Vous vous préparez à des exploits Zero-Day comme MOVEit ? Bénéficiez d'une visibilité sur les applications

Plus tôt cette année, des milliers d'organisations ont été touchées par ce qui est considéré comme le les plus grands hacks de l'année grâce à l'exploitation de l'outil de transfert MOVEit de Progress Software.

La violation a eu un impact sur des organisations du monde entier, dont plus de 60 millions de personnes, et ces chiffres devraient continuer à augmenter. En fait, pas plus tard que la semaine dernière, une autre organisation américaine a annoncé que l'attaque avait touché 55 de ses cabinets de santé dans plus de 20 États. Les acteurs de la menace ont compromis des informations sensibles sur les patients, telles que les numéros de sécurité sociale, les dates de naissance et les dossiers médicaux.

Il est juste de dire que les dégâts ont été considérables et ont touché tous les marchés verticaux du monde entier, et le groupe de rançongiciels CLOP en est au cœur. Avec une estimation 100 millions de dollars de revenus pour le groupe, il est facile de comprendre pourquoi ces menaces continuent de se produire.

Dans cet article, j'expliquerai pourquoi une visibilité complète des applications est essentielle pour se préparer à exploits zero-day comme MOVEit et comment Illumio peut vous aider.

Les mesures de sécurité proactives permettent de gagner du temps lors d'une attaque

Dans un post précédent de mon collègue Raghu Nandakumara sur les attaques MOVEit, il a fourni des leçons et des recommandations sur les retombées de cette violation. L'une de ces recommandations était de mettre en place les bases correctement, notamment en appliquant régulièrement des correctifs et en limitant l'accès. Il va sans dire que ces bonnes pratiques doivent être respectées.

Mais qu'en est-il lorsqu'aucun patch n'est prêt ?

Votre devise devient le temps, et ceux qui se sont préparés à ces scénarios se retrouveront avec des poches plus importantes ou, dans cet exemple, plus de temps. Une architecture résiliente axée sur la visibilité permettra d'accélérer les temps de réponse et de fournir la monnaie requise pour réduire l'impact.

La préparation et la correction des attaques nécessitent une visibilité complète des applications

Les exploits zero-day tels que MOVEit sont inévitables en cette ère technologique moderne. La façon dont vous vous préparez à faire face à ces événements est essentielle pour rester résilient et garantir la protection de vos données.

UNE État d'esprit Zero Trust devrait désormais être considérée comme obligatoire et, par conséquent, tous les flux d'applications devraient être compris et évalués.

Les mesures correctives ne peuvent être mises en œuvre avec succès que si l'empreinte réelle d'une attaque est connue. Cela conduit peut-être à la recommandation la plus critique de Raghu : La visibilité est essentielle.

3 manières dont Illumio fournit de la visibilité pour se préparer aux exploits de type « zero-day »

L'interruption du commerce et des opérations provoquée par la faille MOVEit démontre l'extrême importance de la visibilité des applications au sein de notre entreprise.

Voici trois manières dont Illumio vous permet d'obtenir facilement une visibilité complète. Vous pouvez être sûr que MOVEit ou une attaque similaire constituera un incident de sécurité mineur plutôt qu'une catastrophe pour votre organisation.

1. Identifiez les risques de sécurité grâce au mappage des dépendances des applications

L'utilisation d'un langage d'application pour identifier et classer vos risques permet de redonner le contrôle à l'entreprise. Les exploits se produisent au moment de la charge de travail lors d'attaques telles que MOVEit, ce qui rend la visibilité particulièrement importante.

Le découplage de votre sécurité du réseau et son ancrage à la cible fournissent aux équipes de sécurité les informations nécessaires pour réduire l'impact de ces graves violations. C'est là que le modèle d'étiquetage d'Illumio aide les organisations à visualiser leurs risques et à renforcer leur résilience.

Des outils tels que MOVEit peuvent être essentiels à la chaîne d'approvisionnement de votre organisation. Qu'ils soient utilisés via des services cloud ou déployés sur site, Carte de visibilité basée sur les risques d'Illumio fournit un aperçu de l'empreinte de ces types d'applications, permettant à l'entreprise de comprendre son exposition et d'éliminer les angles morts.

Après tout, vous ne pouvez pas sécuriser ce que vous ne pouvez pas voir.

Obtenez une démonstration rapide de Carte des dépendances des applications d'Illumio ci-dessous :

2. Comprenez rapidement les flux de communication en temps réel grâce à un étiquetage centré sur l'application

La visibilité centrée sur les applications signifie que vous pouvez rapidement interroger votre environnement pour visualiser le risque à l'aide de l'étiquetage centré sur les applications d'Illumio. Ces informations permettent aux équipes de sécurité et d'IR de coordonner les mesures d'atténuation, de réduire l'exposition et d'accélérer la vitesse de reprise.

Dans l'exemple ci-dessous de l'étiquetage centré sur les applications d'Illumio, une simple requête correspondant à l'étiquette de l'application Finance en tant que Source et à l'étiquette MOVEit Gateway en tant que Destination affiche les flux en temps réel.

3. Réagissez aux risques de sécurité grâce à un modèle de politique dynamique de segmentation Zero Trust

L'exploitation des étiquettes d'Illumio permet ensuite de mieux comprendre quelles applications et quels environnements consomment ces flux.

Grâce à ces informations, les équipes de sécurité peuvent prendre les mesures appropriées sur les ressources les plus risquées en utilisant le modèle de politique dynamique d'Illumio pour isoler ou mettre en quarantaine les hôtes infectés. Cela garantit que les autres actifs ne sont pas compromis.

Dans l'exemple ci-dessous, Illumio Zero Trust Segmentation bloque le flux en amont de la passerelle MOVEIT.

En cas de violation active, Illumio est utilisé en parallèle aux outils de détection et de réponse, tirant parti de la visibilité et de la segmentation pour isoler les actifs infectés et restaurer les secteurs d'activité perturbés.

Une fois intégrées à votre infrastructure de sécurité, ces tâches peuvent être automatisées via des runbooks pour exécuter une série de conditions afin de réduire l'impact et d'accélérer le processus de réponse global, même si l'attaquant est toujours présent.

Quel est l'avenir de MOVEit ? Préparez-vous de manière proactive grâce à la visibilité

Fin septembre 2023, d'autres CVE (vulnérabilités et exploits courants) ont été découverts dans les modules WS_FTP de Progress Software. Ces nouvelles découvertes nécessitent des mesures correctives immédiates, car plusieurs sont critiques.

Un cadre de sécurité robuste nécessite une approche intégrée. La superposition des cartes de vulnérabilité d'Illumio améliore la visibilité basée sur les risques afin d'afficher les voies potentielles que les attaquants peuvent exploiter. L'intégration de la gestion des vulnérabilités permet aux équipes de sécurité d'appliquer des politiques de segmentation pour contrôler l'impact et fournir des informations exploitables lors de la restauration.

L'analyse post-violation peut ensuite être réalisée une fois que la criminalistique est comprise, et la segmentation est ensuite utilisée pour renforcer davantage les applications critiques.

Il est important de noter que les recommandations de cet article sont conformes à Le modèle de maturité Zero Trust de la CISA. En fait, ils vont au-delà des contrôles traditionnels et initiaux recommandés pour s'aligner sur les principes avancés et optimaux. L'adoption de ces contrôles n'a jamais été aussi simple avec Illumio Zero Trust Segmentation.

Vous souhaitez en savoir plus sur la visibilité de bout en bout des applications ? Contactez-nous dès aujourd'hui pour une consultation et une démonstration gratuites.