Les institutions financières sont de plus en plus exposées à des cyberattaques de grande envergure provenant de l'extérieur de leurs propres environnements, où une seule faille peut avoir des répercussions en cascade sur des centaines d'organisations. Lors d'un récent incident lié à un rançongiciel, des pirates ont accédé à des fichiers sensibles liés à plus de 70 banques et coopératives de crédit et les ont exfiltrés, touchant jusqu'à 1,3 million de personnes. Cet incident met en évidence la manière dont une détection tardive et une visibilité limitée peuvent rapidement amplifier les risques dans l'ensemble du secteur financier.
Pourquoi les SOC traditionnels Sandbox n'ont pas pu suivre le rythme
Au sein de cette institution financière, le sandboxing SOC traditionnel s'est révélé inefficace, car la détection intervenait trop tard. Endpoint ne déclenchaient une analyse qu'après l'exécution, ce qui augmentait les risques, les coûts d'intervention et l'exposition aux risques réglementaires. Pour le RSSI, cela signifiait que des menaces inconnues atteignaient les utilisateurs avant même d'avoir été confirmées, créant ainsi un décalage persistant entre la détection et la prévention.
Pour le SOC, le défi résidait dans l'échelle. Près de 1 000 e-mails suspects par jour étaient traités via un bac à sable basé sur une machine virtuelle grâce à l'automatisation SOAR. Chaque analyse nécessitait beaucoup de temps et de ressources informatiques, ce qui entraînait des files d'attente persistantes qui ralentissaient les enquêtes et allongeaient les délais de réponse.
Lorsque des incidents hautement prioritaires se produisaient, les analystes étaient contraints de suspendre ou d'annuler les tâches automatisées afin de libérer de la capacité dans les environnements de test. L'automatisation devenait alors un frein plutôt qu'un catalyseur, laissant le SOC dans une position réactive, débordé et incapable de bloquer les menaces avant qu'elles n'atteignent les terminaux.
Comment OPSWAT MetaDefender a fait évoluer la détection des vulnérabilités « zero-day »
L'entreprise a relevé les défis liés à son centre d'opérations de sécurité (SOC) et à la gestion des risques en remplaçant sa sandbox basée sur des machines virtuelles par MetaDefender OPSWAT, une solution unifiée de détection des menaces « zero-day » reposant sur l'émulation au niveau des instructions. Ce changement d'architecture a permis à l'équipe de sécurité de délocaliser l'analyse dynamique hors du SOC vers le périmètre, où les menaces pouvaient être bloquées avant d'atteindre les utilisateurs ou les terminaux.
Contrairement à l'exécution traditionnelle dans une machine virtuelle, MetaDefender exécute les fichiers au niveau des instructions, ce qui élimine les délais liés au démarrage de la machine virtuelle et réduit la vulnérabilité aux techniques de contournement anti-VM. Cela a permis à l'institution d'analyser les fichiers suspects en quelques secondes plutôt qu'en quelques minutes, même en cas de volume important de courriels.
La mise en œuvre s'est concentrée sur trois objectifs principaux :
1. Sandboxing axé sur le périmètre
MetaDefender a été déployé au niveau des passerelles de sécurité de messagerie et des points d'entrée des fichiers, garantissant ainsi que les fichiers suspects soient analysés de manière dynamique avant leur transmission, et non après leur exécution sur les terminaux.
2. Rétablir l'automatisation et l'évolutivité du SOC
En intégrant l'analyse dynamique directement dans les flux de travail SOAR existants, les retards accumulés dans les files d'attente liées aux environnements de test ont été éliminés, ce qui a permis à l'automatisation de fonctionner en continu sans intervention des analystes.
3. Renseignements unifiés sur les vulnérabilités « zero-day »
Chaque analyse a alimenté le pipeline de renseignements sur les menaces intégré MetaDefender , combinant les résultats d'émulation, la réputation des menaces, la notation et la recherche de similitudes basée sur l'apprentissage automatique afin de fournir un verdict unique et fiable pour chaque fichier.
Cette mise en œuvre a permis de faire évoluer le sandboxing d'un outil réactif de gestion des incidents vers une défense périmétrique proactive, en alignant la rapidité de détection, l'échelle d'intervention et la réduction des risques sur les exigences opérationnelles et réglementaires de l'organisation.
Impact mesurable sur les performances du SOC et la réduction des risques
En remplaçant le sandboxing basé sur des machines virtuelles par MetaDefender et en déplaçant la détection des vulnérabilités « zero-day » vers la périphérie du réseau, l'entreprise a obtenu des améliorations opérationnelles immédiates et durables. La détection s'est accélérée, l'automatisation s'est stabilisée et les menaces ont été neutralisées plus tôt dans le cycle de vie de l'attaque.
Résultats mesurables obtenus grâce àMetaDefender
| Zone d'impact | Résultat mesurable |
|---|---|
| Performances de l'automatisation du SOC | Élimination des goulots d'étranglement dans la file d'attente SOAR causés par la lenteur de l'exécution des tests dans les environnements sandbox basés sur des machines virtuelles, permettant ainsi à l'automatisation de fonctionner en continu et à grande échelle |
| Rapidité de l'enquête | Réduction du temps d'analyse des fichiers de quelques minutes à quelques secondes grâce à l'analyse dynamique par émulation |
| Endpoint | A permis de prévenir les menaces « zero-day » au niveau des points d'entrée des e-mails et des fichiers, réduisant ainsi considérablement les infections des terminaux et les coûts liés à leur résolution |
| Charge de travail liée à la gestion des incidents | Réduction du nombre d'incidents nécessitant une intervention grâce à la neutralisation des menaces avant leur exécution |
| Efficacité des analystes | Réduction du temps consacré à la gestion de la capacité des environnements de test et des contraintes d'automatisation, ce qui permet aux analystes de se concentrer sur des analyses de sécurité et des interventions face aux menaces à plus forte valeur ajoutée |
| Préparation aux vulnérabilités « zero-day » et conformité | Renforcement du contrôle proactif face aux menaces inconnues, en réponse aux exigences en matière d'audit et de réglementation |
Élaboration d'un modèle durable de détection des vulnérabilités « zero-day »
Un modèle durable de détection des menaces de type « zero-day » bloque les menaces, s'adapte au volume de fichiers et allège la charge opérationnelle du SOC. En déployant OPSWAT MetaDefender au niveau du périmètre, l'entreprise a mis en place une prévention proactive, rétabli l'automatisation et mis en place une approche conforme aux exigences d'audit pour la gestion des menaces inconnues dans les environnements réglementés.
Pour les institutions financières, cette approche offre bien plus qu'une simple détection plus rapide. Elle fournit un modèle évolutif et prêt pour l'audit permettant de gérer les risques liés aux vulnérabilités « zero-day », d'alléger la charge de travail des équipes du centre d'opérations de sécurité (SOC) et de renforcer la confiance dans les contrôles de sécurité tout au long des flux de fichiers critiques.MetaDefender démontre comment le sandboxing moderne au niveau des instructions et l'intelligence unifiée en matière de menaces peuvent transformer la détection des vulnérabilités « zero-day » en un avantage commercial mesurable.
Prêt à sécuriser vos flux de fichiers critiques et à contrer plus rapidement les menaces « zero-day » ?
