Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

L’observabilité avancée pour détecter les ransomwares dans les angles morts des réseaux

mai 2022 par Gigamon

L’attaque des infrastructures cloud par les cybercriminels est de plus en plus fréquente quelle que soit la taille de l’entreprise. Les surfaces d’attaque se sont étendues du fait des nouveaux usages : utilisation massive des équipements personnels à distance, et le déploiement des services dans le cloud. Dans ce contexte où les infrastructures sont de plus en plus complexes, les attaques se dissimulent d’autant plus facilement. Elles ont pour objectifs d’obtenir un accès direct, et aussi de permettre des mouvements latéraux à l’intérieur des réseaux connectés. Observer globalement l’ensemble du réseau interne et externe devient de facto la solution pour atténuer les « effets d’angles morts ».

Gigamon dévoile quelques actions utiles pour diminuer l’infiltration latérale
Les angles morts sont précisément l’endroit où les ransomwares peuvent commencer leur mission de nuisance en toute impunité. Sans visibilité et surveillance du trafic réseau, il n’est par exemple, pas possible d’inspecter les charges utiles chiffrées, et tout aperçu tiré des données de trafic risque fort de présenter des résultats erronés.

Le mouvement latéral après l’infiltration est un problème qui peut affecter potentiellement tout ce qui est connecté à un réseau, des équipements mobiles aux applications informatiques, OT et IoT. Dans cette situation il faudra appliquer une segmentation du réseau pour délimiter les flux de trafic, isoler pour limiter l’accès aux sous-réseaux. Mettre en œuvre un chiffrement de bout en bout permet d’empêcher les écoutes indésirables à l’aide de la sécurité mutuelle de la couche transport (mTLS). Le déploiement d’un outil de surveillance du réseau assure une identification et une détection des activités inhabituelles et suspectes, signaux faibles avant-coureurs d’une attaque. Enfin, il s’agit de collecter des données opérationnelles à partir des environnements du cloud, telles que la télémétrie du réseau, des identités et des applications, et les rendre visibles pour l’équipe de sécurité.

Tout surveiller dans une architecture applicative complexe est un défi facile à relever

La visibilité globale de l’ensemble du trafic réseau, interne et externe est connue sous le nom d’observabilité avancée. Elle couvre l’ensemble du réseau distribué, qu’il s’agisse de structures sur site, hybrides ou multi-clouds, ou d’interfaces tournées vers l’extérieur et englobe même les micro-services.
L’observabilité avancée va bien au-delà de MELT (métriques, événements, journaux et traces) et applique une intelligence enrichie en temps réel pour combler les lacunes de visibilité.

A titre d’exemple, le ministère américain de la défense (DoD) a déployé des solutions Gigamon dans le cadre de sa mise à niveau vers une architecture de type « zéro trust », grâce à une intelligence qui se situe au-dessus de la couche réseau. Ainsi, tout le trafic atteint les outils de sécurité pour une analyse plus fiable car globale. Cette installation couvre également le trafic du cloud, des conteneurs et des machines virtuelles. Le déchiffrement SSL/TLS décrypte de manière centralisée tout le trafic et le partage avec les outils de sécurité pour exposer les menaces et les logiciels malveillants cachés avant de le rechiffrer. L’intelligence basée sur les applications permet de détecter les risques réseau à l’aide de métadonnées spécifiques aux applications. Elle découvre et catégorise le trafic, réduisant ainsi le temps d’analyse nécessaire, et permet de hiérarchiser et d’isoler les applications.

« L’observabilité avancée est plus qu’une expression à la mode. On ne peut pas agir sur ce que l’on ne voit pas. La visibilité étendue sur chaque nœud et couche de l’infrastructure réseau d’une organisation est essentielle pour prévenir les attaques et renforcer la cyber-résilience. En plus de l’amélioration de la sécurité ; grâce à la détection proactive des menaces ; les bénéfices de la visibilité étendue se traduit par une réduction des coûts d’exploitation, des gains de performance des infrastructures et un retour sur investissement rapide. » explique Bertrand de Labrouhe Directeur des ventes Europe du sud chez Gigamon.


Voir les articles précédents

    

Voir les articles suivants