Une approche innovante à la sécurité : la collaboration

La cybersecurité est un problème complexe qui est loin d’être résolu. 2021 fut l’année la plus intense en terme de cyberattaques. Selon Orange Cyberdéfense, Le nombre moyen de cyberattaques par entreprise - faisant appel à Orange Cyberdéfense -  s’est élevé à 42 par mois sur les dix premiers mois de 2021, contre 37 en moyenne sur la même période en 2020.

On peut prédire avec confiance que cette tendance sera fortement à la hausse dans les années à venir. Toutes les entreprises, quelque soient leurs tailles ou secteurs sont touchées. Les hôpitaux n’en sont qu’un exemple inquiétant.

Plusieurs éléments expliquent cette hausse.

La cybersécurité a une dynamique hautement asymétrique où l’attaquant est toujours avantagé, pour plusieurs raisons.

(1) Les architectures IT sont de plus en plus complexes. Combinant Cloud, VPNs, serveurs sur site, librairies open source externes, proxies, VPS etc. les surfaces d’attaques sont plus larges, offrant plus de possibilité de failles et d’entrées.

(2) L’attaquan choisit son moment. Il n’attend pas que les logiciels soient patchés, que les vulnérabilités soient corrigées. Il est maître du temps, prend l’initiative et impose le tempo.

(3) Le cybercriminel n’a pas besoin de beaucoup d’argent. Là où les entreprises investissent des millions dans les solutions de défense, le criminel souvent n’a besoin que de quelques miliers de dollars de logiciels achetés sur le darknet par exemples.

Que peut-on faire pour se protéger plus efficacement? Aujourd’hui les entreprises ont essayé plusieurs approches comme mettre en place des solutions de défense de plus en plus sophistiquées: EDR ou xDR (des antivirus plus modernes) ou rajouter des couches d’intelligence (AI, ML) de plus en plus avancées. Le résultat n’est pas probant.

CrowdSec propose une approche différente. Partant du principe que la technique du chateau fort - où les entreprises essayent de construire une barrière de protection autour de leurs assets - ne fonctionne plus, CrowdSec propose une approche collaborative de la cybersecurité. Une bonne analogie serait Waze, qui utilise les données remontées par des voitures individuelles pour proposer une carte complète de ce qui se passe sur la route. Plus les utilisateurs sont nombreux, plus la carte sera précise et en temps réel.

De la même manière, CrowdSec permet à ses utilisateurs de partager en temps réels des données sur des tenatives d’attaques subies. Un attaquant utilisera toujours des adresses IPs volés, piratés ou achetés pour perpétuer ces attaques. L’agent de CrowdSec est capable d’analyser en temps réels les logs des services (serveurs, applications etc.) pour détecter des comportement malveillants.  Ces comportements peuvent inclure des attaques par dictionnaire, du scan de port, du scrapping, une injection de ransomware etc. Une fois identifiées, ces adresses sont bloquées et surtout partagées avec le reste de la communauté des utilisateurs, afin que ces adresses soient bloquées partout. Une étape d’arbitrage est effectuée pour éviter les faux positifs et les tentatives d’empoisonnement.

Les adresses IPs sont les munitions des cybercriminels. En les brûlant, nous mettons les attaquants en difficulté et nous leur rendons la tâche bien plus difficile, ce qui est souvent suffisant pour les dissuader. Plus la communauté des utilisateurs est nombreuse, meilleure sera la cartographie des IPs malveillants et plus efficace en sera la solution.

CrowdSec est une solution française open-source et gratuite. Avec plus de 50.000 utilisateurs dans le monde et des millions d’adresses IPs bloqués, c’est la solution d’intelligence cyber la plus exhaustive.

Partager ce document sur les réseaux

?>