.png)
Pourquoi les cyber-catastrophes se produisent-elles encore - et comment y remédier ?
Historiquement, la cybersécurité dans les secteurs public et privé a suivi un thème constant : la prévention et la détection.
Le problème ? La prévention et la détection ne suffisent pas. Des violations se produisent encore.
Après des décennies de tentatives de prévention et de détection des attaques directes par des adversaires - et d'échecs - il est temps de se concentrer sur l'endiguement. Qu'Einstein l'ait réellement dit ou non, le truisme est toujours d'actualité : La définition de la folie est de faire la même chose encore et encore et de s'attendre à des résultats différents.
Les méthodes de sécurité traditionnelles ne suffisent pas pour lutter contre les adversaires modernes
La plupart des efforts des équipes de sécurité se sont concentrés sur l'empêchement des menaces de pénétrer dans le centre de données ou le nuage.
Le périmètre nord-sud, la frontière entre l'extérieur non sécurisé et l'intérieur sécurisé, est l'endroit où la majorité des outils de sécurité ont été placés. C'est là que sont déployés les pare-feu de nouvelle génération, les scanners antivirus, les proxies et autres outils de sécurité qui tentent d'inspecter tout le trafic entrant pour s'assurer que rien de mauvais ne passe au travers.
Cependant, dans toutes les grandes brèches de sécurité de ces dernières années, au moins un de ces outils a été déployé et la plupart d'entre eux étaient conformes aux exigences de sécurité. Pourtant, des adversaires ont réussi à pénétrer dans le réseau.
Une fois à l'intérieur du réseau, tous les adversaires ont une chose en commun : ils aiment se déplacer. Ils se propagent latéralement, d'est en ouest, se déplaçant d'un hôte à l'autre à la recherche de la cible visée pour l'exfiltration des données.
Bon nombre de ces brèches ont été découvertes bien après qu'elles se soient introduites dans le réseau, parfois des mois plus tard. Même si l'on est passé de la prévention à la détection, les outils d'aujourd'hui ne font pas le poids face aux adversaires modernes qui sont très doués pour éviter la détection jusqu'à ce que le mal soit fait.
Une fois compromis, la plupart des réseaux sont largement ouverts à la propagation d'est en ouest.
Une approche traditionnelle de la cybersécurité définit tout ce qui se trouve à l'extérieur du périmètre comme non fiable et tout ce qui se trouve à l'intérieur du périmètre comme fiable. Il en résulte qu'il n'y a souvent que très peu de moyens d'empêcher les adversaires de se propager latéralement une fois qu'ils sont à l'intérieur du noyau de confiance.
La propagation d'un hôte à l'autre, d'une application à l'autre, à travers les segments du réseau signifie que la plupart des charges de travail sont des cibles faciles pour des adversaires qui se déplacent rapidement. Et les segments de réseau sont généralement très inefficaces pour les empêcher de se propager entre les hôtes.
Les segments de réseau sont conçus pour prévenir les problèmes de réseau, tels que les DDoS ou l'usurpation d'adresse ARP. Les VLAN, les sous-réseaux IP, les points d'interconnexion de routage et les réseaux superposés SDN sont créés pour contrôler ces problèmes et permettre l'ingénierie du trafic dans le réseau. Mais les adversaires traversent facilement ces segments de réseau car ils se propagent généralement entre les hôtes par des ports qui ressemblent à du trafic légitime.
Les dispositifs de réseau examinent les en-têtes des paquets et bloquent ou autorisent le trafic en fonction des ports trouvés dans ces en-têtes. Mais pour découvrir les adversaires, il faut examiner en profondeur les données utiles des paquets, ce qui nécessite le déploiement de pare-feu entre tous les hôtes se trouvant sur le trajet du trafic est-ouest.
Cela devient rapidement coûteux et constitue un goulot d'étranglement potentiel pour le réseau, chaque paquet devant être "ouvert" et inspecté, en s'appuyant sur des signatures, "sandboxes," AI, Machine Learning, ou d'autres méthodes complexes pour tenter de découvrir les adversaires sans ralentir le réseau.
Même lorsque cette approche est tentée, elle est rapidement abandonnée ou réduite - et n'apporte aucun retour sur les budgets durement acquis. Il ne reste donc que très peu de choses pour empêcher la propagation d'est en ouest et les hôtes restent largement ouverts.
Lorsque l'inévitable violation se produit, les gens commencent à pointer du doigt.
Les organisations qui n'ont pas de segmentation de confiance zéro mènent une guerre qu'elles ne peuvent pas gagner.
Tous les périmètres sont poreux. Même un périmètre de sécurité efficace à 99 % finira par être franchi. Ou bien une faille de sécurité s'introduira de l'intérieur, accidentellement ou intentionnellement.
Ceux qui essaient encore de déployer des outils de sécurité encore plus coûteux au niveau du périmètre - et qui continuent à croire que leurs hôtes ne propagent aucun type de menace d'est en ouest à travers leur réseau - se retrouveront le lendemain dans la presse comme la dernière victime d'une attaque directe.
Quiconque ignore la mise en œuvre de la sécurité sur l'ensemble de son réseau est-ouest mènera une bataille perdue d'avance.
La microsegmentation est un élément majeur d'une architecture de confiance zéro dans laquelle chaque ressource est une limite de confiance, découplée des limites du réseau.
Illumio sécurise les vecteurs de menace est-ouest à l'intérieur du centre de données et de l'informatique en nuage à grande échelle.
Chaque charge de travail est microsegmentée par rapport à toutes les autres charges de travail, ce qui permet d'appliquer un modèle d'accès au moindre privilège entre elles, les hôtes étant identifiés à l'aide d'un modèle basé sur les métadonnées et non sur leurs adresses réseau. Cela signifie que les charges de travail déployées sur les hôtes sont identifiées par leur fonction et non par leur emplacement, ce qui permet de visualiser clairement le comportement du réseau entre les hôtes.
Pour en savoir plus sur la microsegmentation , cliquez ici.
Obtenez une visibilité sur la façon dont les applications s'expriment sur votre réseau.
La visibilité du trafic réseau entre les applications, d'un point de vue centré sur l'application, est difficile à obtenir en utilisant des dispositifs de réseau, qu'il s'agisse de dispositifs physiques dans un centre de données ou de dispositifs virtuels dans un nuage public.
En effet, pour visualiser le comportement et les dépendances des applications à partir de commutateurs, de routeurs, de pare-feu ou d'outils de surveillance, il faut généralement traduire le comportement du réseau en comportement de l'application et découvrir "qui fait quoi à qui" entre les applications et les hôtes. Souvent, cela devient rapidement plus confus que révélateur.
La visualisation de la façon dont les applications communiquent entre elles sur un réseau nécessite une solution déployée directement sur les hôtes où résident ces applications.
Illumio permet d'établir une carte des dépendances très claire et précise entre toutes les applications de votre centre de données et de votre nuage. Les hôtes sont regroupés sur la base de métadonnées, telles que la fonction ou la propriété, et les flux de trafic entre eux sont clairement affichés.
Cela permet de découvrir très rapidement les violations de la conformité et la manière dont les hôtes communiquent entre eux, sans avoir à toucher au réseau ou à l'informatique en nuage.
Illumio révèle qui fait quoi et à qui, à grande échelle, dans l'ensemble de votre environnement, pour vous aider à quantifier les risques entre les hôtes et à montrer quels ports à risque sont exposés à une compromission potentielle.
Mettre en œuvre la segmentation Illumio Zero Trust pour stopper les mouvements est-ouest des adversaires
Le modèle de sécurité de prévention est dépassé et le modèle de sécurité de détection n'est jamais assez rapide pour empêcher la propagation latérale.
Le modèle de sécurité moderne doit partir du principe qu'une violation va se produire ou s'est déjà produite. Cet état d'esprit ne consiste pas à essayer de préserver la santé d'un hôte compromis, mais plutôt à isoler rapidement les adversaires et à les empêcher de se propager, le tout sans avoir besoin de comprendre exactement qui est l'adversaire.
Les vecteurs de menace est-ouest peuvent être appliqués et visualisés à l'aide de la solution d'Illumio pour la sécurité centrée sur l'application, du point de vue de l'application.
Que la violation provienne d'un adversaire parrainé par un État ou d'un gang criminel, la menace est isolée et empêchée de se propager.
Cette folie doit - et peut - être stoppée.
Vous voulez en savoir plus sur la segmentation zéro confiance d'Illumio ? Contactez-nous dès aujourd'hui.
