Comment la segmentation profite aux entreprises d'IR et de reprise en matière de réponse aux incidents

Malgré des dépenses de sécurité record, les violations restent monnaie courante. Dans son rapport 2022 sur le coût d'une violation de données, IBM a interrogé des centaines d'organisations qui ont été victimes d'une violation, et 83 % d'entre elles ont révélé qu'elles avaient été victimes d'une violation plus d'une fois.

Si vous êtes victime d'une violation, l'un des premiers appels à passer est souvent celui de votre compagnie d'assurance cyber, qui paiera généralement pour une société d'investigation numérique et de réponse aux incidents (DFIR) ou une société de récupération pour arrêter l'attaque, effectuer des mesures correctives et mener une expertise médico-légale. Le défi pour ces entreprises est qu'on leur demande d'accéder à des réseaux qu'elles ne connaissent pas, essentiellement à l'aveugle. Ensuite, ils travaillent contre la montre pour limiter l'impact et les dommages causés à votre entreprise. Votre compagnie d'assurance s'investit également massivement dans la minimisation de l'impact des violations, car plus une attaque se propage, plus d'appareils sont compromis, ce qui signifie plus de temps. et l'argent dépensé pour les réparer. En conséquence, les primes de cyberassurance ont augmenté en raison des pertes financières des transporteurs dues au nombre croissant d’indemnisations suite à des violations.

Pourquoi la segmentation Zero Trust est efficace pour la réponse aux incidents

Illumio a prouvé l'efficacité de la segmentation Zero Trust (ZTS) dans les missions de réponse aux incidents pour le confinement et la récupération des violations :

• Illumio ZTS vous aide à voir l'environnement, en offrant une visibilité immédiate du réseau aux équipes DFIR et de récupération se rendant sur des réseaux qu'elles n'ont jamais vus auparavant.
• Illumio ZTS ne touche pas au réseau physique du client, ce qui élimine le besoin de créer des VLAN ou d'utiliser des pare-feu, une partie courante des engagements IR.
• Illumio ZTS arrête la propagation des violations et accélère la récupération en donnant la priorité aux fonctions commerciales les plus critiques du client, avant même que le processus d'enquête ou de récupération ne soit terminé, et même lorsque l'attaquant est toujours dans l'environnement.

Les compagnies d’assurance ont été en première ligne face à l’augmentation des cyberattaques et reconnaissent que la segmentation peut stopper la propagation des logiciels malveillants en réduisant considérablement la surface d’attaque.‍

Comment fonctionne la segmentation dans les engagements actifs et post-violation

En cas de violation active, Illumio est déployé aux côtés des outils EDR, augmentant ainsi le temps alloué à l'EDR pour détecter et corriger les menaces. L'équipe Illumio IR gère le locataire au nom du DFIR ou du partenaire de récupération et utilise la segmentation pour restaurer les lignes d'activité en panne, arrêter la propagation des violations et séparer intelligemment le système infecté en temps réel.

Dans un engagement post-violation, Illumio est déployé après l'engagement DFIR, et ici la segmentation est utilisée pour aider à la protection des applications critiques pour les besoins d'assurance ou les mesures d'urgence. L'équipe Illumio IR peut également bloquer de manière proactive les vecteurs d'attaque courants contre les menaces futures. Dans les deux types d'engagements, les partenaires d'Illumio bénéficient d'un accès 24h/24 et 7j/7 à des experts d'Illumio possédant une vaste expérience travaillant dans des violations actives du monde réel aux côtés des principales sociétés de DFIR et de récupération. Parce que notre équipe est une extension de nos partenaires DFIR, nous veillons à comprendre leurs outils et leurs flux de travail en fonction de leur approche des violations en direct. Notre équipe crée des locataires Illumio entièrement personnalisés pour la gestion et les flux de travail des projets et des projets de récupération d'information et de récupération – et les locataires sont fournis gratuitement à nos partenaires.

L'équipe IR d'Illumio travaille sur les violations aux côtés du DFIR et des sociétés de récupération

En cas de brèche active, l’une des principales choses que peut faire Illumio ZTS grâce à la segmentation est d’empêcher la réinfection en séparant les environnements compromis en bulles « propres » et « sales ». L'environnement sale est segmenté pour inclure uniquement les appareils infectés qui sont confinés et essentiellement mis en quarantaine pendant tout le travail de réponse et de récupération, tout en permettant à l'entreprise IR d'y accéder. Illumio met en place une bulle de « récupération » pour que l'entreprise de récupération ait accès aux données dont elle a besoin. Illumio met ensuite en place une bulle « propre » dans laquelle tous les appareils propres et corrigés sont remis en ligne. Nous faisons cela afin que l'équipe IR ou de récupération n'ait pas besoin de créer des VLAN ou des réseaux séparés avant de pouvoir commencer son travail. Enfin, nous commençons à segmenter les applications métier critiques pour les remettre en ligne plus rapidement par rapport aux méthodes traditionnelles utilisant des outils existants et re- architecturer le réseau physique.

La segmentation change la façon dont la réponse aux incidents peut être effectuée

Dans de nombreux cas, vous ne pouvez pas récupérer vos lignes d’activité si vous ne savez pas si l’attaquant est actif dans l’environnement. Cela signifie que vous devez souvent d’abord déployer l’EDR partout et obtenir un état de santé complet – et ce n’est qu’alors que vous pourrez aller de l’avant. Cela peut prendre un temps précieux considérable lorsqu’une équipe travaille contre la montre. Prenons par exemple une entreprise manufacturière qui a été touchée par un ransomware qui a mis hors ligne son atelier de production. Ils ont besoin de produire des biens, mais ils n’en sont pas capables. L'équipe Illumio IR pénètre dans la brèche active, segmente l'environnement compromis en bulles - même si l'attaquant y est toujours actif dans l'environnement - et aide à remettre l'environnement de production en ligne et à redonner accès au fabricant pour relancer les opérations. avec des travaux d’enquête et de récupération effectués en parallèle.

Le programme de partenariat Illumio pour la réponse aux incidents

Illumio est ravi d'annoncer notre nouveau programme de partenariat de réponse aux incidents, conçu pour travailler avec les principales sociétés de DFIR et de récupération afin d'inclure ZTS dans le cadre des engagements IR et médico-légaux. Pour les clients qui subissent l'impact d'une faille de sécurité, Illumio les aide à récupérer plus rapidement en donnant la priorité aux mesures correctives pour que leur entreprise soit à nouveau opérationnelle, beaucoup plus rapidement que la façon dont les choses se faisaient traditionnellement.

Pour nos partenaires DFIR et de récupération, Illumio fournit une équipe d'assistance expérimentée à la demande, des locataires personnalisés en attente et un programme conçu pour intégrer la segmentation dans les flux de travail existants tout en offrant une confidentialité totale dans tous les engagements.

Si vous souhaitez en savoir plus sur notre programme de partenariat de réponse aux incidents, veuillez contacter Ben Harel, responsable de la réponse aux incidents d'Illumio à [email protected].

Ou, si vous souhaitez devenir partenaire de réponse aux incidents, apprenez-en plus ici.