Blogue
/
Cyber-résilience

Pourquoi les cybercatastrophes se produisent toujours et comment y remédier

Gary Barlet
,
Directeur technique de terrain, fédéral
January 13, 2023
23 min. de lecture

Historiquement, la cybersécurité des secteurs public et privé a toujours suivi un thème récurrent : la prévention et la détection.

Le problème ? La prévention et la détection ne suffisent pas. Des violations continuent de se produire.

Après avoir essayé pendant des décennies de prévenir et de détecter les attaques directes des adversaires, sans succès, il est temps de mettre l'accent sur l'endiguement. Qu'Einstein l'ait dit ou non, le truisme est toujours exact : la définition de la folie est de faire la même chose encore et encore et de s'attendre à des résultats différents.

Les méthodes de sécurité traditionnelles ne suffisent pas à combattre les adversaires modernes

La plupart des efforts des équipes de sécurité ont consisté à empêcher les menaces de pénétrer dans le centre de données ou le cloud.

Le périmètre nord-sud, la limite entre l'extérieur non fiable et l'intérieur fiable, est l'endroit où la plupart des outils de sécurité ont été placés. C'est ici pare-feux de nouvelle génération, des scanners antivirus, des proxys et d'autres outils de sécurité sont déployés pour tenter d'inspecter tout le trafic entrant afin de s'assurer qu'aucun problème ne passe.

Cependant, pour toutes les failles de sécurité majeures de ces dernières années, au moins un de ces outils a été déployé et la plupart étaient conformes aux exigences de sécurité. Pourtant, des adversaires ont réussi à pénétrer le réseau.

Et une fois intégrés au réseau, tous les adversaires ont une chose en commun : ils aiment bouger. Ils se propagent latéralement, d'est en ouest, se déplaçant d'un hôte à l'autre pour rechercher leur cible d'exfiltration de données.

Nombre de ces failles ont été découvertes longtemps après leur entrée dans le réseau, parfois des mois plus tard. Malgré le passage de la prévention à la détection, les outils actuels ne sont pas à la hauteur des adversaires modernes qui savent très bien éviter d'être détectés jusqu'à ce que les dégâts soient causés.

Une fois compromis, la plupart des réseaux sont largement ouverts à la propagation est-ouest

Selon une approche traditionnelle de la cybersécurité, tout ce qui se trouve à l'extérieur du périmètre est considéré comme non fiable et tout ce qui se trouve à l'intérieur du périmètre comme étant fiable. Il en résulte qu'il n'y a souvent pas grand-chose pour empêcher les adversaires de se propager latéralement une fois qu'ils ont pénétré dans le noyau de confiance.

La répartition d'un hôte à l'autre, d'une application à l'autre, sur les segments du réseau signifie que la plupart des charges de travail sont prises pour cible par des adversaires qui évoluent rapidement. Et les segments de réseau sont généralement très inefficaces pour les empêcher de se propager entre les hôtes.

Les segments de réseau sont conçus pour éviter les problèmes de réseau, tels que l'usurpation DDoS ou ARP. Des VLAN, des sous-réseaux IP, des points d'appairage de routage et des réseaux superposés SDN sont créés pour contrôler ces problèmes et permettre l'ingénierie du trafic sur le réseau. Mais les adversaires traversent facilement ces segments de réseau car ils se propagent généralement entre les hôtes via des ports qui ressemblent à du trafic légitime.

Les périphériques réseau examinent les en-têtes de paquets et bloquent ou autorisent le trafic en fonction des ports trouvés dans ces en-têtes. Mais pour découvrir des adversaires, il faut examiner en profondeur la charge utile des paquets, ce qui nécessite de déployer des pare-feux entre tous les hôtes sur le trajet de l'ensemble du trafic est-ouest.

Cela devient rapidement coûteux et peut entraîner un goulot d'étranglement du réseau, chaque paquet devant être « ouvert » et inspecté, en s'appuyant sur des signatures, des « sandbox », l'IA, l'apprentissage automatique ou d'autres méthodes complexes pour tenter de découvrir des adversaires sans ralentir le réseau.

Même lorsque cette approche est essayée, elle est rapidement abandonnée ou réduite, et ne génère aucun retour sur investissement sur des budgets durement gagnés. Cela laisse très peu de place pour empêcher la propagation est-ouest et les hôtes restent grands ouverts.

Lorsque l'inévitable brèche se produit, les gens commencent à pointer du doigt.

Les organisations qui ne disposent pas de la segmentation Zero Trust mènent une guerre qu'elles ne peuvent gagner

Tous les périmètres sont poreux. Même une limite de sécurité périmétrique efficace à 99 % finira par être franchie. Ou une faille de sécurité pénétrera de l'intérieur, accidentellement ou intentionnellement.

Ceux qui tentent toujours de déployer des outils de sécurité encore plus coûteux sur le périmètre, et qui continuent de croire que leurs hébergeurs ne propagent aucune sorte de menace d'est en ouest sur leur réseau, feront la une des journaux le lendemain en tant que dernière victime d'une attaque directe.

Quiconque ignore la mise en œuvre de la sécurité dans l'ensemble de son tissu est-ouest mènera une bataille perdue d'avance.

La microsegmentation joue un rôle majeur dans Architecture Zero Trust dans laquelle chaque ressource est une limite de confiance, découplée des limites du réseau.

Illumio sécurise les vecteurs de menace est-ouest à l'intérieur du centre de données et du cloud à grande échelle.

Chaque charge de travail est microsegmentée par rapport à toutes les autres charges de travail, ce qui impose un modèle d'accès avec le moindre privilège entre elles, les hôtes étant identifiés à l'aide d'un modèle piloté par les métadonnées et non leurs adresses réseau. Cela signifie que les charges de travail déployées sur les hôtes sont identifiées en fonction de leur fonction et non de leur emplacement, ce qui permet de visualiser clairement le comportement du réseau entre les hôtes.

En savoir plus sur la microsegmentation ici.

Bénéficiez d'une meilleure visibilité sur la façon dont les applications communiquent sur votre réseau

La visibilité du trafic réseau entre les applications, d'un point de vue centré sur les applications, est un défi lorsqu'il s'agit de périphériques réseau, qu'il s'agisse d'appareils physiques dans un centre de données ou de périphériques virtuels dans un cloud public.

En effet, la visualisation du comportement des applications et des dépendances à partir de commutateurs, de routeurs, de pare-feux ou d'outils de surveillance nécessite généralement de traduire le comportement du réseau en comportement des applications et de découvrir « qui fait quoi à qui » entre les applications et les hôtes. Souvent, cela devient rapidement plus confus que révélateur.

Pour visualiser la façon dont les applications communiquent entre elles sur un réseau, il faut déployer une solution directement sur les hôtes sur lesquels ces applications résident.

Illumio permet une lecture très claire et précise carte des dépendances entre toutes les applications de votre centre de données et du cloud. Les hôtes sont regroupés en fonction de métadonnées, telles que la fonction ou la propriété, et les flux de trafic entre eux sont clairement affichés.

Cela permet de découvrir très rapidement les violations de conformité et la manière dont les hôtes communiquent entre eux sans avoir à toucher au réseau ou au cloud.

Illumio révèle qui fait quoi et qui à grande échelle dans l'ensemble de votre environnement pour vous aider à quantifier les risques entre les hôtes et à identifier les ports à risque susceptibles d'être compromis.

Mettez en œuvre la segmentation Illumio Zero Trust pour arrêter le mouvement est-ouest des adversaires

Le modèle de sécurité de prévention est obsolète et le modèle de sécurité de détection n'est jamais assez rapide pour empêcher la propagation latérale.

Le modèle de sécurité moderne doit partir du principe qu'une violation se produira ou s'est déjà produite. Cet état d'esprit ne vise pas à préserver la santé d'un hôte compromis, mais à isoler rapidement les adversaires et à les empêcher de se propager, le tout sans qu'il soit nécessaire de comprendre exactement qui est l'adversaire.

Les vecteurs de menace est-ouest peuvent être appliqués et visualisés à l'aide de la solution d'Illumio pour une sécurité centrée sur les applications du point de vue de l'application.

Que la violation provienne d'un adversaire parrainé par l'État ou d'une bande criminelle, cette menace est isolée et empêchée de se propager.

Cette folie doit — et peut — être arrêtée.

Vous souhaitez en savoir plus sur la segmentation Illumio Zero Trust ? Nous contacter aujourd'hui.

Sujets connexes

Gouvernement

Articles connexes

Quels sont les critères communs et comment obtenir une certification
Cyber-résilience

Quels sont les critères communs et comment obtenir une certification

Illumio Core a obtenu une autre certification de sécurité gouvernementale importante appelée Common Criteria. Illumio est devenu le premier fournisseur de solutions de sécurité d'entreprise à être certifié par le National Information Assurance Partnership (NIAP)

En savoir plus
Comprendre les obligations de conformité de l'UE : télécommunications-5G et au-delà
Cyber-résilience

Comprendre les obligations de conformité de l'UE : télécommunications-5G et au-delà

Dans la cinquième partie de cette série, nous explorons la surface d'attaque étendue qu'apporte la 5G, ainsi que les obligations de conformité des télécommunications qui évoluent rapidement.

En savoir plus
Cyberrésilience, plan stratégique de la CISA et preuve de segmentation Zero Trust
Cyber-résilience

Cyberrésilience, plan stratégique de la CISA et preuve de segmentation Zero Trust

For CISA, Zero Trust security is key to achieving its cybersecurity strategies and meeting its goals for Cyber Resilience.

En savoir plus
Aucun article n'a été trouvé.

Supposez Breach.
Minimisez l'impact.
Augmentez la résilience.

Vous souhaitez en savoir plus sur la segmentation Zero Trust ?

En savoir plus