5 étapes pour lutter contre les logiciels malveillants grâce à la segmentation "zéro confiance

Les cyberattaques sont de plus en plus fréquentes et sophistiquées, mettant en péril la sécurité des organisations. Au cours de l'année écoulée, plus d'un tiers des entreprises dans le monde ont été victimes d'une attaque par ransomware ou d'une violation de données qui a bloqué l'accès aux données.

Selon une enquête menée par le cabinet d'études IDC auprès de plus de 500 professionnels de la sécurité, les entreprises ont indiqué que les logiciels malveillants avancés constituaient la cause la plus fréquente des atteintes à la sécurité.

Pour se protéger contre les menaces avancées, les organisations informatiques doivent réaliser divers investissements en matière de sécurité. Il s'agit notamment des produits de sécurité traditionnels, tels que les logiciels antivirus pour la détection des logiciels malveillants. Elles devraient également investir dans la formation des employés en matière de sécurité.

Mais il existe une autre étape cruciale : l'adoption d'une stratégie de segmentation "zéro confiance".

Pour segmenter le réseau, vous déployez des contrôles de stratégie de type "liste d'autorisation" sur les terminaux, n'autorisant que certains types de trafic nécessaires aux activités légitimes de l'entreprise. Cette approche reconnaît que les attaques sont inévitables. Dans une grande entreprise comptant des milliers, voire des centaines de milliers de points finaux, les logiciels malveillants finissent toujours par passer, quelque part, d'une manière ou d'une autre.

La meilleure défense consiste alors à empêcher les logiciels malveillants de se déplacer d'un point d'accès à l'autre - une technique connue sous le nom de "mouvement latéral".

Avec la segmentation Zero Trust appliquée aux terminaux, les logiciels malveillants et les ransomwares ne pourront pas se propager et causer des dommages matériels. Il ne s'agit pas de balayer l'entreprise, ni même un seul département. Au lieu de cela, il sera limité à un seul ordinateur portable.

Adopter une approche en cinq étapes pour renforcer la confiance zéro sur les terminaux

Dans un récent IDC Technology Spotlight, Michael Suby, responsable de la recherche en sécurité chez IDC, a recommandé le processus en cinq étapes suivant pour freiner la propagation des logiciels malveillants et des attaques de ransomware en adoptant une approche de confiance zéro ("liste d'autorisation").

Étape 1 : Visualiser les flux de trafic

L'objectif de la restriction du trafic des terminaux est d'empêcher les logiciels malveillants de se propager facilement sur le réseau. Pour gérer le trafic des terminaux, cette stratégie tire parti des pare-feu intégrés aux systèmes d'exploitation des hôtes.

En contrôlant ces pare-feu à l'aide d'un agent léger, les équipes informatiques peuvent restreindre l'accès aux données aux seuls accès nécessaires à l'activité de l'entreprise. En d'autres termes, ils peuvent permettre aux employés et à leurs terminaux d'accéder aux applications et aux données dont ils ont besoin, et de n'accéder à rien d'autre.

Pour déterminer l'accès dont les employés ont besoin, IDC indique que les organisations informatiques devraient surveiller les flux de trafic, de préférence pendant environ 30 jours, afin de tenir compte des fluctuations normales dans l'utilisation des applications et des données. La surveillance doit être complète et suivre les flux de données sur site, dans les sites distants, ainsi qu'en provenance et à destination de l'informatique dématérialisée.

Pour obtenir les meilleurs résultats, tirez parti des logiciels basés sur l'hôte et des rapports sur l'infrastructure du réseau, plutôt que d'essayer de surveiller l'ensemble du trafic sur tous les sites pour tous les appareils à partir d'un seul serveur.

Étape 2 : Regrouper les points d'extrémité

La création de politiques d'autorisation et d'interdiction du trafic peut rapidement devenir complexe. Pour simplifier ce travail, regroupez les points d'extrémité en fonction de leurs caractéristiques communes et élaborez des politiques de liste d'autorisation en conséquence. Les groupes de critères d'évaluation peuvent être les suivants

• Localisation (par exemple : bureau à New York, à distance, etc.)
• Type d'appareil (par exemple : ordinateur portable)
• Affiliation des employés (par exemple : départements, rôles, etc.)
• Heures d'ouverture (par exemple : heures normales de travail ou heures creuses)

En assignant des points d'extrémité à ces groupes, les administrateurs informatiques peuvent simplifier le travail de création et d'ajustement des politiques dans les étapes suivantes.

Étape 3 : Définir et tester les politiques de listes d'autorisation

L'étape suivante consiste à définir des politiques qui autorisent le trafic utilisant des ports, des adresses et des protocoles de réseau spécifiques à ceux qui sont nécessaires pour soutenir les activités quotidiennes de l'entreprise. Il est conseillé de commencer par les politiques les plus restrictives et de surveiller l'impact qu'elles auraient sur le trafic si elles étaient appliquées. En règle générale, il convient de limiter autant que possible la circulation afin d'offrir aux nuisibles le moins d'ouvertures possibles pour se déplacer.

Étape 4 : Appliquer les politiques de listes d'autorisation

L'étape suivante consiste à appliquer les règles de la liste d'autorisation, en n'autorisant que le trafic spécifiquement identifié par une règle. En théorie, cette étape pourrait exiger des administrateurs informatiques qu'ils élaborent à la main des règles de pare-feu complexes et qu'ils déploient chaque ensemble de règles sur les groupes de terminaux appropriés.

Mais avec une solution comme Illumio Edge et Illumio Core, les administrateurs n'ont pas besoin de rédiger ou de gérer directement les règles du pare-feu. Au lieu de cela, ils peuvent définir les politiques de liste d'autorisation qu'ils souhaitent, et Illumio traduit automatiquement ces politiques en règles de pare-feu détaillées qui sont faciles à déployer sur les points d'extrémité, ainsi que sur les charges de travail du centre de données et de l'informatique en nuage.

Étape 5 : Affiner les politiques de listes d'autorisation

La dernière étape de ce processus consiste à continuer à surveiller et à affiner les politiques de listes d'autorisation en fonction des besoins, en réduisant l'accès autant que possible sans jamais interférer avec les activités de l'entreprise.

Avantages de la segmentation zéro confiance pour lutter contre les logiciels malveillants

Les avantages de cette approche utilisant des solutions comme Illumio Edge et Illumio Core sont substantiels :

• Amélioration de la visibilité du trafic des points d'accès et des menaces potentielles.
• Réduction des dommages causés par les logiciels malveillants, les ransomwares et autres cyberattaques.
• Automatisation permettant de définir, de déployer et d'affiner rapidement et facilement les politiques de listes d'autorisations.
• Évolutivité adaptée aux plus grands réseaux d'entreprise.
• Intégration avec les systèmes SIEM et d'autres outils de sécurité informatique, afin que les politiques de listes d'autorisation puissent fonctionner dans le cadre d'une approche plus large et multicouche de la sécurité informatique.
   

Pour en savoir plus sur ces étapes et sur les recherches d'IDC, lisez le document IDC Technology Spotlight, Curb Malware Spread with Comprehensive Visibility and Allow-List Policy Control (Freiner la propagation des logiciels malveillants grâce à une visibilité complète et à un contrôle des politiques d'autorisation).