.png)
Comment utiliser la visibilité basée sur les risques pour la protection contre les rançongiciels, la conformité, etc.
Il n'y a qu'une seule certitude en ce qui concerne ransomware: elle peut toucher n'importe quelle organisation, grande ou petite, experte en sécurité ou non. Des attaques très médiatisées visent le élévation, alimentée par un logiciel clé en main pour leur lancement, des paiements cryptographiques anonymisés, une infrastructure de plus en plus numérisée et le augmentation dans des environnements de travail à distance et hybrides.
Heureusement, il existe une stratégie puissante pour empêcher les rançongiciels et autres malware de la diffusion sur un réseau : segmentation. Avec Segmentation Zero Trust, de mauvaises choses peuvent entrer, mais elles ne peuvent pas se propager, elles ne peuvent pas faire de dégâts et elles ne peuvent pas attaquer des organisations à cause de l'actualité.
Comme pour toute stratégie de sécurité efficace, la segmentation commence par la visibilité. Plus précisément, la visibilité est basée sur une évaluation des risques.
Voici comment visibilité basée sur les risques aide les administrateurs systèmes à cartographier les communications entre les applications, à évaluer les vulnérabilités et à déterminer comment ces vulnérabilités pourraient entraîner une exposition de l'ensemble de l'environnement.
Le problème des environnements ouverts
Bien que la sécurité soit une priorité absolue pour les centres de données, nombreux sont ceux qui ne prêtent pas suffisamment attention aux murs au sein des sous-réseaux, des VLAN et des zones réseau. En d'autres termes, même si les garanties protègent contre les violations, il n'y a souvent pas beaucoup de segmentation pour contenir les incursions qui se produisent. Cela est dû en partie à leur conception ; les environnements aident de nombreux systèmes d'entreprise à se connecter facilement les uns aux autres pour échanger des données et gérer les opérations quotidiennes, jusqu'à ce qu'ils ne le fassent plus.
Le problème de ces grands environnements ouverts est que si un logiciel malveillant infecte une machine ou une zone, il peut se propager beaucoup plus rapidement à l'ensemble de l'environnement en quelques secondes.
L'un des vecteurs d'attaque courants est l'utilisation d'un utilisateur autorisé peu méfiant. Dans ce cas, un employé utilisant un ordinateur portable à la maison clique sur un lien suspect. Le lien lance silencieusement des malwares en arrière-plan que les outils de détection en place risquent de ne pas détecter. À partir de là, il essaie de s'étendre à d'autres actifs.
Mais s'il n'y en a pas mouvement latéral possible via le réseau, les logiciels malveillants ne peuvent tout simplement pas se propager. Et cela permet de gagner un temps précieux pour que la détection ou d'autres logiciels fonctionnent. L'utilisateur ou un professionnel de la sécurité dispose également de plus de temps pour remarquer un problème avec la machine infectée et prendre des mesures avant tout risque d'endommager d'autres actifs ou données.
Bref, si vous vous offrez cette fenêtre temporelle critique, cela peut faire toute la différence pour contenir ransomware et d'autres attaques de logiciels malveillants. Vous pouvez isoler les attaques visant une machine à nettoyer au lieu d'essayer ultérieurement de gérer des dizaines, des centaines, voire des milliers de machines compromises et de porter atteinte aux opérations ou à la réputation. Tout commence par une visibilité basée sur les risques.
Les composants de la visibilité basée sur les risques
La visibilité basée sur les risques consiste à identifier les systèmes et les applications vulnérables en raison de communications excessives et inutiles, voire de flux de données non conformes.
C'est pourquoi la protection contre les rançongiciels d'Illumio commence par créer une dépendance entre les applications cartes. Ces cartes permettent aux administrateurs système de voir non seulement un enchevêtrement d'adresses IP, mais aussi une vue de haut niveau de la topologie des applications. Cela signifie que tout semble bien organisé pour une meilleure visibilité, ainsi que des relations clairement identifiées montrant comment les applications communiquent avec d'autres applications et sur les réseaux.
Qu'il s'agisse d'une vue détaillée ou d'une vue de haut niveau, les cartes de dépendance des applications permettent aux administrateurs d'examiner un environnement complet de haut en bas. Cela inclut la manière dont les protocoles individuels fonctionnent dans l'environnement de production ou la manière dont un ensemble donné de flux de données fonctionne entre les environnements de développement et de production.
Illumio renforce cette visibilité avec données de vulnérabilité. En intégrant les données relatives aux flux de vulnérabilités et de menaces aux flux de trafic en temps réel, vous obtenez score de risque quantitatif pour une application ou chaque charge de travail des applications. Ce score permet de comprendre facilement quelles applications se connectent à des ports vulnérables et quel est le niveau de risque global généré par les vulnérabilités. Ce contexte est précieux pour réduire les risques dans votre environnement. Corrigez en fonction de la criticité ou implémentez des politiques de segmentation à titre de contrôle compensatoire.
Il est également essentiel de transmettre les bons points de vue aux bonnes personnes. En effet, une visibilité efficace basée sur les risques dépend de l'obtention par le personnel des informations dont il a besoin pour répondre aux questions de sécurité et de conformité qui le concernent. Cela est rendu possible grâce à une seule source de vérité : la carte.
L'accès en temps réel aux bonnes visualisations réduit les risques opérationnels, car tout le monde peut s'entendre sur ce qui est vrai. Un membre de l'équipe d'application a-t-il besoin d'une vue d'ensemble de la topologie des applications et des flux de données ? Maintenant, ils le peuvent. Est-ce que sécurité du réseau l'équipe a besoin de données de conformité ? Ils peuvent consulter leur propre point de vue sur les mêmes données. Les membres de l'équipe chargée des opérations réseau et de DevOps peuvent également voir les informations dont ils ont besoin sur une même image. Et tout le monde conviendra que ce qu'ils voient, c'est bien le fonctionnement d'une application donnée.
Une telle source unique de vérité améliore la collaboration. De plus, cela évite aux utilisateurs le temps et l'ennui inhérents aux projets de recherche sur des logiciels qui ont peut-être été installés il y a une demi-décennie, afin qu'ils puissent se concentrer sur d'autres priorités plus importantes.
Tout cela contribue dans une large mesure à améliorer la sécurité, en jetant les bases de la lutte contre les rançongiciels et autres logiciels malveillants via segmentation.
Visibilité pour la conformité
Les avantages de la visibilité basée sur les risques ne se limitent pas à la maîtrise des malwares. Il peut également aider à valider les limites de conformité en permettant aux équipes d'identifier les flux de données non conformes.
Par exemple, une visibilité complète peut révéler qu'une application collecte des données provenant d'autres applications en contradiction avec les cadres réglementaires tels que la norme de sécurité des données de l'industrie des cartes de paiement (PCI-DSS), le SWIFT Customer Security Controls Framework ou la Health Insurance Portability and Accountability Act (HIPAA). C'est essentiel pour toute organisation opérant dans des secteurs réglementés, où ce qui est inclus et hors du champ de la collecte et du traitement des données est très important.
Au-delà de la conformité réglementaire, la plupart des organisations ont des politiques relatives à l'accès à distance. Par exemple, étant donné que la plupart des employés d'une organisation n'ont pas besoin de tous les accès administratifs aux centres de données, ils bénéficient d'un accès restreint. Et lorsqu'ils ont besoin d'un accès complet, ils doivent souvent utiliser un hôte de démarrage pour contrôler la communication entre les serveurs distants et les serveurs du centre de données. Mais les hôtes de saut peuvent ralentir les utilisateurs impatients, les incitant à les contourner.
Grâce à la visualisation, vous pouvez répondre à des questions critiques concernant les serveurs Jump, telles que : Les utilisateurs les utilisent-ils réellement ? Ou avez-vous des administrateurs qui pensent être suffisamment expérimentés pour simplement contourner cet hôte de saut légèrement plus lent et se connecter directement aux applications ?
Si vous pouvez constater cette activité, vous savez quoi faire pour renforcer ces risques de sécurité.
Pour obtenir ce type de visibilité critique, il a souvent fallu recourir à un examen minutieux de tableaux de flux de données volumineux pour tenter de déterminer s'ils se situent à l'intérieur ou à l'extérieur de certaines limites ou plages de réseau. Cette tâche fastidieuse et difficile a mis une visibilité complète, et encore moins en temps réel, hors de portée de nombreuses organisations. En revanche, les visualisations qui indiquent clairement les limites des zones de conformité vous donnent une image claire des flux de données entrant et sortant des terminaux, des centres de données et des serveurs.
Ces visualisations permettent aux parties prenantes internes et externes de gagner beaucoup de temps et ouvrent la voie à de simples conversations entre les responsables et les auditeurs sur les limites et les contrôles de conformité.
La visibilité, premier pas vers la sécurité
La visibilité est la première étape du contrôle de l'accès aux actifs des centres de données et du cloud. Elle vous fournit les informations dont vous avez besoin pour renforcer les contrôles entre les utilisateurs, les applications et les serveurs, où qu'ils se trouvent.
La réalité est que les rançongiciels sont un problème pour tout le monde. Mais grâce à la visibilité basée sur les risques, vous pouvez commencer à mettre en œuvre des stratégies préventives et réactives pour le contenir là où il peut causer le moins de dégâts possible.
Pour en savoir plus :
- Lisez le livre électronique, Comment arrêter les attaques de rançongiciels.
- Découvrez la visibilité basée sur les risques en action dans le webinaire, Un ransomware se produit. Nous l'empêchons de se propager : comment obtenir une visibilité basée sur les risques.
