.png)
Comment Illumio arrête le mouvement latéral des ransomwares dans les environnements hybrides multi-clouds
En mars 2019, un mardi matin a commencé comme tous les autres pour Norsk Hydro, l'un des plus grands fabricants d'aluminium au monde, jusqu'à ce qu'un ransomware immobilise ses systèmes.
Du jour au lendemain, les attaquants ont crypté des milliers de serveurs et de PC sur le réseau mondial de l'entreprise. Cette situation a contraint les usines de plusieurs pays à arrêter leurs systèmes numériques et à passer à des opérations manuelles pendant que les équipes informatiques se battaient pour limiter les dégâts et reconstruire.
Ce fut un rappel brutal qu'une fois que le ransomware a franchi le périmètre, il peut rapidement perturber les opérations à l'échelle mondiale.
Malheureusement, cette histoire est en train de devenir la règle et non l'exception.
Dans les environnements hybrides multi-cloud complexes d'aujourd'hui, les ransomwares s'infiltrent et se propagent rapidement. C'est pourquoi le mouvement latéral est aujourd'hui la phase la plus dangereuse d'une cyberattaque.
C'est pourquoi les organisations ont besoin de plus que de la prévention. Ils ont besoin de contenir les brèches, de connaître le chemin de l'attaque et d'arrêter les ransomwares en temps réel.
Dans ce billet, vous verrez comment Illumio met en lumière les chemins d'attaque cachés et contient les brèches, stoppant la propagation latérale du ransomware avant qu'il ne puisse paralyser votre multi-cloud hybride.
Le problème central des ransomwares : le mouvement latéral
Les ransomwares modernes réussissent à exploiter les mouvements latéraux dans l'informatique hybride.
Les attaquants ne se contentent pas d'ouvrir une brèche dans une machine et d'y rester. Ils pivotent entre les charges de travail dans le nuage, les machines virtuelles et les points d'extrémité, recherchant des cibles de grande valeur et amplifiant les dommages.
Ce mouvement se produit en interne - d'est en ouest à travers le réseau - et il est souvent invisible pour les outils de sécurité traditionnels axés sur les défenses périmétriques.
C'est ce qui rend les ransomwares si dangereux dans les environnements hybrides. Une fois que l'attaquant est à l'intérieur, il peut agir presque sans être détecté.
L'infrastructure hybride complique encore la situation. Les applications couvrent désormais les centres de données sur site, les nuages publics, les grappes de conteneurs et les intégrations SaaS.
Les charges de travail changent constamment. Les flux de trafic sont dynamiques et éphémères. Les outils traditionnels de prévention et de détection n'ont tout simplement pas été conçus pour ce niveau de complexité.
Pour empêcher la propagation des ransomwares, les entreprises doivent repenser leur approche de la détection et de la réponse. La visibilité fine est le fondement de la prévention des ransomwares dans l'informatique hybride.
Pourquoi la détection seule ne suffit pas à stopper les attaques de ransomware
Trop souvent, les équipes de sécurité s'appuient sur des outils de détection qui envoient des alertes alors que les dégâts ont déjà commencé.
Lorsqu'un système traditionnel détecte une anomalie, le ransomware peut déjà avoir crypté les systèmes, supprimé les sauvegardes ou pris le contrôle des informations d'identification de l'administrateur.
L'indicateur clé est la vitesse. Le temps moyen de détection (MTTD) et le temps moyen de réponse (MTTR) sont essentiels pour contenir les ransomwares. Mais de nombreuses équipes SOC doivent encore prendre des heures, voire des jours, pour comprendre comment un attaquant s'est déplacé dans l'environnement.
C'est ce décalage qui transforme un incident isolé en une crise à l'échelle de l'entreprise.
Ce dont les organisations ont besoin, c'est d'une plateforme qui leur permette.. :
- Voir tous les chemins d'attaque possibles avant qu'ils ne soient exploités.
- Détectez les mouvements malveillants dans les charges de travail des centres de données et du cloud en temps réel.
- Agissez immédiatement pour isoler les systèmes compromis et empêcher toute propagation.
Illumio arrête les ransomwares avant qu'ils ne se propagent
L'arrêt des ransomwares dans les environnements hybrides multi-cloud d'aujourd'hui ne se fera pas avec plus d'alertes. Vous devez être en mesure de voir où vont les attaquants en temps réel et de les empêcher de se propager.
C'est exactement ce qu'offre Illumio. La plateforme Illumio combine Illumio Insights pour la détection et la réponse en nuage (CDR) avec Illumio Segmentation pour le confinement des brèches en temps réel et la protection contre les mouvements latéraux.
Ensemble, ces solutions offrent aux équipes de sécurité la visibilité, le contrôle et l'agilité nécessaires pour détecter rapidement le comportement des ransomwares, isoler instantanément les charges de travail à risque et appliquer des politiques de segmentation qui stoppent la propagation.
Alors que les outils traditionnels s'appuient sur des règles statiques ou des journaux après coup, Illumio est conçu pour contenir les brèches dans des environnements hybrides dynamiques. Il observe la façon dont les charges de travail et les applications communiquent réellement, offrant une visibilité en direct sur le trafic est-ouest dans vos nuages, centres de données, points d'extrémité et conteneurs.
Illumio Insights
Illumio Insights apporte un nouveau niveau de visibilité à la défense contre les ransomwares.
Au lieu de rechercher les menaces connues, il modélise la manière dont les ransomwares peuvent se déplacer - d'une charge de travail à l'autre, entre les environnements en nuage et sur site, et vers vos systèmes les plus critiques.
Son analyse pilotée par l'IA, qui s'appuie sur un graphe de sécurité de l'IA, permet de découvrir les voies à haut risque que les attaquants pourraient exploiter. Ensuite, il recommande automatiquement des politiques de segmentation pour combler ces lacunes, qui peuvent être appliquées instantanément grâce à Illumio Segmentation.
La fonction Insights Agent fournit également des tableaux de bord spécifiques à chaque rôle, adaptés aux analystes des centres d'opérations de sécurité (SOC), aux RSSI, aux ingénieurs d'infrastructure et aux propriétaires d'applications. Cela signifie que chaque équipe voit les risques les plus pertinents et sait exactement comment y répondre.
Illumio Segmentation
Illumio Segmentation transforme ces informations en actions.
En quelques clics, vous pouvez isoler les charges de travail compromises, appliquer l'accès au moindre privilège et empêcher les ransomwares de passer à d'autres systèmes sans avoir à réarchitecturer votre réseau ou à rédiger des règles de pare-feu complexes.
Parce qu'elle opère au niveau de la charge de travail, la segmentation fonctionne de manière transparente dans les clouds publics, les centres de données privés, les infrastructures hybrides et les conteneurs.
Il ne repose pas sur des réseaux locaux virtuels (VLAN) ou sur un zonage rigide. Il s'adapte en temps réel à l'évolution de votre environnement, vous offrant ainsi des solutions de segmentation des ransomwares évolutives qui s'adaptent au rythme de votre entreprise.
4 façons pour Illumio de prévenir le mouvement latéral des ransomwares
Illumio se défend contre la propagation des ransomwares dans les TI hybrides en offrant une visibilité et un contrôle de bout en bout :
1. Visualisez avant que cela ne se produise
La plupart des outils vous indiquent ce que le ransomware a fait. Illumio vous montre ce qu'il pourrait faire avant même qu'il ne bouge.
Illumio Insights cartographie les modèles de trafic et les relations en temps réel de votre environnement, révélant le rayon d'action potentiel d'une brèche. Cela permet aux équipes de sécurité d'identifier de manière proactive les chemins exposés et les combinaisons toxiques, afin de les segmenter avant que les attaquants ne les exploitent.
2. Détecter les mouvements latéraux au moment où ils se produisent
Les rançongiciels se propagent rapidement. Illumio le détecte plus rapidement.
Insights surveille en permanence les changements de comportement des charges de travail, en signalant les pivots suspects et les anomalies de trafic est-ouest, même si la menace n'a pas encore déclenché de signature connue.
C'est la visibilité dont vous avez besoin pour prendre les ransomwares en flagrant délit, et pas seulement une fois qu'ils ont fait des dégâts.
3. Isolez instantanément les charges de travail infectées
Lorsqu'une menace est détectée, Illumio Segmentation vous permet de réagir immédiatement.
Au lieu de mettre hors service des environnements entiers ou de dépendre d'interventions manuelles lentes, vous pouvez isoler chirurgicalement les systèmes infectés grâce à l'application d'une politique en un seul clic. Cela permet de limiter le rayon d'action de l'explosion et de préserver le temps de fonctionnement des services non affectés.
4. Élaborer une stratégie de segmentation solide
Illumio aide les équipes à faire évoluer leur architecture de confiance zéro au fil du temps en analysant continuellement le trafic et en recommandant de nouvelles politiques qui réduisent l'exposition.
Ainsi, votre stratégie d'endiguement des ransomwares reste à jour, adaptable et applicable à l'ensemble de votre infrastructure hybride et multicloud.
Pourquoi Illumio surpasse les outils traditionnels de protection contre les ransomwares ?
De nombreuses solutions de sécurité traditionnelles, telles que les pare-feu, la détection des points d'extrémité ou la segmentation traditionnelle du réseau, fonctionnent encore sur la base d'anciennes hypothèses. Ils supposent que vous pouvez empêcher les attaquants d'entrer, que les environnements ne changent pas et que les alertes vous sauveront.
En réalité, les rançongiciels se glissent discrètement et se propagent latéralement, souvent bien avant que quelqu'un ne s'en aperçoive.
Les outils basés sur les pare-feu sont toujours axés sur le trafic nord-sud, c'est-à-dire le trafic entrant et sortant du réseau.
Ils peinent à suivre ou à bloquer les mouvements est-ouest au sein de votre infrastructure hybride. La plupart nécessitent une configuration manuelle intensive, des définitions statiques de l'étendue et des zones prédéfinies, ce qui ne permet pas de s'adapter aux charges de travail dynamiques de l'informatique en nuage.
Et quand vient le moment de répondre ? Vous devez rédiger des règles personnalisées ou attendre des modifications qui peuvent prendre des heures, longtemps après la propagation du ransomware.
En revanche, Illumio voit ce que les outils traditionnels ne voient pas.
Il vous donne une visibilité instantanée sur la communication en temps réel entre les charges de travail. Il signale les chemins que les rançongiciels sont le plus susceptibles d'emprunter. Et il vous donne la possibilité de bloquer ces voies en quelques minutes avant que le mouvement latéral ne commence.
N'attendez pas que les attaques se propagent pour agir
Les rançongiciels n'ont pas besoin de plusieurs semaines pour faire des dégâts. Il faut des minutes.
Lorsque votre antivirus s'allume ou que vos journaux déclenchent une alerte, l'attaquant peut déjà s'être déplacé latéralement, avoir accédé à des systèmes sensibles et avoir crypté des charges de travail clés.
Illumio vous donne une longueur d'avance.
Il vous aide à prévenir la propagation des ransomwares, à contenir rapidement les brèches et à protéger votre environnement hybride de l'intérieur.
Si vos outils actuels ne peuvent pas empêcher les ransomwares de se déplacer latéralement, il est temps de repenser votre approche.
Essayez Illumio Insights gratuitement pour voir comment vous pouvez passer de la détection à l'endiguement en quelques minutes.
.webp)
.webp)
.webp)
.webp)