Alors que les responsables de la sécurité informatique des entreprises et des administrations s’appuient sur le concept de Zero Trust, les APTS (Advanced Persistent Threats) mettent à l’épreuve son efficacité pratique. Les analystes, d’autre part, comprennent que Zero Trust ne peut être atteint qu’avec une vision complète de son propre réseau.
Tout récemment, une attaque qui aurait été perpétrée par le groupe de hackers chinois Storm-0558 a ciblé plusieurs agences gouvernementales. Ils ont utilisé de faux jetons d’authentification numérique pour accéder aux comptes de messagerie Web exécutés sur le service Outlook de Microsoft. Dans cet incident, les attaquants ont volé une clé de signature à Microsoft, leur permettant d’émettre des jetons d’accès fonctionnels pour Outlook Web Access (OWA) et Outlook.com et de télécharger des e-mails et des pièces jointes. En raison d’une erreur de contrôle de plausibilité, la signature numérique, qui n’était destinée qu’aux comptes clients privés (MSA), fonctionnait également dans l’Azure Active Directory pour les clients professionnels.
Embrasser la révolution Zero Trust
Selon un rapport du fournisseur Okta (State of Zero-Trust Security 2022), 97 % des personnes interrogées sont déjà engagées dans une stratégie de confiance zéro ou prévoient de la mettre en œuvre dans les 18 prochains mois. Cela a fait passer le pourcentage de partisans du Zero Trust de 24 % (2021) à 55 % (2022). Le modèle de sécurité connu sous le nom de Zero Trust est une stratégie de sécurité globale conçue pour auditer et vérifier en continu l’accès aux ressources, à la fois en interne et en externe. De nombreuses organisations adoptent cette stratégie de sécurité basée sur le principe selon lequel les périphériques réseau et les utilisateurs doivent constamment prouver leur identité, car ils ne sont pas automatiquement fiables.
Zero Trust repose sur une surveillance continue et un contrôle dynamique des applications, des utilisateurs et des appareils. Il limite l’accès aux ressources au strict minimum et toutes les identités sur la plateforme sont évaluées selon les mêmes critères que les hôtes. L’objectif primordial est d’améliorer la sécurité en n’accordant l’accès qu’à ceux qui prouvent en permanence leur identité et dont le comportement fait l’objet d’un examen constant.
Peering Beyond the Perimeter : que se passe-t-il réellement dans votre réseau ?
La gestion des identités et des accès (IAM) joue sans aucun doute un rôle fondamental dans Zero Trust. Malheureusement, la vérification constante de l’identité des utilisateurs s’avère inefficace en cas d’usurpation d’identité. De plus, les attaquants peuvent contourner ces systèmes en manipulant des méta-informations, telles que la géolocalisation d’une connexion potentielle, à l’aide d’une adresse VPN usurpée. Les systèmes IDS/IPS sont chargés de détecter les activités suspectes ou non autorisées, les infections virales, les logiciels malveillants et les ransomwares, les attaques zero-day, les injections SQL, etc. Cependant, les systèmes IDS/IPS ne détectent souvent que les signatures connues, telles que les domaines malveillants ou les adresses IP précédemment identifiés. Si un domaine n’a pas été signalé comme malveillant au préalable, les solutions de sécurité conventionnelles peuvent l’ignorer, permettant aux attaquants d’exploiter le maillon faible de la chaîne. Par conséquent, les systèmes de cybersécurité traditionnels peuvent parfois faiblir lorsqu’il s’agit d’actualiser Zero Trust en action.
Pour mettre en place efficacement une stratégie de sécurité Zero Trust, les organisations se tournent de plus en plus vers des outils d’analyse de réseau, comme le recommande récemment le cabinet d’analyse Forrester (« The Network Analysis and Visibility Landscape, Q1 2023 »). Selon le rapport Forrester, les professionnels de la sécurité et des risques devraient utiliser des outils de détection et de réponse réseau (NDR) pour surveiller leurs réseaux, rechercher des menaces, détecter des applications et des actifs et capturer des paquets de données malveillants. Ces actions contribuent à la détection efficace des menaces au sein des infrastructures informatiques.
Network Detection & Response (NDR) : le héros méconnu de la sécurité Zero Trust
Les solutions NDR sont essentielles pour créer une architecture Zero Trust résiliente et efficace. Ils offrent une visibilité en temps réel sur le trafic réseau, surveillent le comportement des utilisateurs et l’activité des appareils, et permettent une détection et une réponse rapides aux opérations réseau suspectes ou aux activités anormales. Cette visibilité s’étend à tous les systèmes d’exploitation, serveurs d’applications et appareils IoT.
Forrester a souligné que l’importance des réseaux d’entreprise dans les cyberattaques est souvent sous-estimée. Les cybercriminels utilisent de fausses identités ou des exploits zero-day pour infiltrer les réseaux d’entreprise, puis se déplacent latéralement sur le réseau pour rechercher des cibles, accéder à des systèmes privilégiés, installer des rançongiciels ou d’autres logiciels malveillants et exfiltrer des données d’entreprise. Le NDR facilite la reconnaissance interne – où l’attaquant surveille les cibles potentielles – ou la détection de mouvement latéral lorsque l’attaquant est déjà dans le réseau. Les systèmes NDR collectent les données de tous les commutateurs et fonctionnent entièrement sans agents, qui peuvent ne pas être installables dans de nombreux environnements.
Machine Learning NDR : la nouvelle norme en matière de détection d’anomalies
Avec l’apprentissage automatique (ML), les systèmes de détection et de réponse du réseau (NDR) sont capables de détecter les anomalies de trafic sans s’appuyer sur des « indicateurs de compromission » (IoC) connus et préenregistrés. Ces modèles ML sont conçus pour être entraînés en continu, ce qui leur permet de détecter de nouvelles menaces et techniques d’attaque. Cette approche accélère considérablement la détection des activités malveillantes et permet une atténuation précoce des attaques. De plus, il aide à identifier les comportements inconnus et suspects et minimise le temps que les attaquants peuvent passer inaperçus au sein d’un réseau, améliorant ainsi la sécurité globale.
Les algorithmes d’apprentissage automatique établissent la base du comportement normal du réseau en analysant les données et les algorithmes pour savoir ce qui est « normal » pour le réseau dans les modèles de communication. Ces algorithmes sont formés pour apprendre ce qui constitue une activité « normale » pour le réseau, leur permettant ainsi de détecter les écarts par rapport à cette ligne de base établie. Des exemples de telles déviations incluent les connexions suspectes, les transferts de données inhabituels, les modèles de trafic qui ne respectent pas les normes établies, les mouvements latéraux au sein du réseau, l’exfiltration de données, etc.
Exeon est l’un des principaux fournisseurs de solutions NDR dont le siège est en Suisse et qui possède une solide base de connaissances et une fondation ancrée dans l’expertise en cybersécurité. La plate-forme NDR, Exeon Trace, offre une surveillance complète du réseau alimentée par une technologie avancée d’apprentissage automatique. Il permet la détection automatisée des cybermenaces potentielles, ce qui en fait un outil essentiel pour les équipes du Centre des opérations de sécurité (SOC) et les responsables de la sécurité de l’information (CISO), qui s’engagent à mettre en œuvre et à maintenir une stratégie de sécurité Zero Trust robuste.
Vous souhaitez savoir comment NDR d’Exeon renforce la cybersécurité et permet des implémentations Zero Trust efficaces ? Pensez à réserver une démo avec Exeon pour voir de vos propres yeux comment Zero Trust et la cyber-résilience sont mises en action !
