WASHINGTON – Le Pentagone devrait recentrer les efforts de cybersécurité sur les défenseurs humains au lieu de s'appuyer principalement sur les nouvelles technologies pour protéger les réseaux, a affirmé le testeur d'armes du département dans son rapport annuel.
Des outils automatisés sont parfois nécessaires pour contrecarrer les cybermenaces qui attaquent les réseaux à la vitesse dite de la machine. Mais la nature dynamique de ces menaces nécessite une approche combinée associant humains et machines.
"[C]yber évaluations et tests opérationnels continuent de montrer que là où les systèmes ou les réseaux sont activement défendus par du personnel bien formé dans des environnements utilisant des concepts Zero Trust, les équipes rouges imitant les cyber-acteurs ont du mal à dégrader les missions critiques [Department of Defense] ", lire le rapport annuel de l'exercice 2021 du Bureau du directeur, Test opérationnel et évaluation
La confiance zéro fait référence à un état d'esprit qui suppose que les réseaux sont déjà compromis et valide en permanence les utilisateurs, les appareils et les données. Il ne s'agit pas d'une entité unique, mais plutôt d'une architecture déployant une série d'outils sur le réseau.
En examinant les exercices de commandement et de service des combattants de l'exercice 14 à l'exercice 20, le DOT&E a noté l'importance de défendre chaque étape d'une cyberattaque, en particulier lorsqu'un adversaire se déplace au sein d'un réseau pour trouver un objectif, ce qui peut poser des problèmes de détection pour les cyberdéfenseurs humains.
Les technologies émergentes telles que l'environnement cloud d'Office365 et les architectures de confiance zéro promettent d'augmenter la visibilité des défenseurs sur ces attaques, indique le rapport.
Les outils réseau sont efficaces pour avertir les opérateurs humains que quelque chose de malveillant pourrait se préparer. Ces opérateurs humains sont alors les mieux placés pour utiliser leurs capacités de raisonnement pour chasser ou rechercher activement sur le réseau des acteurs potentiels de la menace.
"Certaines des plus grandes innovations en matière de cybersécurité de ces dernières années impliquent l'utilisation de technologies avancées telles que l'intelligence artificielle / l'apprentissage automatique pour améliorer radicalement la rapidité et l'efficacité de la détection et de la prévention des menaces", a déclaré Robert Sheldon, directeur des politiques publiques et de la stratégie de la société de cybersécurité. FouleStrike. «Mais même pour les organisations qui utilisent les outils les plus sophistiqués, les personnes constituent toujours une couche de défense essentielle. Qu'il s'agisse d'effectuer de nouvelles recherches, d'interpréter le contexte autour de signaux faibles ou ambigus, ou de mener une chasse aux menaces basée sur des hypothèses, les défenseurs humains sont essentiels. »
John Davis, qui a été conseiller militaire principal pour le cyber au DoD, a salué le recentrage sur les personnes, mais a déclaré qu'il était "tout aussi important de reconnaître l'impact que les innovations modernes dans la technologie et les processus ont sur les compétences que le cyber moderne d'aujourd'hui les défenseurs doivent réussir.
"Les outils d'automatisation peuvent soulager les analystes [des centres d'opérations de sécurité] d'heures de tâches fastidieuses et banales, leur donnant le temps de développer et de documenter les processus pour le travail complexe qu'ils effectuent et leur permettant de répondre aux menaces nouvelles ou complexes qui traversent les surfaces d'attaque, », a déclaré Davis, qui est actuellement vice-président du secteur public pour le spécialiste de la cybersécurité Palo Alto Networks. "L'automatisation des processus pour tenir compte des innovations dans les meilleures pratiques et le partage de renseignements sur les menaces peut aider à garantir que les analystes juniors disposent des informations correctes pour prendre la meilleure décision le plus rapidement possible et signaler les problèmes aux analystes plus expérimentés."
Le DOT&E a recommandé au département de recentrer les efforts de cybersécurité sur les personnes plutôt que sur la seule technologie. Cela comprend la doctrine, l'organisation et la formation pour s'assurer que le personnel peut utiliser la technologie pour contrecarrer les tentatives d'intrusion.
"La cybersécurité doit être intégrée à la conception du système et le défenseur humain doit être inclus dès le début dans l'ingénierie de la cyberdéfense et les priorités programmatiques pour l'utilisabilité du système et la formation", indique le rapport. "Les cyber-défenseurs peuvent et doivent inclure des équipes de défense de mission dédiées, des utilisateurs du système, des équipes d'intervention, des commandants et des opérateurs de réseau, qui doivent tous être formés et équipés pour lutter contre les cyberattaques afin d'accomplir des missions critiques."
Au cours des dernières années, l'armée de l'air a transformé ses escadrons de communications en groupes de cyber-défenseurs appelés équipes de défense de mission, déchargeant les technologies de l'information quotidiennes banales et les responsabilités liées au réseau au secteur commercial. Ces équipes, qui diffèrent des équipes de cyberprotection que chaque service armé fournit au Cyber Command américain, sont des groupes spécialisés qui protègent les missions et installations critiques de l'armée de l'air telles que les infrastructures critiques ou les ordinateurs associés aux aéronefs et aux systèmes télépilotés.
L'armée, pour sa part, travaille à améliorer la capacité de ses défenseurs du réseau local, ce qui renforcera sa posture de cybersécurité. L'effort découle de son plan de réseau unifié, qui aligne divers efforts de modernisation pour fournir un réseau dont le service a besoin pour partager les données de l'entreprise vers la sphère tactique à l'appui des opérations multidomaines.
Plus précisément, l'armée souhaite établir des rôles et des responsabilités à chaque échelon pour les opérateurs de cybersécurité qui possèdent en fait leur propre terrain de réseau.
Actuellement, l'armée et la force conjointe ne sont pas optimisées de manière holistique pour mener des opérations de cybersécurité, ont déclaré des responsables, en grande partie parce qu'il existe différents niveaux de responsabilités, de normes et de tâches pour les fournisseurs de services de cybersécurité, les opérateurs de réseau au niveau local ou d'installation et les défenseurs.
Cela a créé la nécessité de déployer des équipes de cyberprotection très haut de gamme et limitées.
Le nouveau plan vise à ramener les équipes de cyberprotection à ce qu'elles font le mieux : chasser sur les réseaux et se concentrer sur les menaces.
À proposMark PomerleauMark Pomerleau est journaliste pour C4ISRNET, couvrant la guerre de l'information et le cyberespace.