Crise russo-ukrainienne : comment atténuer les risques grâce à la segmentation

Le conflit en Ukraine oblige les organisations du monde entier à revoir leur modélisation des menaces et à réévaluer le risque cybernétique. L'avertissement lancé le 21 mars par le président Biden, selon lequel "le gouvernement russe explore des options pour des cyber-attaques potentielles" contre les infrastructures critiques des États-Unis, a suscité un regain d'activité dans les salles de conseil d'administration de tout le pays. Mais au-delà, qu'en est-il des organisations ayant des activités en Ukraine, en Russie ou au Belarus ?

Les clients d'Illumio qui se trouvent dans cette situation nous ont déjà demandé ce que nous pouvions faire pour empêcher les menaces de la région de se propager aux systèmes informatiques basés aux États-Unis et ailleurs. Nous entendons généralement deux groupes différents :

1. Les organisations multinationales implantées en Ukraine, en Russie ou au Belarus craignent que des acteurs malveillants ne compromettent leurs parcs informatiques dans ces régions. En tant que tels, ils pourraient donner aux attaquants l'occasion de se déplacer latéralement et d'infiltrer des réseaux plus proches de chez eux, d'une manière similaire au tristement célèbre virus informatique destructeur NotPetya qui s'est propagé à partir de l'Ukraine en 2017.
    
2. Même ceux qui ne sont pas présents dans la région s'inquiètent des répercussions possibles des sanctions occidentales contre la Russie, dont Poutine a déjà affirmé qu'elles s'apparentaient à un acte de conflit. Comme le souligne l'initiative "Shields Up" de la CISA et l'avertissement du président Biden, toutes les organisations aux États-Unis et dans les pays alliés doivent être prêtes à subir des attaques en représailles. C'est particulièrement vrai pour les secteurs d'infrastructures critiques tels que les services financiers, les soins de santé, les services publics et l'énergie.

Heureusement, la visibilité granulaire du réseau et les capacités de segmentation d' Illumio forment un formidable ensemble d'outils pour protéger les organisations contre les cyberattaques.

Comment la segmentation d'Illumio peut vous aider

Illumio peut aider ses clients dans les deux cas. Pour ceux qui possèdent des actifs et des réseaux dans des pays à haut risque tels que l'Ukraine, la Russie et le Belarus, il existe trois moyens de protéger vos actifs numériques :

1. Illumio offre une riche visibilité basée sur les risques et une cartographie des dépendances applicatives pour mettre en évidence toute connexion dangereuse, jusqu'au niveau de la charge de travail individuelle. Avant même de décider de bloquer le trafic en provenance d'Europe de l'Est, les clients peuvent se faire une idée précise des interactions entre les actifs en Ukraine, en Russie et au Belarus et le reste de l'organisation.
   
   Ils peuvent repérer de nouveaux flux de trafic jamais vus auparavant ou des augmentations significatives du volume de données envoyées par ces actifs, par exemple. Ces informations peuvent ensuite être intégrées dans les programmes de détection et de réponse aux menaces et des mesures d'atténuation peuvent être appliquées.
    
2. Si Illumio est déployé à l'extérieur de ces pays et que l'organisation connaît les adresses IP utilisées en Ukraine, en Russie et en Biélorussie, l'atténuation du cyberrisque est assez simple. En quelques minutes, vous pouvez mettre en œuvre une politique dans Illumio qui bloque le trafic en provenance et à destination de ces réseaux. Il est également facile d'écrire des exceptions pour s'assurer que vous avez un accès médico-légal à ces systèmes.
   
   Cela est possible grâce aux limites d'application d'Illumio, qui permettent aux organisations de créer rapidement et facilement un périmètre de protection autour de n'importe quel port, charge de travail, groupe de charges de travail ou plage IP. Il peut être réalisé en quelques minutes et appliqué à grande échelle pour créer efficacement des règles de "liste d'autorisation" avec un minimum de tracas.
    
3. Si Illumio est déployé sur tous les actifs, y compris ceux basés en Ukraine, en Russie et en Biélorussie, les clients peuvent obtenir la même capacité de blocage en utilisant des étiquettes. Il suffit de rédiger une politique qui stipule : "Si des actifs sont situés dans ces pays, bloquez ce trafic." Il s'agit également d'une action facile et rapide qui ne prend que quelques minutes à mettre en place.

Protection grâce à la microsegmentation

Pour les organisations qui ne sont pas directement exposées au conflit en Ukraine mais qui s'inquiètent de ses répercussions potentielles, le moment est venu de penser à mettre à jour les politiques de sécurité.

Pour comprendre l'exposition au risque, il est important non seulement d'avoir une visibilité au niveau du périmètre, mais aussi de savoir ce qui se passe à l'intérieur de votre infrastructure numérique hybride. Après tout, il est plus facile que jamais pour des attaquants déterminés de franchir le périmètre d'un réseau en recourant au phishing, à des informations d'identification compromises et à d'autres techniques.

En appliquant les bonnes restrictions, les équipes de sécurité peuvent limiter les flux de trafic suspects afin de bloquer les mouvements latéraux et d'interrompre les appels de commande et de contrôle des attaquants. Il peut s'agir de bloquer les ports des services couramment utilisés par les rançongiciels, tels que RDP, SMB et SSH. Il peut aussi être plus fin pour protéger les applications et les actifs de grande valeur.

Vous pouvez également définir des règles pour isoler les infrastructures informatiques critiques telles que les DNS, les systèmes d'authentification et Active Directory.

Les organisations qui n'ont pas d'actifs en Ukraine, en Russie ou au Belarus ne disposeront pas d'adresses IP spécifiques qu'elles pourront utiliser pour bloquer le trafic. En s'appuyant sur les informations relatives aux menaces, ils pourraient renforcer le blocage global de toutes les adresses IP malveillantes au niveau du périmètre par un blocage plus ciblé dans le cadre de leurs politiques de segmentation, ce qui permettrait de mettre en place plusieurs niveaux de défense.

La nécessité d'actualiser les stratégies de gestion des risques est devenue plus urgente, non seulement en raison de la possibilité pour la Russie de déclencher un barrage d'attaques destructrices, mais aussi du point de vue de la conformité. Le gouvernement fédéral américain, par exemple, a récemment imposé aux opérateurs d'infrastructures critiques de divulguer les cyber-attaques dans les 72 heures.

Vous voulez en savoir plus sur la façon dont les capacités de segmentation d'Illumio peuvent vous aider à mettre en place une meilleure défense en profondeur pour protéger votre organisation contre les cybermenaces croissantes d'aujourd'hui ? Contactez-nous dès aujourd'hui.