Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Segmentation sans confiance

Brèche dans le système SolarWinds : Un changement de paradigme vers la confiance zéro

Raghu Nandakumara
Vice President, Industry Strategy
Illumio Editorial
Janvier 19, 2021
23 min. lire

La compromission de SolarWinds et ses retombées actuelles ont mis en évidence la difficulté de contrôler et de valider chaque point de contact d'une entreprise avec ses dépendances externes (qu'il s'agisse d'un fournisseur, d'un client ou d'un partenaire) et soulignent le vieil adage selon lequel "une chaîne n'est aussi solide que son maillon le plus faible".

La violation de Target au début des années 2010 et les attaques plus récentes dites "Cloud Hopper" ont déjà mis en évidence les risques associés aux chaînes d'approvisionnement, en particulier lorsque les membres de cette chaîne ont une forme d'accès direct à votre réseau (c'est-à-dire des relations avec des tiers qui requièrent un accès au réseau). La reconnaissance de ce risque a donc conduit à mettre davantage l'accent sur les contrôles de sécurité mis en place au niveau de ces points de contact du réseau. Lorsqu'ils sont correctement mis en œuvre, ces contrôles permettent de comprendre clairement où se trouvent ces points de contact, ce à quoi ils permettent d'accéder, le niveau d'accès et la manière dont cet accès est contrôlé. Du point de vue de la détection et de la réaction, il peut fournir un ensemble plus évident d'indicateurs à surveiller grâce à ces informations "a priori".

Tout d'abord, la compromission de SolarWinds est déconcertante parce qu'elle a attaqué un point de notre chaîne d'approvisionnement technologique auquel nous nous attendions le moins (c'est-à-dire une mise à jour signée par un fournisseur de logiciels en qui nous avons confiance). Et pourtant, il s'agit d'une situation que nous reconnaîtrons tous comme étant "parfaite" en raison de l'opportunité qu'elle a offerte aux attaquants de la porte dérobée.

Nous pouvons affirmer que la probabilité de réussite d'une attaque est fonction des informations d'identification disponibles, de l'accès au réseau utilisable et des vulnérabilités exploitables. Dans ce cas, la compromission d'un système disposant d'un accès étendu au réseau et d'un accès hautement privilégié aux systèmes et aux services d'annuaire figurerait en bonne place sur la liste des souhaits d'un acteur malveillant. La plateforme Orion offre précisément cette possibilité.

La manière dont les attaquants ont réussi à compromettre le processus de validation et de construction du code de SolarWinds fait toujours l'objet d'une enquête, et il ne fait aucun doute que toutes les organisations qui effectuent leur propre développement seront très intéressées par la manière dont elles peuvent atténuer les mêmes risques.

Ce qui nous préoccupe aujourd'hui, c'est de savoir quelle est l'exposition latente qui continue à se manifester, car elle n'est pas encore révélée. Le niveau et l'étendue des accès disponibles font qu'il est difficile d'évaluer réellement où les attaquants ont pu se rendre et se cacher. Nous savons que l'utilisation de la mise à jour d'Orion visait uniquement à établir une tête de pont (très visible) dans les organisations cibles, ce qui n'était ni le trophée final ni une nécessité pour la persistance de la présence ou de l'accès.

Dans ces conditions, l'accent est mis sur la détection et la réaction continues. À cet égard, nous avons tous un rôle essentiel à jouer. La découverte de cette attaque à grande échelle a été possible parce qu'un fournisseur expérimenté de réponse aux incidents et de cybersécurité (FireEye / Mandiant) a également été compromis. Ils ont toutefois été les premiers sur la liste des victimes à détecter le vol de données après la violation, à le divulguer publiquement et à mettre en place des contre-mesures initiales. C'est peut-être l'un des points positifs de cet épisode.

Les fournisseurs de solutions de sécurité doivent déterminer, de toute urgence, comment les solutions qu'ils proposent peuvent être utilisées au mieux pour détecter et limiter (ou au moins retarder) la propagation de l'attaque.
  • Disposons-nous de données télémétriques que les équipes bleues peuvent utiliser efficacement pour dresser un tableau plus précis de l'activité au sein d'une organisation, fournissant ainsi des indicateurs plus clairs en cas de compromission ?
  • Existe-t-il des politiques qui peuvent être appliquées rapidement pour limiter les mouvements latéraux ?
  • Nos solutions technologiques peuvent-elles mettre en évidence - et éventuellement atténuer - le risque qu'une application crée pour une organisation, que ce soit par la quantité de connectivité, l'utilisation d'un accès privilégié ou le nombre de vulnérabilités sur les charges de travail ?
  • Pouvons-nous identifier rapidement l'utilisation d'informations d'identification compromises et empêcher tout accès ultérieur ?
  • Existe-t-il des corrélations faciles à établir entre plusieurs solutions de sécurité qui permettraient d'identifier les TTP connues et nouvelles ?
Et qu'en est-il des organisations cibles potentielles : que doivent-elles faire ? Aujourd'hui, plus que jamais, il est essentiel de comprendre le risque cybernétique associé à chaque actif.
  • Peuvent-ils identifier rapidement leurs ressources les plus critiques ?
  • Dans quelle mesure comprennent-ils le modèle d'accès à ces ressources ?
  • Peuvent-ils contrôler les communications sortantes à destination et en provenance de ces serveurs/charges de travail ? Les communications sortantes devraient-elles même exister pour commencer ?
  • Le contrôle est-il adéquat à chaque niveau (par exemple, dispositif de l'utilisateur final, réseau, gestion des identités et des accès, application, etc.
  • Les politiques d'accès peuvent-elles être renforcées pour se rapprocher de la confiance zéro/du moindre privilège ?
  • Les pratiques de développement de logiciels sécurisés seront-elles réexaminées pour s'assurer qu'elles sont aussi solides que possible ?

Le tristement célèbre paradigme de la "doctrine du choc" suggère que pour imposer un changement transformateur à un système, il faut que l'ensemble du système soit choqué et prenne conscience de la nécessité d'un tel changement. Alors que l'accent sera mis à juste titre sur la sécurité des chaînes d'approvisionnement et sur les risques qui y sont associés, je pense que la véritable métamorphose doit être la suivante :

Les fournisseurs de technologie doivent être en mesure d'expliquer à leurs clients comment les solutions existantes qu'ils proposent peuvent être utilisées pour soutenir les fonctions de détection et de réaction.

Les clients (c'est-à-dire les organisations) doivent se concentrer sur :

  • Identifier leurs actifs les plus critiques.
  • surveiller activement ces actifs à l'aide de divers capteurs afin d'identifier les indicateurs de tactiques malveillantes.
  • Comprendre le modèle d'accès à ces actifs et appliquer des politiques de moindre privilège pour les protéger.
     

À bien des égards, l'opportunité présentée ici est en fait le paradigme de départ de la confiance zéro: "Assumez la violation - et faites en sorte qu'il soit très difficile de se faire posséder.

Sujets connexes

No items found.

Articles connexes

Les 5 meilleurs conseils sur la confiance zéro de Vishal Salvi, RSSI d'Infosys
Segmentation sans confiance

Les 5 meilleurs conseils sur la confiance zéro de Vishal Salvi, RSSI d'Infosys

Découvrez comment un travail cohérent et "ennuyeux" permet d'obtenir un retour sur investissement important en matière de sécurité pour Zero Trust, grâce à Vishal Salvi, CISO d'Infosys.

Read more
Guide de l'architecte pour le déploiement de la microsegmentation : Gérer la relation avec les fournisseurs et l'intégration opérationnelle
Segmentation sans confiance

Guide de l'architecte pour le déploiement de la microsegmentation : Gérer la relation avec les fournisseurs et l'intégration opérationnelle

Le passage de la segmentation traditionnelle du réseau (comme les pare-feu) à la micro-segmentation nécessite un effort orchestré mené par des architectes ou des chefs de projet.

Read more
Comment le parcours de Carlos Buenano, directeur technique d'Armis, en matière de sécurité OT, a abouti à la confiance zéro
Segmentation sans confiance

Comment le parcours de Carlos Buenano, directeur technique d'Armis, en matière de sécurité OT, a abouti à la confiance zéro

Découvrez le parcours de Buenano dans le domaine de la sécurité des technologies de l'information, le rôle essentiel que jouent les principes de la confiance zéro dans la protection des environnements industriels et les défis à relever pour y parvenir.

Read more
No items found.

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

Learn more