Supposez une brèche grâce à Zero Trust Endpoint Security
« Nous avions mis en place des mesures de sécurité, alors comment s'est passé ransomware passer à travers ? » — une question poignante qui a souvent été à l'origine de nombreuses réunions de crise au sein des conseils d'administration à la suite d'une faille informatique majeure. À un moment aussi crucial pour de nombreuses entreprises, les enjeux sont considérables : réputation de la marque, amendes de conformité, perte de confiance des investisseurs, fluctuation du cours des actions et même considérations relatives au paiement d'une rançon.
Et en réalité, cette question est loin d'être hors de propos. Les solutions de sécurité des terminaux et des périmètres sont omniprésentes sur les réseaux d'entreprise. Cela soulève la question suivante : comment les rançongiciels peuvent-ils encore passer et, surtout, pourquoi sont-ils toujours capables de se propager rapidement et de faire des ravages à un rythme aussi alarmant ?
Dans cet article, nous examinerons ces questions. Nous allons également repenser les approches traditionnelles qui ont dominé sécurité des terminaux histoire jusqu'à présent.
L'histoire : même scénario, acteurs différents
Dans de nombreux cas, l'approche adoptée par les acteurs de la menace donne lieu à une intrigue familière dont la fin est étrangement prévisible, et elle se déroule généralement comme suit :
- Ciblez des solutions à portée de main, telles que le terminal d'un utilisateur final (informations d'identification) ou un serveur frontal Web
- Utilisez une combinaison de sondages directs et indirects et d'ingénierie sociale pour un compromis initial
- Découvrez à quoi d'autre il est possible d'accéder et quittez la machine compromise
- Augmentez les privilèges pour pouvoir passer à d'autres machines
- Continuez à vous propager aux systèmes à forte valeur ajoutée, puis atteignez des objectifs malveillants
- Rincez et répétez
Dans cette histoire, tout le monde est une cible.
Prenons l'exemple d'un développeur contractuel qui travaille à distance pour fournir un logiciel d'entreprise essentiel à un client. Ils travaillent généralement dans des délais très serrés et sont donc parfois contraints de réduire les coûts pour terminer les projets avant leurs dates limites. Ce type d'utilisateur de terminal est le candidat idéal pour une attaque de la chaîne d'approvisionnement, car s'il est compromis, son terminal peut être utilisé pour infiltrer le pipeline de contrôle du code source (CI/CD). Les responsables des ventes et du marketing qui sont le plus souvent sur la route pour participer à des réunions et à des événements constituent un autre exemple d'utilisateurs ciblés. Ils sont également exposés au risque d'attaques d'ingénierie sociale et de phishing, car ils sont plus susceptibles d'accéder à des réseaux publics non protégés.
Ces utilisateurs et leurs terminaux, une fois compromis, permettent à l'acteur de la menace de disposer d'un point pivot pour poursuivre son attaque. Ils essaieront ensuite d'accéder à des comptes à privilèges plus élevés et de passer à d'autres machines avant d'accéder à des systèmes importants tels que les systèmes de base de données, les systèmes de gestion de documents ou les systèmes de gestion des relations clients. Il s'agit souvent d'actifs de grande valeur qui contiennent des informations commerciales et personnelles précieuses pour l'organisation.
Le statu quo : la fatigue liée à la cyberdéfense
Les acteurs de la menace ne manquent pas de techniques, qu'il s'agisse de malwares sans fichiers utilisant une injection de code sophistiquée ou de charges utiles de rançongiciels très évasives, ou de vulnérabilités séculaires toujours efficaces car les entreprises s'appuient sur des systèmes existants hébergeant du code métier très ancien mais important, qui n'est peut-être pas très facile à remplacer. Il semble parfois que les attaquants aient l'avantage.
Et c'est possible parce que les défenseurs sont confrontés à une multitude d'acteurs malveillants dotés d'un arsenal croissant de capacités malveillantes. Comme le dit le proverbe, les défenseurs doivent toujours bien faire les choses alors que les attaquants ne doivent le faire qu'une seule fois. De ce fait, les défenseurs sont confrontés à la plupart des pressions la plupart du temps.
Sans vouloir trop insister, voici un exemple de la charge utile Brute Ratel et de la carte MITRE TTP associée pour montrer à quoi les défenseurs sont confrontés avec une seule charge utile. Et il existe de nombreuses variantes de logiciels malveillants dotés de cette capacité.
Sur l'image, le petit point à l'extrême gauche représente la charge utile Brute Ratel. À droite se trouvent les nombreuses tactiques et techniques que cette seule charge utile peut utiliser pour infecter un système, échapper à la détection et poursuivre ses objectifs malveillants.
Cela explique en partie pourquoi les violations et les cas de rançongiciels continuent d'augmenter malgré l'évolution impressionnante des outils de sécurité des terminaux : antivirus (AV), antivirus de nouvelle génération (NGAV), plateformes de protection des terminaux (EPP), détection et réponse des terminaux (EDR), etc. Ces outils combinés à une liste encore plus longue de fonctionnalités de protection (analyse des signatures, contrôle des applications/processus, heuristique, analyse comportementale, prévention des exploits, sandboxing, etc.) qui sont censés résoudre le véritable problème qui semble aujourd'hui avoir été exacerbé. La prolifération des rançongiciels au cours des dernières années a prouvé la gravité du problème.
Alors pourquoi les malwares sont-ils toujours capables de passer ?
Il peut y avoir plusieurs raisons à cela. Dans certains cas, les systèmes de sécurité existants, qui étaient traditionnellement axés sur la détection, n'ont absolument pas tenu compte de la menace. Cela peut être dû à une vulnérabilité zero-day ou à des techniques hautement évasives. Il se peut également qu'un module de sécurité nécessaire n'ait pas été configuré correctement ou que le module approprié n'ait même pas été mis en œuvre du tout en raison de contraintes budgétaires ou de faux positifs bloquant les cas d'utilisation professionnels quotidiens.
Face à une liste presque infinie de capacités d'attaque, telles que la menace de vulnérabilités liées aux utilisateurs finaux et aux fournisseurs, et la complexité croissante des réseaux modernes (environnements hybrides), quelque chose ne peut que mal tourner. Et c'est pourquoi c'est généralement le cas.
Cyberrésilience : sécurité Zero Trust des terminaux
Et ensuite ? Entrez dans le paradigme de la sécurité coopérative ! Il s'agit d'une sécurité des terminaux de détection traditionnelle associée à la nouvelle approche Zero Trust en matière de sécurité des terminaux.
Il s'agit d'un nouveau paradigme de sécurité basé sur une sécurité proactive et Principes Zero Trust en collaboration avec les outils de sécurité existants sans qu'il soit nécessaire de modifier le réseau et les systèmes. Cette fonctionnalité utilise des données de terminaux multiplateformes qui sont analysées de manière centralisée par un cerveau central intelligent et évolutif.
Tout commence par un déploiement sans interruption qui s'effectue en quelques minutes. Il donne ensuite un aperçu des communications est-ouest en plus des communications nord-sud généralement surveillées. Cela est nécessaire car les organisations doivent être en mesure de voir et de suivre les communications sur différents systèmes d'exploitation, plateformes et sites simultanément. Et tout cela est possible sans aucune modification supplémentaire des systèmes et du réseau. Voici un exemple des différents points de terminaison et charges de travail de serveur, y compris les actifs du cloud public regroupés de manière logique (sans modification du réseau) selon leur nom d'emplacement désigné.
Comme les terminaux n'existent pas dans le vide, ils communiquent avec de nombreux systèmes différents. Ils peuvent même essayer de communiquer avec d'autres terminaux, bien que dans certains cas, cette communication ne soit pas réellement requise ou souhaitable en raison du risque élevé de mouvement latéral. Cela fait de la visibilité de la communication entre les terminaux une fonctionnalité très importante.
Les terminaux communiquent également avec les serveurs et les charges de travail. Certains d'entre eux peuvent être sous le contrôle de l'organisation dans ses centres de données, tandis que d'autres peuvent être des services SaaS cloud tiers. Il est nécessaire de disposer d'une visibilité sur ces communications pour comprendre tous les risques liés à ces terminaux et aux serveurs auxquels ils se connectent.
Comme expliqué ci-dessus, la visibilité est un préalable nécessaire à une application permanente, qui permet de contenir un échec de détection dû à la sécurité traditionnelle des terminaux et à l'EDR. Les fonctionnalités d'application incluent des politiques basées sur l'identité et le domaine pour éliminer les communications de rappel des logiciels malveillants, des règles basées sur les processus pour nanosegmentation, et le contrôle des communications grâce à des politiques basées sur les pare-feu et les menaces de vulnérabilité. Cette approche signifie également que s'il existe Politiques Zero Trust ou les limites d'une liste d'exclusion, la politique de sécurité est définie et provisionnée sur la base des informations sur le trafic. Ces renseignements devraient porter sur les systèmes dont nous disposons, sur ce qu'ils font, et sur cette base, sur la manière de les protéger de manière adéquate. La connaissance de la localisation améliore également la flexibilité des politiques sur le réseau de l'entreprise et en dehors de celui-ci. Tout cela devrait être appliqué de manière uniforme sur les différentes plateformes : Windows, Linux, Mac, Unix, Cloud et Containers.
Atteindre ces objectifs du point de vue du défenseur nécessite des équipes et des outils pour collaborer efficacement. Une organisation qui part du principe d'une violation est susceptible de se concentrer sur la cyberrésilience plutôt que sur la seule détection. Ils accordent autant d'importance aux stratégies de confinement qu'à la détection.
Illumio Endpoint complète les outils de détection existants
Dans le cadre du Plateforme de segmentation Illumio Zero Trust, Point de terminaison Illumio a été conçu pour compléter les outils de détection et de sécurité existants tout en comblant les principales lacunes en matière de visibilité et de capacités de prévention des mouvements latéraux.
Ce type d'approche de confinement a récemment été testé par Évêque Fox. Grâce à de multiples émulations d'attaques, ils ont découvert que les violations étaient détectées jusqu'à 4 fois plus rapidement avec Illumio Segmentation Zero Trust car les attaquants ont dû contourner ces méthodes de confinement, créant ainsi plus de bruit que les outils de détection pouvaient détecter.
Dans l'ensemble, la segmentation des terminaux entraîne un résultat positif posture de sécurité qui, en association avec les investissements de sécurité existants, constitue une excellente histoire pour les terminaux !
Vous souhaitez en savoir plus sur Illumio Endpoint ? Contactez-nous dès aujourd'hui pour une consultation et une démonstration gratuites.