Crise russo-ukrainienne : comment atténuer les risques grâce à la segmentation

Le conflit en Ukraine oblige les organisations du monde entier à revoir leur modélisation des menaces et à réévaluer les cyberrisques. Celle du président Biden avertissement le 21 mars le fait que « le gouvernement russe explore des options pour d'éventuelles cyberattaques » contre les infrastructures critiques des États-Unis a provoqué une vague d'activité dans les salles de conférence à travers le pays. Mais au-delà de cela, qu'en est-il des organisations présentes en Ukraine, en Russie ou en Biélorussie ?

Les clients d'Illumio occupant cette position nous ont déjà demandé ce que nous pouvions faire pour empêcher que les menaces provenant de la région ne se propagent aux systèmes informatiques basés aux États-Unis et ailleurs. Nous entendons généralement le point de vue de deux groupes différents :

1. Les organisations multinationales implantées en Ukraine, en Russie ou en Biélorussie craignent que des acteurs malveillants ne compromettent leur parc informatique dans ces régions. À ce titre, ils pourraient fournir aux attaquants la possibilité de se déplacer latéralement et d'infiltrer des réseaux plus proches de chez eux, à l'instar du célèbre virus informatique destructeur NotPetya diffusé depuis l'Ukraine en 2017.
   
2. Même ceux qui ne sont pas présents dans la région s'inquiètent des répercussions possibles des sanctions occidentales sur la Russie, qui, selon Poutine, s'apparentent à un acte de conflit. Comme celui de CISA Initiative « Shields Up » soutient, comme l'a affirmé l'avertissement du président Biden, que toutes les organisations aux États-Unis et dans les pays alliés devraient être prêtes à faire face à des attaques de représailles. Cela est particulièrement vrai pour les acteurs des secteurs d'infrastructures critiques tels que les services financiers, les soins de santé, les services publics et l'énergie.

Heureusement, la visibilité granulaire du réseau Illumio et capacités de segmentation constituent un formidable ensemble d'outils pour protéger les organisations contre les cyberattaques.

Comment la segmentation d'Illumio peut vous aider

Illumio peut aider ses clients dans les deux scénarios. Pour ceux qui possèdent des actifs et des réseaux dans des pays à haut risque tels que l'Ukraine, la Russie et la Biélorussie, il existe trois manières de protéger vos actifs numériques :

1. Illumio fournit une visibilité complète basée sur les risques et une cartographie des dépendances des applications afin de mettre en évidence toute connexion dangereuse, en fonction du niveau de charge de travail individuel. Avant même d'avoir décidé de bloquer le trafic en provenance d'Europe de l'Est, les clients peuvent se faire une idée précise des interactions entre les actifs en Ukraine, en Russie et en Biélorussie et le reste de l'organisation.
   
   Ils peuvent détecter de nouveaux flux de trafic jamais vus auparavant ou des augmentations significatives du volume de données envoyées depuis ces actifs, par exemple. Ces informations peuvent ensuite être intégrées dans les manuels de détection et de réponse aux menaces et faire l'objet de mesures d'atténuation.
   
2. Si Illumio est déployé sur le site en dehors de ces pays et que l'entreprise connaît les adresses IP qu'elle gère en Ukraine, en Russie et en Biélorussie, il est assez simple d'atténuer les cyberrisques. En quelques minutes, vous pouvez implémenter une politique dans Illumio bloquant le trafic en provenance et à destination de ces réseaux. Il est également facile d'écrire des exceptions pour vous assurer d'avoir un accès légal à ces systèmes.
   
   Ceci est rendu possible grâce à Illumio Limites d'application, qui permettent aux entreprises de créer rapidement et facilement un périmètre de protection autour de n'importe quel port, charge de travail, groupe de charges de travail ou plage IP. Cela peut être réalisé en quelques minutes et appliqué à grande échelle pour créer efficacement »liste d'autorisations» règles avec un minimum de tracas.
   
3. Si Illumio est déployé sur tous les actifs, y compris ceux basés en Ukraine, en Russie et en Biélorussie, les clients peuvent bénéficier de la même capacité de blocage à l'aide d'étiquettes. Écrivez simplement une politique qui dit : « Si les actifs sont situés dans ces pays, bloquez ce trafic ». Il s'agit également d'une action simple et rapide qui ne prend que quelques minutes à configurer.

Protège grâce à la microsegmentation

Pour les organisations qui ne sont pas directement exposées au conflit en Ukraine mais qui sont préoccupées par d'éventuelles « retombées », le moment est venu de réfléchir à la mise à jour des politiques de sécurité.

Pour comprendre l'exposition au risque, il est important non seulement de gagner en visibilité au niveau du périmètre, mais également de savoir ce qui se passe au sein de votre infrastructure hybride numérique. Après tout, il est plus facile que jamais pour des attaquants déterminés de percer les périmètres des réseaux en utilisant le phishing, des informations d'identification compromises et d'autres techniques.

En appliquant les bonnes restrictions, les équipes de sécurité peuvent limiter les flux de trafic suspects afin de bloquer les mouvements latéraux et de mettre fin aux appels de commande et de contrôle des attaquants. Cela peut être aussi grossier que le blocage de ports pour les services couramment utilisés par les rançongiciels, tels que RDP, SMB et SSH. Il pourrait également être plus précis pour protéger les applications et les actifs de grande valeur.

Vous pouvez également rédiger des politiques pour isoler les infrastructures informatiques critiques telles que le DNS, les systèmes d'authentification et Active Directory.

Les organisations dépourvues d'actifs en Ukraine, en Russie ou en Biélorussie ne disposeront pas d'adresses IP spécifiques qu'elles pourront utiliser pour bloquer le trafic. En tirant parti des informations issues des flux de menaces, ils pourraient renforcer le blocage global de toutes les adresses IP malveillantes situées au périmètre grâce à un blocage plus ciblé dans leurs politiques de segmentation, en mettant en place de multiples niveaux de défense.

La nécessité de mettre à jour les stratégies de gestion des risques est d'autant plus urgente, non seulement en raison de la possibilité que la Russie déclenche un déluge d'attaques destructrices, mais également du point de vue de la conformité. Le gouvernement fédéral américain, par exemple, a récemment fait c'est une obligation légale pour que les opérateurs d'infrastructures critiques divulguent les cyberattaques dans les 72 heures.

Vous souhaitez en savoir plus sur la façon dont les fonctionnalités de segmentation d'Illumio peuvent vous aider ? renforcer la défense en profondeur pour protéger votre organisation face aux cybermenaces croissantes d'aujourd'hui ? Nous contacter aujourd'hui.