.png)
Évaluation des vulnérabilités pour stopper les rançongiciels
Dans un post précédent, nous avons examiné la visibilité basée sur les risques comme première étape pour contenir les rançongiciels et autres malwares.
Cet article explique comment cartographier ces vulnérabilités par rapport aux modèles de connectivité, c'est-à-dire comment les applications et les processus communiquent entre eux et via les réseaux.
Il s'agit de la dernière étape nécessaire pour bloquer activement et empêcher la propagation des rançongiciels.
Améliorer la visibilité grâce à de riches données sur les communications
Dans un environnement de production classique, pratiquement tout peut communiquer avec tout le reste : les applications et les machines au sein de sous-réseaux, de VLAN, de zones, etc. Cela permet aux systèmes d'entreprise de faire leur travail lorsqu'ils partagent des données et communiquent avec le monde extérieur. Mais cela crée également un problème. Si un logiciel malveillant infecte n'importe quelle partie d'un tel environnement, il peut se propager très rapidement.
Pour arrêter la propagation des malwares dans les environnements de production, vous devez bloquer les ports qu'ils exploitent pour passer d'une application ou d'une machine à une autre. Mais vous devez également savoir quels ports garder ouverts pour que vos systèmes puissent continuer à faire ce qu'ils doivent faire.
C'est pourquoi l'arrêt de la propagation des rançongiciels et autres malwares dépend d'une visibilité en temps réel des communications entre les actifs. Après tout, vous ne pouvez pas fermer des ports inutilement ouverts si vous ne pouvez pas les identifier.
De plus, vous devez déterminer quels ports présentent le plus grand risque potentiel. Ce n'est qu'alors, avec ces informations en main, que vous pourrez mettre en œuvre des contrôles proactifs et réactifs qui ne paralysent pas votre activité. De cette façon, vous pouvez limiter votre exposition à une violation au seul point d'entrée de votre réseau sans avoir d'impact négatif sur les opérations.
Un tel visibilité basée sur les risques vous permet également de hiérarchiser les correctifs avant qu'un incident ne se produise.
La hiérarchisation des priorités est essentielle car les services informatiques responsables des grands réseaux ne peuvent pas appliquer à tout moment des correctifs à tous les systèmes. Certains correctifs sont nécessairement traités avant d'autres. De toute évidence, vous devez donner la priorité à la réparation des systèmes qui présentent le plus de risques potentiels. La question est de savoir lesquels ?
La réponse à cette question dépend en grande partie de la connectivité réseau.
Sachez que les vulnérabilités d'un serveur fonctionnant de manière totalement isolée constituent une menace bien moindre que celles d'une machine située au milieu d'un centre de données accessible à des milliers d'autres personnes. Sachez également que certains ports ouverts présentent un plus grand danger que d'autres pour les actifs du réseau.
Ce qu'il faut, c'est un moyen de quantifier le risque posé par un ensemble donné de ports dans le contexte de systèmes particuliers et la manière dont ces systèmes se connectent les uns aux autres et à Internet au sens large.
Identifier les ports les plus risqués
En fait, certains ports comportent plus de risques que d'autres. Les ports les plus risqués incluent les ports hautement connectés utilisés par Microsoft Active Directory et d'autres services principaux. Les risques sont également accrus lorsque les systèmes interrogent et produisent des rapports sur l'infrastructure informatique.
Les ports poste à poste représentent un risque important, y compris ceux utilisés par des services tels que la gestion des postes de travail à distance et les applications de partage de fichiers. Même de nombreuses applications de réseaux sociaux fonctionnent de cette façon. Ils sont conçus spécifiquement pour le type de trafic qui empêche les professionnels de la sécurité de dormir la nuit. Les professionnels de la sécurité s'en inquiètent car les malwares ciblent souvent ces ports car ils sont omniprésents, généralement ouverts et « parlent » de manière arbitraire.
Enfin, les anciens protocoles de communication tels que FTP et Telnet ont tendance à rester actifs par défaut, même si personne ne les utilise conformément à la politique de l'organisation, et représentent des vulnérabilités bien connues. Cela en fait des cibles particulièrement intéressantes.
Mais savoir que certains ports comportent plus de risques que d'autres est une chose. C'est autre chose de les trouver et de les quantifier sur de vastes réseaux d'entreprise. Vous aurez également besoin de savoir comment tous ces actifs sont connectés.
C'est là qu'intervient la visualisation fournie par Illumio.
Quantifier le risque lié à la connectivité
Illumio superpose les données provenant de scanners de vulnérabilités tels que Rapid7 et Qualys à celles d'Illumio cartes de vos applications et comment ils se connectent et se forment cartes de vulnérabilité.
Il fonctionne en récupérant des données de connexion provenant de sources telles que des routeurs exécutant NetFlow et jFlow, des commutateurs, des systèmes cloud, des tables de connexion des systèmes d'exploitation, etc. Il combine ensuite ces informations avec les données des scanners de vulnérabilité.
Ensuite, il introduit des informations sur l'identité des utilisateurs et des machines provenant de sources telles qu'Active Directory, des bases de données de gestion de configuration, des systèmes de gestion des informations de sécurité et des systèmes de gestion des adresses IP.
Les cartes qui en résultent vous fournissent des vues en temps réel et ajustées en fonction des risques de tous vos systèmes. Ils prennent en charge les systèmes d'exploitation, les ordinateurs portables des utilisateurs, les applications cloud et leurs conteneurs, les ordinateurs centraux, les équilibreurs de charge, les périphériques réseau, les pare-feux, etc. Il en résulte une visibilité de bout en bout qui vous permet de bien comprendre les risques.
Par exemple, un serveur de base de données maintient-il des connexions ouvertes à 300 machines d'un sous-réseau alors qu'il n'a besoin que de se connecter à 10 machines ? Les cartes d'Illumio indiqueront qu'il s'agit d'un problème afin que vous puissiez passer à l'action.
Outre la manière dont les actifs échangent des données au sein des réseaux et des centres de données, Illumio vous permet de savoir dans quelle mesure et à quelle fréquence ils communiquent avec le monde extérieur. Ces connaissances peuvent vous aider à décider quels contrôles mettre en place sur quelles machines et quels correctifs donner la priorité.
Comment les scores d'exposition aux vulnérabilités améliorent l'efficacité opérationnelle
Pour faciliter encore plus l'évaluation des risques, Illumio combine les informations relatives à la politique de vulnérabilité, de connexion et de segmentation pour les résumer sous la forme score d'exposition aux vulnérabilités. Ce chiffre unique vous permet de comprendre rapidement l'exposition au risque relatif dans le contexte de l'exécution d'applications.
De nombreux clients d'Illumio trouvent que cette métrique à elle seule leur fournit ce dont ils ont besoin pour segmenter les systèmes afin de compenser leur incapacité à maintenir tous leurs correctifs à jour en permanence. La segmentation consiste à réduire les ports les plus vulnérables au plus petit rayon possible, c'est-à-dire à communiquer avec le moins d'autres actifs possible.
Les scores de vulnérabilité d'Illumio vous permettent de vous concentrer rapidement sur ces zones problématiques pour d'abord les isoler par segmentation dans la mesure du possible sans interrompre les opérations, puis appliquer les correctifs selon des calendriers que vous pouvez respecter de manière réaliste. En d'autres termes, les scores de vulnérabilité et la segmentation permettent de hiérarchiser efficacement la correction des vulnérabilités.
Illumio vous offre une vision complète et basée sur les risques de l'ensemble de votre environnement. Il vous permet de voir les flux actifs, de superposer l'analyse des risques basée sur les ports ouverts utilisés par les logiciels malveillants et de quantifier ce risque. Après avoir apporté des modifications à votre environnement, vous pouvez le rincer et recommencer pour suivre l'évolution des scores de risque au fil du temps. Les équipes informatiques et de sécurité disposent ainsi d'un outil puissant pour signaler les risques et trier les vulnérabilités.
Élaborer des politiques pour bloquer les ports à risque
Illumio peut également atténuer activement les risques en bloquant les ports entre les charges de travail avant que vous ne puissiez les appliquer ou lorsque vous ne pouvez pas accéder aux systèmes concernés. Il s'agit d'appliquer des correctifs aux flux de données jusqu'à ce que vous soyez en mesure de corriger les charges de travail.
De plus, Illumio peut suggérer des politiques de blocage des ports dans le cadre d'un flux de travail intégré appelé Générateur de politiques.
Vous pouvez enregistrer une politique suggérée, puis demander à Illumio de la mettre en place dans toutes vos applications. Grâce à cet outil, vous pouvez protéger votre environnement en quelques clics et en quelques secondes, au lieu de devoir déployer des correctifs pendant des jours ou des semaines.
Un outil puissant pour évaluer les vulnérabilités
Dans l'ensemble, Illumio offre aux professionnels de l'informatique et de la sécurité une visibilité riche et basée sur les risques sur toutes les communications de leurs applications et leur permet de bloquer les communications en fonction des risques afin de stopper la propagation des rançongiciels.
Outre la mise en œuvre de contrôles préventifs, Illumio peut améliorer votre capacité de réponse aux incidents grâce à des politiques de segmentation actives visant à stopper les rançongiciels.
Pour en savoir plus :
- Lisez le livre électronique, Comment arrêter les attaques de rançongiciels.
- Découvrez les cartes de vulnérabilité en action dans le webinaire, Un ransomware se produit. Nous l'empêchons de se propager : évaluez vos vulnérabilités.
