Expert Blog

Établir le cadre de cybersécurité "Zero Trust"

Agir comme un RSSI pour prévenir les menaces dans le monde moderne

Avec la disparition du périmètre réseau, les données transitant alors dans le datacenter ou par l’appareil mobile d'un utilisateur, il devient de plus en plus difficile pour les entreprises de sécuriser leurs ressources critiques.

Les cyberattaques, outre qu'elles sont plus sophistiquées, et donc plus difficiles à détecter et à atténuer, sont passées d'incidents isolés à des incidents plus organisés et plus complets.

Les attaques suggérant un soutien après-vente et un succès garanti ou une option de remboursement constituent une tâche décourageante pour les organisations qui s'apprêtent à se défendre contre elles.

La tâche d'un RSSI n’a jamais été aussi ardue que maintenant.

Peut-on répondre à ce défi en disposant de la meilleure solution de sécurité du marché?

Selon une étude du cabinet Gartner, d'ici 2020 99 % des intrusions dans les pare-feux seront causées par de simples erreurs de configuration de pare-feu, et non par des failles.

Il devient urgent de trouver un cadre de mise en œuvre des meilleures solutions de sécurité pour détecter et atténuer les attaques et les intrusions de façon plus rapide, mais également la bonne expertise pour concevoir, déployer, tester et évaluer régulièrement l’efficacité d'une telle solution.

Quel choix feriez-vous : remédiation après une violation de la sécurité ou inspection continue pour vérifier la résilience du dispositif de cybersécurité de votre entreprise ?

Étudions de plus près ces aspects afin de vous aider à trouver les réponses.

Établir le cadre de cybersécurité "Zero Trust"

Le principe de “Zero Trust” offre le cadre de sécurité le plus complet de ces dernières années. Son point essentiel réside dans la simplicité : un blocage par défaut pour tous les flux et le concept d'accès minimal.

Pour appliquer efficacement la notion de "Zero Trust" dans votre écosystème, voici ce qu’elle implique:

Visibilité complète au niveau PÉRIMÈTRE, RÉSEAU, ENDPOINT, DATACENTER, CLOUD et environnement SAAS

Plus de 60 % du trafic dans les entreprises de toutes tailles est basé sur le web et codé. Il véhicule également des anomalies de toutes sortes : logiciels malveillants, logiciels de rançonnage, chevaux de Troie, logiciels espions, etc.

Intégrer l'inspection SSL pour le trafic Internet sortant (c'est-à-dire des utilisateurs vers l'Internet) et le trafic entrant pour les serveurs hébergeant des services applicatifs critiques est la clé pour obtenir un contrôle total sur les flux applicatifs, rendu possible par la vue directe du trafic applicatif sous la couche cryptée.

Réduire la surface d’attaque, en offrant la portée la plus large et garantissant une discipline de sécurité rigoureuse

Réduire la surface d’attaque à l’aide d'un modèle de sécurité affirmatif du type “qui a besoin d’un accès, à quelles ressources, comment et pour quel usage?” Bloquer toute activité malveillante connue. Désactiver les signatures IPS pour améliorer les performances du pare-feu pourrait s'avérer coûteux en bout de ligne. Éviter toute confiance implicite entre tous les hôtes dans une zone TRUST ou DMZ.
Ce n’est pas parce que la zone logique se nomme TRUST qu'il faut faire confiance à tous les hôtes qui s’y trouvent.

Un hôte infecté dans un réseau peut infecter les autres en un rien de temps.

Segmentation interne - sans segmentation du réseau, le mouvement latéral pour les anomalies est un jeu d'enfant - sans entrave et sans détection, aussi bien pour les attaquants avec accès à distance dans votre réseau que pour les attaques automatisées (i.e. NotPetya, BadRabbit).

Combiner la mise en œuvre d'une politique de pare-feu avec le filtrage pare-feu basé sur l’identité, l’authentification multi-facteurs, le blocage de fichier et la catégorisation d’URL à l’aide d'un moteur Cloud - tous contribuent à réduire efficacement la surface d’attaque. L’automatisation est le seul moyen possible de faire face au volume et à la complexité des attaques et de surmonter la pénurie de compétences.

Enregistrement extensif, pas seulement le blocage. Toutes les entrées doivent être enregistrées. Ceci est crucial pour l'intervention en cas d'incident, la chasse aux menaces, le renseignement sur les menaces, le machine learning et d'autres activités.

Les données sont largement considérées comme le bien le plus précieux. D’énormes quantités de données sont nécessaires pour créer des modèles de Machine Learning et d’intelligence artificielle permettant de détecter toute activité malveillante. Stocker et analyser les données en interne ne suffit pas. Avec d’énormes quantités de données de grande qualité et le machine learning appliqué à l’analyse comportementale, nous pouvons faire face à nos adversaires.

Prévenir les attaques connues

Presque tous les fournisseurs de services de sécurité de nouvelle génération maintiennent entre eux un énorme pool commun d'informations sur les menaces. Il comprend des extraits et exemples d’attaques qui ont eu lieu et ont été signalées par d’autres clients. Les fournisseurs de services de sécurité peuvent ainsi renforcer leur défense et créer des signatures opportunes pour détecter et bloquer de telles anomalies, peu de temps après que le « patient zéro » ait été signalé.

Disposer d'une connectivité transparente de tous les capteurs de votre écosystème - pare-feu réseau, protection des endpoints clients, SaaS et capteurs de sécurité Cloud - jusqu’aux points de répartition des signatures est la clé pour détecter et réagir face à ces anomalies connues.

Les attaquants ciblent souvent les vulnérabilités connues qui existent dans les systèmes de sécurité endpoint. Avoir une posture détaillée de la machine de l'utilisateur est absolument impératif. C’est une pratique essentielle pour autoriser l’accès à des ressources critiques aux utilisateurs dont les endpoints respectent les directives de sécurité de l’organisation.

Bien entendu, le cadre de sécurité informatique en place doit être rigoureux et la sensibilité à la cybersécurité est primordiale!

Prévenir les attaques inconnues

Détection, atténuation et distribution du système de protection « jour zéro » pour les anomalies complètement nouvelles : logiciels malveillants et autres formes de menaces.

Les environnements sandbox sous différents facteurs de forme (sur site, en cloud ou hébergé en tant que service SaaS) destinés à traquer les attaques « jour zéro » apportent une solution à ce problème complexe.

Les menaces persistantes avancées justifient une méthodologie de détection comportementale : au lieu d'identifier le logiciel malveillant en fonction de ce qu'il est (basé sur la signature), la détection comportementale du logiciel malveillant repose sur ce qu’il est susceptible de faire. Des environnements sandbox exécutent ce programme présentant des anomalies, observent son comportement, puis l’analysent de manière automatisée.

Sandbox et modèles alimentés par le machine learning

La sandbox bloque tout programme malveillant d’après son comportement, avant qu'il n’atteigne les endpoints. De nos jours, la plupart des sandbox intègrent un environnement d’exécution virtuel pour effectuer une inspection détaillée des programmes en utilisant plusieurs méthodes de détection, dont l’analyse comportementale, l'introspection basée sur la mémoire et des modèles d’extrapolation alimentés par le machine learning.

Cette approche est plus concrète et plus efficace que la comparaison des signatures de fichiers. Le sandboxing inspecte de près ce que fait le fichier ; il est donc beaucoup plus concluant pour déterminer si le fichier est malveillant que la technique de détection basée sur la signature. Il arrive souvent que des logiciels malveillants très sophistiqués passent inaperçus dans un environnement sandbox virtuel.

D'où la nécessité d'un environnement de sandboxing qui utilise également l'analyse comportementale dynamique et le déballage dynamique pour faire exploser les fichiers suspects dans une variété d’environnements logiciels et bare metal.

Une fois le logiciel malveillant détecté, la signature est créée puis distribuée à tous les points enregistrés dans l’écosystème du client (pare-feux et systèmes de sécurité endpoint).

Choisir des produits de cybersécurité nouvelle génération

Contre toute attente, acheter dans le commerce ce qui se fait de mieux en matière de produits de sécurité peut s’avérer contreproductif.

Il est préférable de s’orienter vers une solution qui propose de combiner plusieurs capteurs de sécurité couvrant les environnements réseau, endpoint, cloud et SaaS avec SIEM et le Machine Learning pour garantir une posture complètement sécurisée à votre entreprise.

Kunal Biswas - 14 mars 2019

Partagez cette page :