Comment atténuer les risques dans un réseau plat, le paradis des attaquants

Cet article a été initialement publié sur Forbes.com.

Les réseaux plats sont devenus si répandus parce qu'ils sont généralement simples à concevoir, peu coûteux à construire et faciles à exploiter et à entretenir. Cependant, il s'avère que les acteurs malveillants adorent également les réseaux plats. En effet, une fois qu'un seul hôte d'un réseau plat est compromis, l'intégrité du reste du réseau commence à ressembler à un château de cartes. Une fois qu'une entreprise est pénétrée, le réseau plat fournit aux invités indésirables et indésirables un accès sans entrave au réseau pour scanner, identifier et cibler les actifs de grande valeur. Malheureusement, de nombreuses organisations ne parviennent pas à atténuer ou même à reconnaître pleinement ces risques.

Les risques de sécurité d'un réseau plat

Les entreprises ont tendance à se concentrer principalement sur la sécurisation des défenses périmétriques de leur réseau. Cependant, les investissements dans la sécurité périmétrique ne peuvent pas faire grand-chose. D'après le Rapport 2018 sur les violations de données de Verizon, 2 216 violations ont été confirmées l'année dernière. Le rapport constate que 73 % de ces violations ont été perpétrées par des acteurs extérieurs. Le piratage et les malwares restent monnaie courante.

Ces statistiques soulignent que malgré tous nos efforts pour sécuriser le périmètre par des « murs » toujours plus solides et plus hauts, ces mesures n'empêchent pas les acteurs malveillants qui sont tenaces et disposent de toutes les capacités et ressources nécessaires pour entrer dans un réseau. Un nouvel état d'esprit est nécessaire. Tu dois »supposer une violation», ce qui implique de partir du principe que les défenses de votre réseau seront compromises. En outre, si votre réseau est plat, les acteurs malveillants peuvent utiliser un seul système ou appareil compromis, la tête de pont, comme rampe de lancement pour se déplacer latéralement sur votre réseau en direction de vos actifs les plus précieux.

Dans un réseau plat, votre politique par défaut est de permettre à tous les appareils et applications de communiquer entre eux, ce qui rend difficile pour la sécurité de déterminer quelles connexions et quels flux de données sont légitimes. Par exemple, un ordinateur portable de bureau est capable de se connecter et de « parler » aux serveurs d'impression de l'entreprise afin que vous puissiez imprimer rapidement et facilement un document. Ce type de connexion est plat. Votre téléphone IP de bureau se trouve peut-être sur le même réseau plat, mais est-il judicieux que ce téléphone IP communique avec ces serveurs d'impression ? Les systèmes de sécurité ont du mal à détecter si ce trafic et ces connexions sont anormaux et peuvent indiquer une violation.

Les réseaux plats permettent également de rester caché plus facilement lorsque les attaquants tentent de traverser discrètement le réseau. Cette période, connue sous le nom de temps d'arrêt, s'élève en moyenne à 101 jours à l'échelle mondiale. Et il n'est pas nécessaire de regarder trop loin pour découvrir des attaques très médiatisées dans lesquelles les pirates informatiques sont passés inaperçus bien plus longtemps : jusqu'à plusieurs années.

Les menaces peuvent également provenir de l'intérieur

Les réseaux plats constituent également un terrain de jeu potentiel pour les initiés (potentiels) malveillants. La première chose qu'un initié essaierait de faire est de recueillir davantage d'informations d'identification ou d'utiliser ses autorisations élevées existantes pour accéder à des systèmes qui ne relèvent pas de sa compétence. L'authentification à deux facteurs (2FA) ou l'authentification multifactorielle (MFA) sont des solutions efficaces pour traiter les informations d'identification volées entre les mains des utilisateurs.

Cependant, les appareils mobiles et les appareils machine à machine (M2M) sont les deux principales raisons pour lesquelles le trafic de données est en hausse au sein de votre réseau et de tous les autres réseaux. De plus en plus de systèmes d'entreprise doivent interagir les uns avec les autres, et ce type de trafic nécessite une authentification, qui ne peut pas être simplement résolue par 2FA ou MFA. Ce problème concerne de nombreux appareils connectés et met en danger des actifs critiques tels que les référentiels de données clients et les systèmes de paiement.

Comment atténuer les risques dans un réseau plat

Comme je l'ai mentionné plus haut, vous devez commencer avec une mentalité de « violation présumée ». Tôt ou tard, même les meilleures défenses périmétriques seront brisées. Cet état d'esprit vous permet de penser comme un attaquant et permet au CISO de poser des questions pertinentes, telles que :

• Quels sont nos actifs de grande valeur vers lesquels un attaquant essaiera de naviguer une fois qu'il aura pris pied dans notre réseau ?
• Qu'avons-nous mis en place pour empêcher la libre circulation et la persistance d'un attaquant au sein de notre réseau plat ?

Si la réponse est « rien » ou, peut-être tout aussi mal, « une poignée de pare-feux et de réseaux VLAN », le CISO sait qu'il doit prendre des mesures pour réduire ce risque.

1. Identifiez vos actifs les plus importants: Bien que cela puisse sembler évident, la classification de vos actifs de grande valeur peut être différente selon la personne à qui vous posez la question. C'est pourquoi il est important de réunir les principales parties prenantes (c'est-à-dire votre CISO, les équipes juridiques et financières, etc.) afin de cartographier les risques liés aux actifs et aux applications au sein de l'infrastructure de l'entreprise. Un bon moyen d'y parvenir est de tirer parti du Cadre de cybersécurité du NIST (LCR).
2. Déterminez la meilleure protection ou le meilleur contrôle: La protection d'une application phare comporte de nombreux niveaux, notamment la gestion des identités et des accès (IAM), la gestion des vulnérabilités et la segmentation. La segmentation est un contrôle qui s'inscrit dans le CSF du NIST : il garantit que les applications ne sont accessibles qu'à partir d'appareils autorisés et que ces appareils n'ont accès qu'à des processus métier spécifiques sur les applications critiques.
3. Identifier les solutions potentielles: Pour déterminer un ensemble de solutions, il faut d'abord identifier les principales parties prenantes (par exemple, les équipes d'ingénierie de sécurité, d'ingénierie réseau et d'application, etc.) afin d'examiner les solutions disponibles sur le marché. Je leur recommande vivement d'examiner les différentes approches de segmentation des différents fournisseurs et de garder à l'esprit que la segmentation est un marché émergent.

Sur le net, la popularité des réseaux plats ne cesse de croître et, malheureusement, l'appétit des attaquants malveillants augmente également. Cela donne un mélange dangereux. Reconnaître les risques des réseaux plats est la première étape. Le passage à un état d'esprit « supposer une violation » lance le processus d'atténuation de ce risque. Enfin, la mise en œuvre d'une stratégie de confiance zéro, basée sur l'hypothèse que vous avez déjà été victime d'une faille mais que vous ne le savez pas encore, permet de garantir que les organisations dotées de réseaux plats ne finissent pas par devenir le terrain de jeu des attaquants.