
