.png)
Comment utiliser la visibilité basée sur les risques pour la protection contre les ransomwares, la conformité et plus encore ?
Il n'y a qu'une seule certitude en ce qui concerne les ransomwares: ils peuvent frapper n'importe quelle organisation, qu'elle soit grande ou petite, qu'elle ait ou non des connaissances en matière de sécurité. Les attaques retentissantes se multiplient, alimentées par des logiciels clés en main pour les lancer, des paiements cryptographiques anonymes, une infrastructure de plus en plus numérisée et l'augmentation des environnements de travail à distance et hybrides.
Heureusement, il existe une stratégie efficace pour empêcher les ransomwares et autres logiciels malveillants de se propager dans un réseau : la segmentation. Avec la segmentation "zéro confiance", les éléments nuisibles peuvent s'infiltrer, mais ils ne peuvent pas se propager, ils ne peuvent pas causer de dommages et ils ne peuvent pas mettre les organisations sous attaque dans les nouvelles.
Comme pour toute stratégie de sécurité efficace, la segmentation commence par la visibilité. Plus précisément, la visibilité est basée sur une évaluation des risques.
Voici comment la visibilité basée sur le risque fonctionne pour aider les administrateurs de systèmes à cartographier les communications entre les applications, à évaluer les vulnérabilités et à déterminer comment ces vulnérabilités pourraient conduire à une exposition dans l'ensemble de l'environnement.
Le problème des environnements ouverts
Si la sécurité est une priorité absolue pour les centres de données, nombreux sont ceux qui n'accordent pas suffisamment d'attention aux murs à l'intérieur des sous-réseaux, des VLAN et des zones de réseau. En d'autres termes, même si les mesures de protection protègent contre les violations, il n'y a souvent pas beaucoup de segmentation pour contenir les incursions qui se produisent. Les environnements permettent à de nombreux systèmes d'entreprise de se connecter facilement les uns aux autres pour échanger des données et exécuter des opérations quotidiennes - jusqu'à ce qu'ils ne le fassent plus.
Le problème de ces grands environnements ouverts est que si un logiciel malveillant infecte une machine ou une zone, il peut se propager d'autant plus rapidement à l'ensemble de l'environnement en quelques secondes.
Un vecteur d'attaque courant est l'utilisation d'un utilisateur autorisé peu méfiant. Dans ce cas, un employé utilisant un ordinateur portable à son domicile clique sur un lien suspect. Le lien lance silencieusement en arrière-plan des logiciels malveillants que les outils de détection en place risquent de ne pas détecter. À partir de là, il tente de se propager à d'autres actifs.
Mais si aucun mouvement latéral n'est possible dans le réseau, les logiciels malveillants ne peuvent tout simplement pas se propager. Cela permet de gagner un temps précieux pour que la détection ou d'autres logiciels puissent fonctionner. L'utilisateur ou un professionnel de la sécurité dispose également de plus de temps pour remarquer une anomalie sur la machine infectée et prendre des mesures avant que d'autres biens ou données ne soient endommagés.
En bref, si vous vous accordez cette fenêtre de temps critique, cela peut faire toute la différence pour contenir les attaques de ransomware et d'autres logiciels malveillants. Vous pouvez isoler les attaques sur une machine à nettoyer au lieu d'avoir à gérer des dizaines, des centaines, voire des milliers de machines compromises, avec les conséquences que cela implique pour les opérations ou la réputation de l'entreprise. Tout commence par une visibilité basée sur les risques.
Les composantes de la visibilité basée sur le risque
La visibilité basée sur le risque consiste à identifier les systèmes et les applications qui sont vulnérables en raison de communications excessives ou inutiles, voire de flux de données non conformes.
C'est pourquoi la protection contre les ransomwares d'Illumio commence par la création de cartes de dépendance des applications. Ces cartes permettent aux administrateurs système de ne pas se contenter d'une simple liste d'adresses IP, mais d'avoir une vue d'ensemble de la topologie de l'application. Cela signifie que tout est bien organisé pour une meilleure visibilité, avec des relations clairement identifiées montrant comment les applications communiquent avec d'autres applications et à travers les réseaux.
D'une vue fine à une vue de haut niveau, les cartes de dépendances d'applications permettent aux administrateurs d'examiner un environnement entier, de haut en bas. Il s'agit notamment de la manière dont les protocoles individuels fonctionnent dans l'environnement de production ou de la manière dont un ensemble donné de flux de données fonctionne entre les environnements de développement et de production.
Illumio ajoute à cette visibilité des données sur les vulnérabilités. En intégrant les données relatives aux vulnérabilités et aux menaces aux flux de trafic en temps réel, vous obtenez un score de risque quantitatif pour une application ou chaque charge de travail d'application. Le score permet de comprendre facilement quelles applications se connectent à des ports vulnérables et quel est le niveau de risque global généré par les vulnérabilités. Ce contexte est inestimable pour réduire les risques dans votre environnement. Apportez des correctifs en fonction de la criticité ou mettez en œuvre des politiques de segmentation comme contrôle compensatoire.
Il est également essentiel de transmettre les bonnes informations aux bonnes personnes. En effet, une visibilité efficace basée sur les risques dépend de l'obtention par le personnel des informations dont il a besoin pour répondre aux questions de sécurité et de conformité qui le concernent. Cela est possible grâce à une source unique de vérité : la carte.
L'accès en temps réel aux bonnes visualisations réduit le risque opérationnel, car tout le monde peut se mettre d'accord sur ce qui est vrai. Un membre de l'équipe chargée de l'application doit-il avoir une vue d'ensemble de la topologie de l'application et des flux de données ? Ils peuvent désormais le faire. L'équipe chargée de la sécurité du réseau a-t-elle besoin de données sur la conformité ? Ils peuvent consulter leurs propres vues des mêmes données. Les membres des équipes d'exploitation du réseau et de DevOps peuvent également voir les informations dont ils ont besoin dans la même image. Et tout le monde sera d'accord pour dire que ce qu'ils voient est effectivement la façon dont fonctionne une application donnée.
Cette source unique de vérité améliore la collaboration. En outre, il épargne aux gens le temps et l'ennui inhérents aux projets de recherche sur des logiciels qui peuvent avoir été installés il y a une demi-décennie, afin qu'ils puissent se concentrer sur d'autres priorités à plus forte valeur ajoutée.
Tout cela contribue grandement à améliorer la sécurité, en jetant les bases pour contenir les ransomwares et autres logiciels malveillants par le biais de la segmentation.
Visibilité pour la conformité
Les avantages de la visibilité basée sur les risques ne se limitent pas à la lutte contre les logiciels malveillants. Il peut également aider à valider les limites de la conformité en permettant aux équipes d'identifier tout flux de données non conforme.
Par exemple, une visibilité complète peut révéler qu'une application collecte des données d'autres applications en contradiction avec des cadres réglementaires tels que la norme de sécurité des données de l'industrie des cartes de paiement(PCI-DSS), le cadre des contrôles de sécurité des clients SWIFT ou la loi sur la portabilité et la responsabilité de l'assurance maladie (HIPAA). C'est essentiel pour toute organisation opérant dans des secteurs réglementés, où ce qui est inclus et ce qui est exclu de la collecte et du traitement des données est très important.
Au-delà de la conformité réglementaire, la plupart des organisations ont des politiques en matière d'accès à distance. Par exemple, comme la plupart des employés d'une organisation n'ont pas besoin de tous les accès administratifs aux centres de données, ils bénéficient d'un accès restreint. Et dans les cas où ils ont besoin d'un accès complet, ils doivent souvent utiliser un hôte de saut pour contrôler la communication entre les serveurs distants et ceux du centre de données. Mais les hôtes de saut peuvent ralentir les utilisateurs impatients, ce qui les incite à les contourner.
Grâce à la visualisation, vous pouvez répondre à des questions cruciales sur les serveurs de saut, telles que : Les gens les utilisent-ils vraiment ? Ou bien avez-vous des administrateurs qui se croient suffisamment expérimentés pour contourner l'hôte de saut, légèrement plus lent, et se connecter directement aux applications ?
Si vous pouvez voir cette activité, vous savez ce qu'il faut faire pour renforcer les risques de sécurité.
Pour obtenir ce type de visibilité critique, il a souvent fallu recourir à un examen minutieux de tableaux de flux de données volumineux pour essayer de déterminer s'ils se trouvaient à l'intérieur ou à l'extérieur de certaines limites ou plages de réseau. Cette tâche fastidieuse et difficile a mis la visibilité globale, sans parler de la visibilité en temps réel, hors de portée de nombreuses organisations. En revanche, les visualisations qui montrent clairement les limites des zones de conformité vous donnent une idée précise des flux de données entrant et sortant des terminaux, des centres de données et des serveurs.
Ces visualisations permettent aux parties prenantes internes et externes de gagner beaucoup de temps et ouvrent la voie à des conversations simples entre les responsables et les auditeurs sur les limites et les contrôles de la conformité.
La visibilité, premier pas vers la sécurité
La visibilité est la première étape du contrôle de l'accès au centre de données et aux ressources en nuage. Elle vous donne les informations dont vous avez besoin pour renforcer les contrôles entre les utilisateurs, les applications et les serveurs, où qu'ils se trouvent.
En réalité, les rançongiciels sont un problème pour tout le monde. Mais avec l'aide d'une visibilité basée sur les risques, vous pouvez commencer à mettre en œuvre des stratégies préventives et réactives pour la contenir là où elle peut faire le moins de dégâts possible.
Pour en savoir plus :
- Lisez l'ebook, Comment stopper les attaques de ransomware.
- Découvrez la visibilité basée sur les risques en action lors du webinaire " Ransomware Happens. Nous l'empêchons de se propager : Comment obtenir une visibilité basée sur les risques.
