Comment la segmentation profite aux entreprises de RI et de récupération dans le cadre de la réponse aux incidents

Malgré des dépenses record en matière de sécurité, les atteintes à la sécurité restent monnaie courante. Dans son rapport 2022 sur le coût d'une violation de données, IBM a interrogé des centaines d'organisations qui avaient été victimes d'une violation, et 83 % d'entre elles ont révélé qu'elles avaient été victimes d'une violation plus d'une fois.

Si vous êtes victime d'une violation, l'un des premiers appels à passer est souvent celui de votre assureur cybernétique, qui paiera généralement une société d'investigation numérique et de réponse aux incidents (DFIR) ou une société de récupération pour mettre fin à l'attaque, prendre des mesures correctives et mener une enquête judiciaire.

Le défi pour ces entreprises est qu'on leur demande d'entrer dans des réseaux qu'elles ne connaissent pas, essentiellement à l'aveugle. Ils travaillent alors contre la montre pour limiter l'impact et les dommages causés à votre entreprise.

Votre assureur est également très soucieux de minimiser l'impact des violations, car plus une attaque se propage, plus le nombre d'appareils compromis augmente, ce qui signifie qu'il faut consacrer plus de temps et d'argent à la réparation de ces appareils. En conséquence, les primes d'assurance cybernétique ont augmenté en raison des pertes financières subies par les assureurs en raison du nombre croissant de paiements effectués à la suite de violations.‍

Pourquoi la segmentation "zéro confiance" est-elle efficace pour la réponse aux incidents ?

Illumio a prouvé l'efficacité de la segmentation zéro confiance (ZTS) dans le cadre d'engagements de réponse aux incidents pour l'endiguement et la récupération des brèches :

• Illumio ZTS vous aide à voir l'environnement, offrant une visibilité immédiate du réseau aux équipes de DFIR et de récupération qui se rendent dans des réseaux qu'elles n'ont jamais vus auparavant.
• Illumio ZTS ne touche pas au réseau physique du client, ce qui élimine la nécessité de créer des VLAN ou d'utiliser des pare-feu, un élément courant des missions de RI.
• Illumio ZTS arrête la propagation des brèches et améliore la vitesse de récupération en donnant la priorité aux fonctions commerciales les plus critiques du client, avant même que le processus d'enquête ou de récupération ne soit terminé - et même lorsque l'attaquant est encore dans l'environnement.

Les compagnies d'assurance ont été en première ligne pour répondre à l'augmentation des cyberattaques, et elles reconnaissent que la segmentation peut arrêter la propagation des logiciels malveillants en réduisant considérablement la surface d'attaque.‍

Comment la segmentation fonctionne-t-elle dans les engagements actifs et post-fraude ?

Dans une brèche active, Illumio est déployé en même temps que les outils EDR, augmentant ainsi le temps alloué à l'EDR pour détecter et remédier aux menaces. L'équipe d'Illumio IR gère le locataire au nom du DFIR ou du partenaire de récupération et utilise la segmentation pour restaurer les lignes d'affaires interrompues, arrêter la propagation de la brèche et séparer intelligemment le système infecté en temps réel.

Dans le cadre d'un engagement post-fraude, Illumio est déployé après l'engagement DFIR, et ici la segmentation est utilisée pour aider à la protection des applications critiques pour les exigences d'assurance ou les mesures d'urgence. L'équipe de RI d'Illumio peut également bloquer de façon proactive les vecteurs d'attaque courants contre les menaces futures.

Dans les deux cas, les partenaires d'Illumio ont accès 24 heures sur 24, 7 jours sur 7, aux experts d'Illumio qui ont une vaste expérience des brèches actives dans le monde réel, aux côtés des principales entreprises de détection et de récupération des fraudes. Parce que notre équipe est une extension de nos partenaires DFIR, nous nous assurons de comprendre leurs outils et leurs flux de travail alignés sur la façon dont ils abordent les violations en direct. Notre équipe crée des locataires Illumio qui sont entièrement personnalisés pour la gestion et les flux de travail des projets de RI et de récupération - et les locataires sont fournis sans frais à nos partenaires.‍

L'équipe de RI d'Illumio travaille sur les violations aux côtés de la DFIR et des sociétés de recouvrement.

Dans une brèche active, l'une des principales choses qu'Illumio ZTS peut faire à l'aide de la segmentation est de prévenir la réinfection en séparant les environnements compromis en bulles " propres " et " sales ".

L'environnement sale est segmenté de manière à n'inclure que les appareils infectés, qui sont confinés et essentiellement mis en quarantaine dans le cadre de tous les travaux d'intervention et de récupération, tout en permettant à l'entreprise de RI d'y accéder. Illumio met en place une bulle de " récupération " pour que l'entreprise de récupération puisse accéder aux données dont elle a besoin.

Illumio met ensuite en place une bulle "propre" dans laquelle tous les appareils propres et remédiés sont remis en ligne. Nous procédons ainsi pour que l'équipe de RI ou de récupération n'ait pas besoin de créer des VLAN ou des réseaux distincts avant de pouvoir commencer son travail.

Enfin, nous commençons à segmenter les applications commerciales critiques pour les remettre en ligne plus rapidement qu'avec les méthodes traditionnelles utilisant des outils hérités et la réarchitecture du réseau physique.‍

La segmentation modifie la façon dont la réponse aux incidents peut être effectuée

Dans de nombreux cas, vous ne pouvez pas rétablir les activités de l'entreprise tant que vous ne savez pas si l'attaquant est actif dans l'environnement. Cela signifie que vous devez souvent commencer par déployer l'EDR partout et obtenir un certificat de bonne santé - et seulement ensuite, vous pourrez aller de l'avant. Cela peut prendre un temps considérable lorsqu'une équipe travaille contre la montre.

Prenons l'exemple d'une entreprise manufacturière qui a été touchée par un ransomware qui a mis son atelier de production hors ligne. Ils ont besoin de produire des biens, mais ils n'en sont pas capables. L'équipe d'Illumio IR se rend dans la brèche active, segmente l'environnement compromis en bulles - même si l'attaquant y est toujours actif dans l'environnement - et aide à remettre l'environnement de production en ligne et à redonner l'accès au fabricant pour que les opérations reprennent, le travail d'enquête et de récupération se faisant en parallèle.‍

Le programme de partenariat de réponse aux incidents d'Illumio

Illumio est heureux d'annoncer son nouveau programme de partenariat pour la réponse aux incidents, conçu pour travailler avec les principales sociétés d'investigation et de récupération afin d'inclure ZTS dans les missions d'investigation et d'expertise judiciaire. Pour les clients qui subissent l'impact d'une atteinte à la sécurité, Illumio les aide à se rétablir plus rapidement en priorisant les mesures correctives pour que leur entreprise redevienne opérationnelle, et ce, beaucoup plus rapidement que par le passé.

Pour nos partenaires DFIR et de récupération, Illumio fournit une équipe de soutien expérimentée et sur demande, des locataires personnalisés en attente et un programme conçu pour intégrer la segmentation dans les flux de travail existants tout en garantissant une confidentialité totale dans tous les engagements.

Si vous souhaitez en savoir plus sur notre programme de partenariat de réponse aux incidents, veuillez contacter Ben Harel, responsable de la réponse aux incidents chez Illumio, à l'adresse [email protected].

Si vous souhaitez devenir un partenaire de réponse aux incidents, cliquez ici pour en savoir plus.