Les enseignements tirés de trois cyberattaques récentes mettent en évidence la segmentation de la confiance zéro

Les récents incidents de cybersécurité, comme ceux qui ont touché MITRE, l'infrastructure énergétique danoise et la British Library, rappellent à quel point la segmentation du réseau est importante pour réduire l'impact des brèches et des attaques par ransomware.  

Chacune de ces attaques montre comment la segmentation zéro confiance (ZTS) peut contribuer à une défense proactive contre les mouvements latéraux et à un endiguement réactif des attaques lorsqu'elles se produisent inévitablement. Cela se reflète dans les rapports d'incidents et de réponses des trois attaques et s'aligne sur les conseils de la dernière fiche d'information de la NSA sur la cybersécurité en matière de sécurité des réseaux.  

Ce que nous ont appris trois cyberattaques récentes

Les nouvelles concernant les brèches et les attaques par ransomware ne devraient pas être une surprise. Les réseaux complexes et hyperconnectés d'aujourd'hui impliquent qu'il y aura toujours de nouvelles menaces et des failles de sécurité non découvertes. L'important est que les organisations soient préparées à limiter l'impact des attaques lorsqu'elles se produisent.

Ces trois brèches dignes d'intérêt constituent d'excellentes études de cas sur l'importance de la segmentation et le rôle essentiel qu'elle joue dans la préparation et la survie aux brèches.  

MITRE : la segmentation a stoppé les mouvements latéraux

Dans le paysage actuel des menaces, les brèches sont inévitables - et c'est vrai même pour des organisations comme MITRE qui sont connues pour leur solide cybersécurité. Cependant, MITRE était préparé à cette réalité en avril 2024 lorsqu'il a confirmé avoir subi une brèche dans ses réseaux de recherche et de prototypage.  

Selon le compte rendu de l'incident par MITRE, l'adversaire inconnu "a effectué une reconnaissance de nos réseaux, exploité l'un de nos réseaux privés virtuels (VPN) par le biais de deux vulnérabilités zero-day d'Ivanti Connect Secure, et contourné notre authentification multifactorielle en utilisant le détournement de session". La technologie d'identification de MITRE n'a pas suffi à empêcher l'attaque.  

Au contraire, l'endiguement rapide des brèches grâce aux politiques de segmentation a permis de stopper le mouvement latéral des attaquants, d'isoler les zones infectées et de limiter les dommages potentiels :  

"Nous avons isolé les systèmes et les segments du réseau affectés afin d'empêcher la propagation de l'attaque. Il ne suffisait pas de modifier les règles du pare-feu périphérique, car ce réseau était connecté à des laboratoires de toute l'entreprise, et un confinement efficace nécessitait de fermer l'infrastructure d'accès et d'isoler les systèmes périphériques dans un ensemble varié de laboratoires. Un inventaire précis du réseau était essentiel pour réaliser cette opération en temps voulu".

Il est également important de noter que les règles de pare-feu n'ont pas suffi à stopper les mouvements latéraux et à isoler la brèche. D'après leur rapport, la microsegmentation, qui fait partie de leur architecture de confiance zéro, était essentielle pour couper complètement la connectivité et la communication entre les systèmes infectés et ceux qui ne le sont pas.  

Bien que MITRE ait été victime d'une attaque, l'entreprise était prête à voir, contenir et atténuer rapidement l'impact de la violation. Une stratégie de confiance zéro avec une segmentation du réseau au cœur de cette stratégie a été la clé de leur réponse.

La British Library : La segmentation aurait permis de limiter les dégâts

En octobre 2023, la British Library a subi une attaque de ransomware au cours de laquelle près de 600 Go de données, y compris des données personnelles de ses utilisateurs et de son personnel, ont été copiées, exfiltrées et vendues sur le dark web. Lorsque la bibliothèque n'a pas accepté de payer la rançon, les attaquants ont également crypté les données et les systèmes et détruit certains serveurs, empêchant ainsi la récupération et la restauration des données.

L'attaque met en évidence la nature aveugle des acteurs de la menace d'aujourd'hui - même les organisations caritatives à but non lucratif comme la British Library ne peuvent pas supposer qu'elles sont à l'abri des attaques.

Dans son rapport de mars 2024 sur l'attaque, la Bibliothèque a reconnu que son architecture de sécurité, comprenant un mélange de systèmes modernes et anciens, ne permettait pas d'arrêter immédiatement les mouvements latéraux ou de contenir l'attaque.  

Le rapport indique qu'à l'avenir, la Bibliothèque doit mettre en œuvre de meilleures stratégies de cyber-résilience, y compris la segmentation du réseau : "Aucun périmètre ne peut être entièrement sécurisé. La segmentation du réseau est donc essentielle pour limiter les dommages causés par une attaque réussie. L'ancienne topologie du réseau de la bibliothèque a permis à l'attaque de causer plus de dégâts qu'elle n'aurait pu le faire avec un réseau moderne".

Énergie au Danemark : Un manque de visibilité et de segmentation a entraîné une perturbation généralisée

Une attaque coordonnée et bien planifiée a compromis 22 opérateurs énergétiques responsables de divers aspects de l'infrastructure énergétique danoise en mai 2023.  

D'après les informations fournies par SektorCERT, une organisation à but non lucratif qui gère un réseau de capteurs pour détecter, identifier et étudier les menaces pesant sur le système énergétique critique danois, de nombreux opérateurs membres ne disposaient pas d'une visibilité et d'une segmentation complètes de leurs réseaux.  

SektorCERT a réussi à détecter l'attaque avant qu'elle ne se propage, mais ses recherches ont révélé que de nombreux opérateurs membres ne connaissaient pas les vulnérabilités de leurs réseaux individuels - en particulier entre les systèmes informatiques et les systèmes OT - ou ne savaient pas que leurs réseaux avaient été attaqués. Grâce à une visibilité de bout en bout sur les dépendances des applications et le trafic des charges de travail, les opérateurs auraient pu détecter et combler les failles de sécurité qui ont permis à l'attaque de se propager dans leurs réseaux individuels et dans l'infrastructure énergétique nationale.

Les attaquants ont également utilisé une vulnérabilité exploitable à distance sur les pare-feu périmétriques des opérateurs comme point de départ de leur intrusion initiale. Bien que de nombreux opérateurs aient mis en place des pare-feu au périmètre du réseau, ils ne disposaient pas d'une segmentation efficace à l'intérieur du réseau. Cela a permis aux attaquants de se propager rapidement et discrètement dans le réseau après la brèche initiale. Le rapport indique spécifiquement que la segmentation est essentielle pour se préparer de manière proactive aux violations et pour répondre rapidement aux attaques actives.  

La segmentation zéro confiance est essentielle pour se préparer et répondre aux attaques.

Dans l'incertitude du paysage actuel des menaces, ces trois attaques mettent en évidence une leçon : le rôle essentiel de la segmentation zéro confiance (ZTS) dans le renforcement des cyberdéfenses. En fait, la nouvelle fiche d'information de la NSA sur la cybersécurité, intitulée Advancing Zero Trust Maturity Throughout the Network and Environment Pillar, reconnaît que le ZTS est un élément essentiel et fondamental de toute architecture de confiance zéro.

Se préparer de manière proactive aux attaques potentielles

Les approches traditionnelles de la cybersécurité, centrées sur les défenses périmétriques, ne suffisent plus à sécuriser les réseaux complexes et interconnectés d'aujourd'hui. Au lieu de supposer qu'il est possible de prévenir toutes les cyberattaques, ZTS part du principe que les violations sont inévitables.

En segmentant le réseau en zones plus petites et isolées et en appliquant des contrôles d'accès stricts, les entreprises peuvent minimiser la surface d'attaque et atténuer le risque de mouvement latéral par des acteurs malveillants. Cette approche proactive renforce non seulement la résistance aux cybermenaces, mais permet également aux organisations de limiter l'impact des incidents de sécurité lorsqu'ils se produisent.

Répondre rapidement aux attaques actives

Le ZTS garantit également la résilience face aux attaques actives. En cas d'incident de sécurité, les réseaux segmentés agissent comme des compartiments virtuels, contenant les dommages et les empêchant de se propager de manière incontrôlée. Ce mécanisme de confinement est particulièrement important dans les entreprises interconnectées d'aujourd'hui, où une seule brèche peut avoir des effets en cascade sur l'ensemble d'un réseau, voire sur plusieurs organisations.  

En limitant le rayon d'action des brèches potentielles et en empêchant les mouvements latéraux, le ZTS permet aux organisations de minimiser l'impact des incidents de sécurité et de maintenir la continuité opérationnelle.  

Contactez-nous pour savoir comment la plateforme de segmentation zéro confiance d'Illumio prépare votre organisation à se protéger de façon proactive et réactive contre la prochaine cyberattaque potentielle.