Pendant la majeure partie des années 90 et au début des années 90, le manuel de l’administrateur système disait : « Filtrez votre trafic entrant, tout le monde n’est pas gentil » (plus tard inventé par Gandalf comme »Vous ne pouvez pas passer« ). Les DSI ont donc commencé à suralimenter leurs clôtures réseau avec chaque appareil qu’ils pouvaient obtenir pour se protéger contre le trafic entrant (alias INGRESS).
Dans le sillage des premières campagnes de phishing de masse au début des années 2010, il est devenu de plus en plus évident que quelqu’un devait s’occuper des employés et, plus précisément, de leur étonnante capacité à cliquer sur chaque lien qu’ils recevaient. Le filtrage du trafic sortant (alias EGRESS) est devenu une obsession. La sécurité du navigateur, les proxies et autres antivirus glorifiés sont devenus les incontournables que chaque cabinet de conseil conseillerait à ses clients de mettre la main sur le plus tôt possible.
Le risque était réel, et la réponse a été assez adaptée, mais elle a aussi contribué au fameux « super soldatJe suis seul contre une armée ? Tant pis, je vais creuser une tranchée, enterrer mes atouts à l’intérieur, derrière des tas de logiciels et devenir un super soldat pour tenir bon.
Mais le « sol » était une cible mouvante. Le SaaS, le shadow IT, le cloud public, les charges de travail temporaires et le travail à domicile ont brisé ces murs. Le périmètre autrefois très clair est devenu de plus en plus flou. Les notions de « dedans » et de « dehors » sont devenues floues. Le super soldat ne pouvait pas défendre toutes les zones simultanément. Il faisait également face à une armée croissante de cybercriminels bien entraînés et fortement financés. Superman ne pouvait plus être partout en même temps.
Et puis, à la fin des années 2010 et au début des années 2020, est arrivé le ransomware. Une façon terriblement astucieuse de monétiser la dette technique au prix le plus élevé possible. Les mêmes vieilles techniques de piratage, grâce à l’essor de la crypto-monnaie, valaient désormais du platine. Notre super soldat était, tout d’un coup, très seul et… tout à fait inutile.
Filtres de sortie post-compromis, là où les filtres d’entrée pré-compromis
La gestion du trafic d’entrée était alors moins à la mode, c’était censé être une affaire conclue. Avec un pare-feu et une surveillance décente, nous devrions être prêts à partir. Mais compromettre une entreprise ou une institution gouvernementale pourrait être fait principalement en utilisant l’une des trois stratégies principales :
- Attirez les utilisateurs et pariez sur un filtrage de sortie faible
- Utilisez l’exploitation de masse, comme un 0day, une vulnérabilité logique, des mots de passe faibles, etc.
- Utilisez des attaques ciblées, très similaires aux précédentes, mais visant uniquement une entité spécifique, sur toute sa surface. Au lieu de phishing largement avec une mitrailleuse Gatling, en espérant 123456 RDP « protégés ». Là encore, une question de gestion d’Ingress.
Selon les rapports d’IBM X-force, environ 47 % des compromis initiaux sont liés à l’exploitation de vulnérabilités, tandis que le phishing représente 40 %. Ajoutez 3 % d’informations d’identification volées et 3 % de force brute, et vos agressions Ingress pèsent 53 % en termes de probabilité d’être violées de l’extérieur vers l’intérieur. (Je ne compte pas les 7 % de supports amovibles car, honnêtement, si vos utilisateurs sont assez stupides pour brancher une clé USB inconnue et votre politique le permet, alors c’est une autre affaire que j’appellerais le darwinisme numérique.)
Une fois qu’un utilisateur est infecté par un logiciel malveillant, le jeu consiste à éviter que son poste de travail ne devienne une base d’opérations pour les cybercriminels. C’est maintenant que le filtrage de sortie entre en jeu. Ok, il est trop tard, vous avez été compromis, mais atténuons les retombées et empêchons la station 1/ d’être davantage exploitée à l’intérieur des murs, mais aussi 2/ de se reconnecter au commandement et contrôle centre des criminels.
Désormais, la protection du trafic d’entrée est nécessaire car non seulement elle représente plus de compromis initiaux, mais aussi parce que le périmètre est plus grand et plus hétérogène que jamais. Un « périmètre » d’entreprise comprend désormais souvent le LAN et la DMZ du QG, certaines machines hébergées dans des centres de données, et éventuellement plusieurs bureaux avec des VPN, des travailleurs à distance, des charges de travail Cloud, des fournisseurs de chaîne d’approvisionnement et des outils SaaS. Tout surveiller est un exploit, surtout lorsque les fournisseurs SIEM veulent monétiser pour chaque journal que vous stockez. Penser que seul le CTI ou l’outil Egress vous protégera n’est pas réaliste.
De réactif à proactif
De nos jours, la gestion du trafic Ingress est moins à la mode car elle devait être traitée dans les années 90. Mais si vous externalisez vos informations sur les attaques d’entrée et les organisez suffisamment pour exploiter ces données CTI dans vos appliances, alors c’est une victoire nette pour votre posture de sécurité globale. Et devinez qui s’occupe de la sécurité participative basée sur un outil DevSecops open source ?
C’est exact! CrowdSec ! Découvrez comment vous pouvez protéger votre trafic Ingress ici.
Note: Cet article a été écrit par Philippe Humeau, PDG de CrowdSec, avec expertise et soin.
